Ransomware-Attacken: Russen verhaften Cyberkriminelle

Die russischen Behörden melden einen Schlag gegen eine Hackergruppe, die für ihre Ransomware-Angriffe berüchtigt war. Das Ungewöhnliche an der Aktion: Sie wurde vom russischen Inlandgeheimdienst FSB auf Ersuchen der amerikanischen Regierung durchgeführt.

Die russischen Behörden haben einem Ransomware-Ring das Handwerk gelegt.    Bild pixabay

Wie die russische Nachrichtenagentur Interfax berichtet, beschlagnahmte der Geheimdienst bei einer Razzia gegen 14 Mitglieder der Gruppe 426 Millionen Rubel (6 Millionen Franken) sowie Kryptowährungen im Wert von mehr als 600‘000 Franken sowie 20 Luxusautos. Der FSB betonte gegenüber Interfax, dass man auf Ersuchen der US-Behörden gehandelt und diese über die Ergebnisse der Operation informiert habe. Durch die Operation sei die Hackergruppe REvil effektiv aufgelöst worden.

Experten haben schon lange russische Gruppen mit Ransomware-Operationen in Europa und den USA in Verbindung gebracht, oft ohne dass die staatlichen Strafverfolgungsbehörden den Kriminellen das Handwerk legten. Die russische Regierung wurde auch immer wieder beschuldigt, Cyberkriminellen Unterschlupf zu gewähren, solange sie keine inländischen Ziele angreifen. Die amerikanischen Behörden hatten es besonders auf REvil abgesehen, weil die Gruppe unter anderem auch in den Angriff auf die Colonial Pipeline im letzten Frühling involviert war, die zu langen Schlangen vor Tankstellen an der amerikanischen Ostküste geführt hatte.  Gemäss Meldungen aus Russland geht allerdings die russische Hilfe an die amerikanischen Behörden nur so weit:  Wie die Agentur Reuters berichtet, werde der FSB die Verhafteten nicht an die Vereinigten Staaten ausliefern, wenn es sich um russische Bürger handle.

Am Freitag, also am Tag der Veröffentlichung dieser Meldung, wurden übrigens die Ukrainischen Behörden Opfer einer schweren Cyberattacke. Regierungswebseiten mussten abgeschaltet werden, und Sprecher der ukrainischen Regierung und der EU schoben die Schuld sofort auf Russland. Diese Schuldzuweisungen sind natürlich noch nicht verifiziert, aber Experten erklären, dass das Vorgehen der Hacker ähnlich sei wie bei den Angriffen, die vor dem Angriff auf Georgien 2008 und der Annexion der Halbinsel Krim 2014 stattfanden.

Corona-Impfstoffe werden zum Ziel von Cyber-Kriminellen

Hacker haben es auf Impfstoffdaten abgesehen: Bei der Europäischen Arzneimittelbehörde EMA, die Medikamente und Impfstoffe für Europa untersucht und bewilligt, wurde digital eingebrochen. Dabei wurden  Dokumente über den Pfizer-Coronavirus-Impfstoff eingesehen. Das gab die EMA selber, allerdings ohne weitere Details, bekannt.

Mit Impfstoffen wird in den nächsten Monaten enorm viel Geld gemacht werden.
Herstellerfirmen sind ein Ziel von Cyber-Atacken.                   Bild pixnio

Pfizer und BioNTech, die den Impstoff entwickelt haben, der in Grossbritannien bereits eingesetzt wird, gaben bekannt, sie glaubten nicht, dass persönliche Daten von Studienteilnehmern kompromittiert worden seien. Die EMA habe überdies versichert, dass der Cyberangriff keinen Einfluss auf den Zeitplan für die Prüfung haben werde. Es wurde nicht bekanntgegeben, wie und wann der Angriff stattgefunden hat. Natürlich ist auch nicht bekannt, wer dafür verantwortlich ist.

Experten, die sich mit der Impfstoffherstellung auskennen gehen aber davon aus, dass es sich beim Einruch um Industriespionage handeln könnte. Solche Dokumente könnten für andere Länder und Unternehmen, die sich mit der Entwicklung von Impfstoffen befassen, extrem wertvoll sein, meldet die Nachrichtenagentur Reuter. Die Agentur zitiert Marc Rogers, den Gründer einer Freiwilligengruppe, die gegen Verstösse im Zusammenhang mit Covid kämpft:

"Daten, die bei Regulierungsbehörden eingereicht werden, sind vertrauliche Informationen über den Impfstoff und seinen Wirkmechanismus, seine Effizienz, seine Risiken und mögliche Nebenwirkungen. Ausserdem geht es um einzigartige Aspekte wie Handhabungsrichtlinien. Die Daten liefern auch detaillierte Informationen über andere Parteien, die an der Lieferung und dem Vertrieb des Impfstoffs beteiligt sind.“

