Microsoft: SolarWinds-Angreifer hat mehr als 1000 Cyberkrieger
Ein ganzes Heer an IT-Kräften ist am SolarWinds-Angriff beteiligt, sagt Microsoft-Chef Smith. US-Dienste nutzen den Anlass, Spionagemacht im Inland zu begehren.
Das Symbolbild zeigt drei Soldaten des "Cyber Center of Excellence" der US Army im Rahmen der Übung "NetWar" 2014.
(Bild: Georgia Army National Guard/Staff Sgt. Tracy J. Smith (bearbeitet) CC BY 2.0)
Der schwere IT-Angriff auf Regierungsinstitutionen und Unternehmen in den USA war "der größte und fortgeschrittenste Software-Angriff, den die Welt je gesehen hat", hat Microsoft-Chef Brad Smith in einem TV-Interview mit CBS News bestätigt. Es sei aber nicht der erste Angriff über die Lieferkette.
Da sei der russische NotPetya-Angriff auf die Ukraine im Juni 2017 ein Vorgänger. Was zunächst nach einer Rückkehr des Kryptotrojaners Petya ausgesehen hatte, entpuppte sich als NotPetya – kein Erpressungstrojaner sondern ein "Wiper". Die Angreifer hatten es geschafft, die Update-Server der ukrainischen Steuer-Software MeDoc zu übernehmen und ein von ihnen kontrollierbares, bösartiges Update einzuspielen. Da die Software von quasi allen Firmen verwendet wurde, die in der Ukraine Steuern zahlen, war das Chaos enorm, als die Angreifer losschlugen.
Allerdings handelt es sich bei SolarWinds um den ersten erfolgreichen Angriff auf die USA über die Lieferkette. "Einer der wirklich beunruhigenden Aspekte dieser Attacke war die breite und unterschiedslose Streuung", sagte Smith in der TV-Sendung 60 Minutes am Sonntag. Nachdem die Angreifer ein Update für SolarWinds Orion infiziert hatten, verbreitete sich die Infektion in mehr als 18.000 Organisationen, die das Update einspielten.
Mehr als 1000 Angreifer
Microsoft hat 500 Software-Entwickler abgestellt, die den nach wie vor laufenden SolarWinds-Angriff untersuchen. Bei der Analyse "haben wir uns gefragt, wie viele Software-Entwickler wohl an diesen Attacken gearbeitet haben", schilderte Smith, "Und unser Ergebnis war jedenfalls mehr als 1000."
Diese seien so geschickt vorgegangen, dass selbst Microsoft nichts gemerkt hat. Aufgefallen dürfte der Angriff zuerst FireEye sein. Für einen Mitarbeiter waren zwei Geräte zur Zwei-Faktor-Authentifizierung eingerichtet, obwohl er nur eines nutzte. Die folgende Untersuchung förderte zu Tage, dass die Hacker das FireEye-Arsenal plündern hatten können.
NSA-Vorstoß
FireEye gehört zum Teil der CIA, dem berühmtesten Auslandsgeheimdienste der USA. Die CIA dürfte selbst ein Milliardenbudget für Computerhacking haben, doch das Budget des Schwestergeheimdienstes NSA ist deutlich größer.
Deren ehemaliger Vizechef Chris Inglis nutzt die Gunst der Stunde, um die NSA als hilflos darzustellen, weil sie US-Bürger im Inland nicht überwachen darf: "Die US-Geheimdienste und das Verteidigungsministerium können über die Absichten anderer Nationen mutmaßen, basierend auf ihrer rechtschaffenen Arbeit im Ausland", sagte Inglis, "Aber sie können sich nicht umdrehen und ein wachsames Auge auf die inländische Infrastruktur werfen. Das erschwert es uns."
Lesen Sie auch
Russland warnt vor US-Hacks
Das ist Aufgabe des Inlandsgeheimdienstes FBI. Und natürlich dürfen US-Behörden ihre eigenen Netze nach Strich und Faden überwachen – den auch dort erfolgreichen Angriff haben sie dennoch nicht bemerkt. Bei einem Vergeltungsschlag gegen Russland können sich CIA und NSA wieder beweisen – nach US-Recht legal.
(ds)