US-Sicherheitsbehörden u. a. warnen vor russischem Hacker-Angriff

Das FBI, die US-Heimatschutzbehörde und das britische NCSC sind mit einer Warnung vor einem Großangriff russischer Hacker an die Öffentlichkeit gegangen. Angreifer sollen weltweit Infrastrukturen von Netzwerken infiltriert haben, um damit Spionage- und Sabotage-Aktionen durchführen zu können. US-Cert listet die möglichen IT-Schwachstellen auf. Was steckt dahinter?

Genannt werden in der gemeinsamen Mitteilung "bösartigen Cyberaktivitäten, ausgeführt von der russischen Regierung". Bezogen wird sich auf "zahlreiche Quellen, darunter kommerzielle wie behördliche IT-Sicherheitsorganisationen sowie Verbündete". Auch die australische Regierung hat sich der Warnung angeschlossen. Die Aktivitäten sind nicht ganz neu, politisch ins Konzept passt, so der "Spiegel", der Zeitpunkt der Warnung.

Millionen von Routern seit längerem infiziert?

Russische Hacker sollen demnach schon seit geraumer Zeit Millionen von Netzwerkrechnern bzw. Routern im Internet ins Visier genommen und Switches und Firewalls gehackt haben, um Spionage und Diebstahl geistigen Eigentums Vorschub zu leisten.

  • Dabei machten sie sich teilweise bereits seit längerer Zeit bekannte Schwachstellen, wie etwa auf vielen weit verbreiteten Cisco-Routern zunutze.
  • Darüber hinaus nutzten die Hacker aber auch Schwächen von Netzwerkprotokollen aus. 

Die Sicherheitsbehörden haben derartige Angriffe auf Regierungsstellen und wichtige Infrastruktureinrichtungen bereits seit über einem Jahr beobachtet. Man geht nun davon aus, dass über diese Infiltrationen massive Cyber-Attacken vorbereitet werden.  Betroffen sind nach Ansicht der Behörden neben staatlichen Stellen, wie schon früher dem deutschen Bundestag, auch Unternehmen oder Internetprovider und Unternehmen der Privatwirtschaft.

Weitere Details zu den technischen Einzelheiten der Angriffe wollen die Behörde zeitnah veröffentlichen, damit die Angriffe besser erkannt und Gegenmaßnahmen eingeleitet werden können.

 

Beteiligung der russischen Regierung vermutet

Das Ausmaß der Angriffe und der damit verbundene Aufwand legen nach Ansicht der Sicherheitsbehörden den Verdacht nahe, dass diese Aktionen nur mit Billigung oder Unterstützung russischer Behörden durchgeführt werden können. Das aufgebaute System sei eine „gewaltige Waffe in den Händen eines Widersachers“.

Bundesamt für Sicherheit in der Informationstechnik leitet Abwehrmaßnahmen ein

Mittlerweile hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Stellung bezogen und bestätigte per Pressemitteilung, dass man ebenfalls entsprechende Aktivitäten registriert habe.  Einrichtungen wie das Cyberabwehrzentrum seien alarmiert und geeignete Abwehrmaßnahmen eingeleitet worden.

US-Cert listet möglichen Schwachstellen auf

In einem am 16.4. veröffentlichten technischen Bericht des US-Cert (Computer Emergency Response Team) werden potentiellen Schwachstellen für Administratoren einzeln benannt und aufgelistet.

Cisco Smart Install als Hacker-Wundertüte?

Cisco-Router und deren Verwaltung über Smart Install gilt laut "Spiegel" als  eine Wundertüte für Hacker, die ein Netzwerk und seine verbundenen Geräte überwachen wollen, ist aber nur eine von mehreren unsicheren Protokollen, die nach wie vor im Einsatz sind.

Administratoren sollten den Weckruf aufnehmen

Unabhängig von tagespolitischen Aspekten sollten Unternehmen und insbesondere Betreiber kritischer Infrastrukturen aus diesem Anlass noch einmal ihre IT-Netzwerke und -Systeme sowie die bereits getroffenen Sicherheitsmaßnahmen überprüfen und dem Stand der Technik anpassen. Das rät auch das BSI.

Weitere News zum Thema:

Cyber- Angreifer und Erpressern: so schützen Sie sich

Attacke mit dem Krypto-Trojaner WannaCry - Taktik und Folgen​​​​​​​

Hintergrund:

Veraltete Software und Schwachstellen im Schutzschild der Software können fatale Folgen haben angesichts der Vielzahl der Attacken, denen besonders größere Unternehmen ständig ausgesetzt sind.

Bei diesen Angriffen wird über E-Mails oder auch infizierte Webseiten Schadcode auf die Rechner der potenziellen Opfer übertragen, die eine Verschlüsselungssoftware nachlädt, die anschließend alle erreichbaren Dokumente so verschlüsselt, dass diese nicht mehr geöffnet werden können.

Die Nutzungsverhinderung erfolgt zumeist durch Verschlüsselung sämtlicher Daten (Briefe, Datenbanken, Fotos, Systemdateien). So kann ein Unternehmen oder ein Selbständiger zumindest vorübergehend faktisch stillgelegt und auch leicht erpresst werdenwerden.

Speziell für Behörden und Unternehmen haben die Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) einen kompakten Leitfaden herausgegeben, der sich mit dieser Bedrohungslage auseinandersetzt. Die Broschüre stellt zunächst die Bedrohungslage dar und beschreibt anschließend vor allem Präventionsmaßnahmen, mit denen das Risiko zum Opfer derartiger Angriffe zu werden, minimiert werden kann.

  • Das Zahlen der Lösegeldforderung lehnen Experten ab, da nicht sichergestellt sei, dass man die notwendigen Schlüssel tatsächlich auch bekomme.
  • Allerdings haben in letzter Zeit die Erpresser in den meisten Fällen tatsächlich auch die notwendigen Passwörter geliefert, wohl auch um dieses „Geschäftsmodell“ aufrecht zu erhalten.

Die Broschüre steht als PDF-Datei auf der BSI-Website zum Download bereit