Die BBC weist darauf hin, dass es in letzter Zeit eine ganze Reihe von Cyber-Attacken auf Unternehmen gegeben habe, die sich mit Covid-19-Impfstoff befassen:

“ Sicherheitsdienste warnten schon im Sommer, dass der russische Geheimdienst es auf Organisationen abgesehen habe, die versuchen, einen erfolgreichen Impfstoff zu entwickeln. Im Oktober wurde ein in Indien ansässiges Pharmaunternehmen Opfer eines schweren Cyberangriffs. Und in den letzten Tagen teilte IBM mit, dass die Kühlhaus-Lieferkette, die für den Transport lebensfähiger Impfstoffe verwendet wird, einem Cyberangriff zum Opfer gefallen ist - wahrscheinlich durch einen Nationalstaat."

Hackerangriffe: Denn wir wissen nicht, wer es tut

Der Hackerangriff auf die IT-Infrastruktur der deutschen Regierung wäre ein weiteres Kapitel im Buch, das über die digitale Datenunsicherheit geschrieben werden könnte. Interessant ist aber nicht nur der Angriff selber, sondern auch die Berichterstattung darüber. Denn wer die Übeltäter sind, weiss in Wirklichkeit fast niemand. Wohl deshalb nehmen die meisten Medien jegliche Art von Hinweisen (am liebsten aus anonymen Quellen) dankbar auf und verbreiten sie möglichst schnell weiter.

Wir wissen nicht, wer es war - und wir werden es wohl auch nie erfahren.
                                                                                      Bild Creative Commons

Im Zweifel werden es schon die Russen sein, vermuten die zahlreichen “Experten“, welche derartige Fälle von Cyber-Spionage oder Cyber-Kriminalität kommentieren. Das ist auch im aktuellsten Fall nicht anders, wie verschiedene Zeitungen berichten:

“Eine unter dem Namen Snake bekannte russische Hackergruppe soll hinter dem Angriff auf das Datennetzwerk des Bundes stehen. Das berichten die Deutsche Presse-Agentur und Spiegel Online. Demnach soll die Gruppe versucht haben, an deutsche Regierungsinterna zu gelangen. Die Gruppe ist auch unter den Namen Turla und Uroburos bekannt und soll seit 2007 aktiv sein. Experten zufolge sei der Code, den die Gruppe für den Hack benutzte, weiter entwickelt als Codes von anderen russischen Hackern wie APT28. Diese Gruppe stand zunächst im Verdacht, für den Angriff auf das Netz des Bundes verantwortlich zu sein.“

Mit anderen Worten: Es war nicht die eine, sondern wahrscheinlich die andere russische Hackergruppe, die im Moment den behördlichen Computersystemen übel mitspielt. Wieso wir das wissen? Der Spiegel hat es berichtet. Und die Russen haben es dementiert - dann stimmt es wahrscheinlich erst recht:

“Wir nehmen mit Bedauern zur Kenntnis, dass alle Hackerangriffe in der Welt mit russischen Hackern in Verbindung gebracht werden", sagte Kreml-Sprecher Dmitri Peskow. Dafür gebe es aber "keine greifbaren Beweise.“

Die gibt es tatsächlich nicht, und obwohl es im gegenwärtigen politischen Klima naheliegend ist, zuerst einmal Russland zu verdächtigen, gibt es durchaus echte Experten die nicht Sergei oder Vladimir zum Vornamen heissen, die zur Vorsicht mahnen, wenn es um schnelle Schuldzuweisungen geht. Die NZZ zitiert Sandro Gaycken, der zu Themen wie Cyperkrieg an der European School of Management and Technology in Berlin forscht, und findet, solche Angriffe seien gar nicht überraschend:

“Gaycken sieht solche Zuschreibungen kritisch, wenn sie auch plausibel sein mögen. Angeführt werde etwa, dass die Angriffe zum Teil über russische Computer liefen oder während Bürozeiten, die auf die Zeitzone für Moskau passten. Dies seien aber schwache Indizien, sagt er. Man dürfe nicht vergessen, dass die Geheimdienste einander auch imitierten, um falsche Spuren zu legen…“

Ob Russen oder Geheimdienste oder nicht, immerhin dürfen die Bürger davon ausgehen, dass nicht jeder Idiot es schafft, in die Computer der Regierung einzudringen. “Technisch anspruchsvoll und von langer Hand geplant“ sei der Hackerangriff gewesen, sagt der deutsche Innenminister Thomas de Maizière.

