FM4-Logo

jetzt live:

Aktueller Musiktitel:

Sonneneruption, dramatisch, schwarzweiß

CC0

Erich Moechel

Russischer Geheimdienst FSB warnt vor US-Cyberangriff

Diese öffentliche Warnung des FSB an russische Netzwerkadministratoren hat Seltenheitswert. Die russische Führung ging bis jetzt so gut wie nie von sich aus mit diesem Thema an die Öffentlichkeit.

Von Erich Moechel

Die am Donnerstag neubestellte Direktorin der Geheimdienste (DNI) Avril Haynes ist mit dem folgenschwersten Cyberangriff auf die USA konfrontiert, der je bekanntgeworden ist. Durch die Cyberattacke auf die Firma SolarWinds sind nicht nur 18.000 der größten US-Netze gefährdet. Über die Netzwerkmanagement-Software von SolarWinds öffnete sich ein zweiter, ebenso bedrohlicher Angriffsvektor bei einem Kunden von SolarWinds: Microsoft.

Zuletzt hatte die Sicherheitsfirma Malwarebytes bekanntgegeben, dass ihre Systeme über die Azure-Cloud von Microsoft penetriert worden waren. Neben FireEye und Crowdstrike ist das bereits die dritte US-Firma aus dem US-Cybersicherheitskomplex, die von den russischen Akteuren dreist angegriffen wurde. In Russland wiederum rechnet man offenbar mit einem bevorstehenden US-Cyberschlag. Am Freitag ging der Inlandsgeheimdienst FSB mit einer einschlägigen Warnung an die Öffentlichkeit, für russische Verhältnisse ein durchwegs unüblicher Schritt.

Text in kyrillischen Schriftzeichen

Interfax

Das ist die Aussendung des FSB: Moskau. 22. Januar. INTERFAX.RU - Die Nationale Koordinierungsstelle für Computervorfälle (NKZKI), die im Auftrag der FSB-Führung tätig ist, warnte nach Aussagen der USA und ihrer Verbündeter vor gezielten Cyberangriffen. Der Folgetext wurde mithilfe von Yandex.ru übersetzt und sprachlich-idiomatisch etwas geglättet. Dieser Übersetzungsservice ist von den Ergebnissen her für die Sprachen Deutsch/Englisch bzw. Russisch durchaus zu empfehlen.

Noch Anfang Jänner wurde nach dem zweiten Angriffsvektor neben Solarwinds gesucht, der mittlerweile identifiziert ist.

Die Aussendung des FSB im Volltext

"Angesichts der ständigen Vorwürfe der Beteiligung an Computerangriffen, die gegenüber der Russischen Föderation von den USA und ihren Verbündeten erhoben werden, sowie der Drohungen mit ‚Vergeltungsangriffen‘ auf Objekte der kritischen Informationsinfrastruktur der Russischen Föderation, empfiehlt das Nationale Koordinationszentrum für Computervorfälle (NKZKI), Maßnahmen zu ergreifen, um die Sicherheit von Informationsressourcen zu erhöhen.

Experten raten dazu, die aktuellen Anweisungen und Pläne für die Reaktion auf Computervorfälle zu überprüfen und die Mitarbeiter über mögliche Phishing-Angriffe mit Social-Engineering-Techniken zu informieren. Weiters empfohlen werden die Überprüfung der Netzwerk-Tools zum Schutz von Informationen und die Installation von Antivirusprogrammen. DNS-Server von Drittanbietern sollen vermieden werden, aktualisieren Sie die Passwörter aller Benutzer, installieren Sie Antivirusprogramme und halten sie diese aktuell."

Grafik

Microsoft

Microsoft hat den Ablauf der Cyberkampagne mittlerweile großteils rekonstruiert. Gestartet wurde sie bei SolarWinds bereits im September 2019, ab März 2020 lieferte das Unternehmen bereits verseuchte Software-Updates aus. Im Mai waren diese bereits so weit verbreitet, dass der eigentliche Angriff starten konnte, dafür wurde eine weitere Schadsoftware eingesetzt, die Microsoft Teardrop nennt. Volle sieben Monate lang blieb dieser Angriff unentdeckt.

Die Strategie der Vorwärtsverteidigung

„Diese Empfehlungen des FSB sind zwar durchwegs allgemeiner Natur“, sagt der Sicherheitsanalyst Lukasz Olejnik zu ORF.at. „Aber alleine schon der Umstand, dass überhaupt öffentlich gewarnt wurde“, sei bedeutsam, so Olejnik, der die Warnung nicht als eine an die USA gerichtete Botschaft liest. Viel eher sei es ein Signal nach innen, dass man die Gefahr ernstnehme, womöglich diene die Warnung auch zur eigenen Absicherung gegen künftige Vorwürfe, einen drohenden Angriff verschlafen zu haben. „Was die US-Cyberstrategie der Vorwärtsverteidigung bedeuten kann, sollte Russland ja mittlerweile bekannt sein.“

Lukasz Olejnik

Lukasz Olejnik

Lukasz Olejnik ist Consultant u.a für Gesetzgebung um digitalen Raum und Cybersicherheit.

