USA, EU und Verbündete werfen China Angriffe auf Microsoft Exchange Server vor

Die USA, EU-Staaten sowie NATO-Verbündete prangern Cyberangriffe an, die von chinesischem Staatsgebiet aus durchgeführt worden sein sollen. Die Allianz wirft China "bösartige Cyberaktivitäten" vor, wie etwa die Angriffe auf Microsoft Exchange Server seit Anfang 2021. Während die US-Regierung und das Vereinigte Königreich dem chinesischen Ministerium für Staatssicherheit vorhalten, Auftragshacker zu beschäftigen, spricht die EU lediglich davon, dass die Angriffe mit großer Sicherheit von chinesischem Hoheitsgebiet ausgeführt worden sind.

Gemeinsam macht die Allianz die beiden Hackergruppen ATP40 und APT31 für die Angriffe verantwortlich, die für China spioniert und geistiges Eigentum gestohlen haben sollen. Die Gruppen seien vom Ministerium für Staatssicherheit angeheuert worden sein, heißt es aus dem Weißen Haus, arbeiteten jedoch auch auf eigene Rechnung. Ihnen werden neben den Angriffen auf Microsoft Exchange Server zusätzlich Ransomware-Angriffe, Cyber-Erpressung und Cryptojacking vorgeworfen.

Nach Angaben des Weißen Hauses soll ein Gesamtschaden von mehreren Milliarden US-Dollar entstanden sein. US-Regierungsstellen hätten die Angriffe detailliert dokumentiert. Die mehr als 50 bei den Angriffen verwendeten Techniken und Vorgehensweisen sind in einem 30-seitigen Dokument festgehalten und sollen der Öffentlichkeit vermutlich noch vorgestellt werden.

Weltweite Angriffe auf Exchange

Die Cyberkriminellen seien angeheuert worden, um Unternehmen und Behörden in den USA und weiteren Staaten auszuforschen, lautet der Vorwurf. Dazu nutzten sie mehrere Sicherheitslücken in Microsoft Exchange-Servern aus, um sich Zugang zu den Servern und die darüber laufende Kommunikation wie E-Mails aber auch Adress-Bücher, Terminkalender und so weiter zu verschaffen, um sie auslesen und manipulieren zu können. Außerdem nutzten sie die Lücken als Einstieg für weitere Angriffe auf Behörden- und Firmennetzwerke.

Begonnen hatten die zielgerichteten Angriffe (Advanced Persistent Threat (APT)) unter Ausnutzung zunächst unbekannter Sicherheitslücken Anfang Januar 2021, nachdem die Sicherheitsfirma Volexity erste, vereinzelte Angriffe auf Exchange festgestellt hatte. Noch bevor Microsoft die Lücken stopfen konnte, wurden die Angriffe Ende Februar verstärkt und gingen in die Breite, um möglichst viele Systeme anzugreifen und mit einer Hintertür versehen zu können. Nachdem Microsoft dann Anfang März Exchange-Patches veröffentlicht hatte, wurden die Angriffe verstärkt. Offenbar wollten die Angreifer noch möglichst schnell viele Systeme mit einer Hintertür versehen, bevor die Lücken geschlossen werden.

Die Angriffe trafen in den USA Behörden, Rüstungskonzerne, Forschungseinrichtungen, die an Covid-19 forschen, sowie weitere Unternehmen. Mehr als 100.000 Exchange-Server sollen in den USA betroffen sein, in Deutschland sollen es mehrere Zehntausend sein. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging noch im März davon aus, dass alle Systeme, die nicht abgesichert waren, mit einer Hintertür infiziert wurden. Auch weitere Exchange-Server in anderen Staaten waren kompromittiert. Weltweit soll es sich nach Angaben des britischen Außenministeriums und des National Cyber Security Centers um mehr als eine Viertelmillion Server handeln.

Nach einer Analyse von Microsoft wurden die Angriffe noch im März der staatsnahen chinesischen Hafnium-Gruppe zugeschrieben. Beim G7-Gipfel in Großbritannien und beim NATO-Gipfel in Brüssel hatte US-Präsident Joe Biden dafür bei den Verbündeten geworben, gegen derartige Angriffe gemeinsam vorzugehen. Aus diesen Bemühungen sind nun die Aufforderungen an China entstanden, weitere Cyberattacken von ihrem Staatsgebiet aus zu unterbinden. Das Verhalten Chinas stehe im Gegensatz zu den öffentlichen Erklärungen, solche Attacken nicht durchzuführen, monieren die USA.

Kaum Konsequenzen

Zunächst scheint es bei der öffentlichen Anprangerung zu bleiben. Finanzsanktionen, wie sie die USA im Fall des SolarWinds-Hacks gegenüber Russland verhängt haben, wurden nicht ausgesprochen. Offensichtlich streben die Allianz-Staaten eine einvernehmliche Lösung mit China an. Die USA hätten bereits mit Vertretern der chinesischen Regierung darüber gesprochen. Eine offizielle Stellungnahme Chinas steht zunächst noch aus.

Das US-Justizministerium will allerdings Anklage gegen vier chinesische mutmaßliche Cyberkriminelle erheben. Sie sollen sich zwischen 2011 und 2018 illegal Zugang zu zahlreichen Computersystemen in den USA verschafft haben, darunter Universitäts- und Behördenrechner, um Informationen zu stehlen. Zusätzlich sollen sie unter anderem von einem Pharmaunternehmen Anleitungen zur Herstellung eines Impfstoffes gegen Ebola gestohlen haben. Die vier Verdächtigen werden in Verbindung zum chinesischen Ministerium für Staatssicherheit gebracht.

(olb)