Genau das haben die amerikanischen Parteifreunde von Hillary Clinton auch behauptet, als Wikileaks im Jahr 2016 plötzlich den E-Mail-Verkehr der Wahlkämpfer öffentlich machte - was zur Niederlage von Kandidatin Clinton beitrug. Auch hier wurden natürlich hochqualifizierte Russen als Übeltäter angeführt, obwohl Wikileaks dies konsequent dementierte. In Wirklichkeit war es ganz einfach: Social Engineering war der Schlüssel. Ein gefälschtes E-Mail an den Wahlkampfleiter reichte aus, um sein Google-Passwort in Erfahrung zu bringen - der Rest ist Geschichte.

Stromausfall bei uns, weil die Russen Hillarys E-Mails gehackt haben?

Sicherheitsexperten gehen davon aus, dass ein Cyber-War, der zwischen zwei Grossmächten wie den USA oder Russland geführt würde, auch in Europa zu beträchtlichen Kollateralschäden führen würde. Das Internet ist nämlich so konstruiert, dass es bei Teilausfällen andere Leitungen und Server in Beschlag nimmt – solange solche zur Verfügung stehen.

WikiLeaks bietet tausende von E-Mails zum Download an, die angeblich von
Russischen Hackern gestohlen worden sind.             Schreenshot wikileaks.org

Gerade jetzt, während des amerikanischen Präsidentenwahlkampfs ist das Thema wieder aktuell: Die Russen seien es, die in den USA E-Mails gehackt und es  für WikiLeaks möglich gemacht hätten, unzählige E-Mails der Kandidatin Hillary Clinton zu verbreiten, sagt die amerikanische Regierung. Deshalb wird mit dem ganz grossen Cyber-Knüppel gedroht, wie ZDnet.de unter der Überschrift “USA drohen Russland mit Cyberangriff“ berichtet:

“Die US-Regierung hat im Streit mit Russland über angeblich politisch motivierte Cyberangriffe auf US-Institutionen und Bürger nachgelegt. Nach der öffentlichen Schuldzuweisung Ende vorletzter Woche drohte Vizepräsident Joe Biden zumindest indirekt mit Gegenmaßnahmen. Es sei geplant, dem russischen Präsidenten Wladimir Putin „eine Nachricht zu schicken“, sagte Biden in einem Interview mit NBC News. Die „Nachricht“ werde klar und angemessen sein, ergänzte Biden. Die USA verfügten über die benötigten Ressourcen. „Es wird zu einer Zeit geschehen, die wir selbst wählen und die die größte Wirkung haben wird“. Auf die Frage, ob die Öffentlichkeit davon erfahren werde, antwortete Biden: „Ich hoffe nicht.“

Diese Hoffnung des Vizepräsidenten könnte sich nicht erfüllen, wenn man den Experten auf der IKT-Sicherheitskonferenz glauben darf. Diese warnen nämlich davor, dass ein Cyberkonflikt auch unbeteiligte Länder schwer treffen würde:

“Backbone Gateways sind die Hauptschlagadern des Internets. Wenn durch Störungen oder Angriffe einige Gateways beschädigt werden bzw. ausfallen, wird der Datenstrom über die verbliebenden Backbone Gateways geleitet, um so die Verfügbarkeit des Internets weiterhin zu gewährleisten.
Aber welche Konsequenzen resultieren aus der Tatsache, dass die vorhandenen Backbone Gateways in Europa - die eine primäre Rolle für die Sicherstellung der Konnektivität des gesamten Internets in Europa einnehmen - als Bestandteil einer Cyberdoktrin anderer Staaten 'missbraucht' werden können? […]Unter der Prämisse, dass in den Cyberkonflikten Waffen zur IP- und Datenpaket-Transformation zur Anwendung kommen, und die sich außerhalb des US-Territoriums befindlichen DoD-Gateways in Deutschland und Japan zum Angriff / zur Verteidigung eingesetzt werden, führte die Simulation zu einer Überlastung der vernetzten Backbone Gateways in Europa und Asien.“

Eine derartige Überlastung könnte schwerwiegende Folgen haben, warnen die Sicherheitsexperten:
Eine Restkapazität von lediglich 1,9 bis 7,2 Prozent der Backbone Gateways für nicht 'konfliktbedingten' Datenverkehr, wäre nicht mehr ausreichend, um in Europa Datenverbindungen aus Mobilfunknetzen oder Leit- und Steuerungssystemen für kritische Infrastrukturen aufrecht zu erhalten. Eine der möglichen negativen Folgen: Ein grossflächiger Stromausfall in Deutschland, Österreich und der Schweiz!