Die neue Cyberstrategie der USA hat sich seit 2018 in ganz diversen Gegenschlägen manifestiert. 2018 wurden ein Team operativer Agenten des GRU rund um die Welt verfolgt und schließlich in Holland in flagranti erwischt. Die ganze Affäre wurde öffentlich so breit aufgetischt, dass sich Russlands Außenminister Sergej Lawrow öffentlich über diese „Megaphondiplomatie“ der USA beschwerte. Seitdem wurde eine ganze Serie von Gerichtsverfahren gegen mehrere Einheiten des Auslandsgeheimdienstes GRU eingeleitet, über US-Cyberattacken gegen Russland wurde hingegen bis heute so gut wie nichts bekannt.

Einseitige Nachrichtenlage

Ganz anders als die USA bringt die russische Regierung solche Angriffe nie von sich aus an die Öffentlichkeit, die USA wiederum haben keinerlei Interesse, ihre eigenen Manöver im Cyberraum vor aller Welt darzulegen, weil sich dadurch für Gegner wichtige Rückschlüsse ziehen lassen. Daraus resultiert eine ziemlich einseitige Nachrichtenlage, weil sozusagen immer nur die „Einschläge“ im Westen zu beobachten sind. Der Angriff auf die Software-Lieferkette von SolarWinds samt seinem zweiten großen Vektor, der Azure-Cloud von Microsoft, wäre - um im vorherigen Bild zu bleiben - mit einer Art Cyber-Flächenbombardement zu vergleichen, da praktisch alle bedeutenden Netze in den USA gefährdet sind.

Im Oktober 2018 hatte ein Coup der NATO russische Agenten auf dem falschen Fuß erwischt. Die neue westliche Strategie mit Gegenangriffen auf der Informationsebene hatte wenigstens bei ihrer Premiere funktioniert.

Tatsächlich angegriffen wurden alle wichtigen US-Ministerien - also die logischen Ziele eines breit angelegten Spionageangriffs - allerdings auch gleich drei US-Sicherheitsfirmen und da nicht irgendwelche. FireEye gilt als überhaupt härtester Gegner aller staatlichen russischen Akteursgruppen, die zuletzt angegriffene Firma Malwarebytes hatte sich erst im Sommer eingehend mit der Malware „Cobalt Strike“ beschäftigt, die nun bei Microsoft zum Einsatz kam. Die Sicherheitsfirma Crowdstrike hatte den Angriff auf den demokratischen Wahlkongress 2016 im Auftrag der US-Regierung untersucht und hatte APT29 (Cozy Bear) identifiziert, eine große Einheit des zivilen russischen Auslandsgeheimdiensts SVR, von der auch „Cobalt Strike“ stammt.

Die erwartbare Vergeltung der Vergeltung

Ein Angriff des militärischen Gegenstücks der Kuschelbären, nämlich APT28 alias „Fancy Bear“, hatte das gesamte Netz des deutschen Bundestags 2015 so gründlich verseucht, dass 20.000 PCs getauscht werden mussten.

Alle drei angegriffenen Sicherheitsfirmen sind Cyberkombattanten auf US-Seite, also direkte Gegenspieler der „Kuschelbären“ im Cyberraum. Es sieht daher in diesen drei Fällen alles sehr nach Vergeltung und weniger nach Spionage aus. Da APT29 als große, sehr gut ausgestattete Einheit über eine große Zahl von Technikern verfügt, werden nach dem Prinzip des „agile programming“ - wie es im Rotwelsch der IT-Industrie heißt - für jedes Vorhaben wechselnde Teams gebildet. FireEye trackt diese neue Kombination der Kuschelbären aktuell als UNC2452, die Sicherheitsfirma Volexity, die mit denselben Akteuren schon mehrfach Bekanntschaft gemacht hatte, verfolgt sie als „Dark Halo“.

Was die Aussendung des FSB ziemlich genau drei Monate nach dem Auffliegen des Cyberangriffs betrifft, so wurde der Zeitpunkt der Veröffentlichung nicht zufällig gewählt. Anders als vielfach angenommen, verlaufen Auseinandersetzungen im Cyberraum alles andere als dynamisch. Drei Monate sind in etwa die Mindestspanne, die benötigt wird, um einen Angriff von einiger Signifikanz einzuleiten. Ob dieser Gegenschlag der USA im Cyberraum erfolgen wird, ist dabei gar nicht sicher, denn Cyberschlagabtäusche verlaufen in der Regel nicht linear.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: