Wie Chinas Hacking-Angriff auf Microsoft eskalierte

Inhaltsverzeichnis

Zuerst führten die chinesischen Hacker eine sorgfältige Kampagne durch. Zwei Monate lang nutzten sie Schwachstellen in Microsoft Exchange-Mail-Servern aus, wählten ihre Ziele sorgfältig und stahlen heimlich ganze Postfächer. Als das Ermittlern schließlich auffiel, sah es nach typischer Online-Spionage aus. Doch um den 26. Februar herum wurde die enge Operation zu etwas viel Größerem und viel Chaotischerem.

Nur wenige Tage später gab Microsoft die Hacks öffentlich bekannt – die Hacker sind jetzt unter dem Namen Hafnium bekannt – und gab einen Sicherheits-Update heraus. Doch zu diesem Zeitpunkt suchten die Angreifer bereits im gesamten Internet nach Zielen: Zusätzlich zu Zehntausenden von gemeldeten Opfern in den USA geben Regierungen auf der ganzen Welt bekannt, dass sie ebenfalls betroffen waren. Laut der Sicherheitsfirma ESET nutzen derweil mindestens zehn Hacker-Gruppen, die meisten von ihnen von Regierungen unterstützte Cyberspionage-Teams, die Sicherheitslücken auf Tausenden von Servern in mehr als 115 Ländern aus. In seiner Analyse vermutet Heise-Security-Autor Jürgen Schmidt dahinter ein internationales cybermilitärisches Kräftemessen.

Während US-Präsident Joe Biden noch erwägt, Vergeltung gegen die russischen Hacker zu üben, deren Angriff auf ein anderes Softwareunternehmen, SolarWinds, im Dezember bekannt wurde, ist der Hafnium-Hack zu einem enormen Kampfplatz geworden, und seine Folgen könnten noch schlimmer sein. Experten versuchen fieberhaft, die durch die chinesischen Hackerangriffe geöffneten Lücken zu schließen, und die US-Regierung konzentriert sich laut offiziellen Angaben darauf, was mit den Tausenden von verletzlich gewordenen Servern passiert - und wie sie China antworten soll.

Wahllose Hacks?

„Die Tore stehen jedem Täter offen, der irgendetwas mit Ihrem Exchange-Server und dem Rest Ihres Netzwerks tun möchte", sagt Sean Koessel, Vice President bei Volexity, der Cybersicherheitsfirma, die bei der Entdeckung der Hacking-Aktivitäten geholfen hat. „Der beste Fall ist Spionage, also jemand, der nur Ihre Daten stehlen möchte. Der schlimmste Fall ist, dass Ransomware eindringt und sie überall im Netzwerk verteilt. “

Bei der Unterscheidung zwischen den beiden Angriffen geht es nicht nur um technische Details oder darum, welches Land sie begangen hat. Obwohl 18000 Unternehmen die kompromittierte SolarWinds-Software heruntergeladen haben, war die Anzahl der echten Ziele nur ein Bruchteil dieser Größe. Hafnium war unterdessen weitaus wahlloser.

„Beide begannen als Spionagekampagnen, aber der Unterschied besteht wirklich darin, wie sie durchgeführt wurden“, sagt Dmitri Alperovitch, Vorsitzender des Silverado Policy Accelerator. „Die russische SolarWinds-Kampagne wurde sehr sorgfältig durchgeführt. Die Russen gingen den Zielen nach, die ihnen wichtig waren, und sperrten den Zugang überall sonst, damit weder sie noch sonst jemand an die Ziele gelangen konnte, die nicht von Interesse waren.“ Das sei ein ziemlicher Kontrast zur chinesischen Kampagne gewesen.

„Am 27. Februar stellen sie fest, dass der Patch herauskommen wird, und scannen buchstäblich die Welt, um alle zu gefährden. Sie haben Web-Shells hinterlassen, mit denen andere in diese Netzwerke gelangen können, möglicherweise sogar Ransomware-Akteure. Deshalb ist es sehr rücksichtslos, gefährlich und muss beantwortet werden.“

Erstaunliche Zufälle

Der Hafnium-Hack wurde von den meisten Sicherheitsüberprüfungen übersehen. Er wurde erst entdeckt, als Volexity merkwürdige und spezifische Internetverkehranfragen an seine Kunden bemerkte, die ihre eigenen Microsoft Exchange-Mail-Server betrieben.

Eine einmonatige Untersuchung ergab, dass vier seltene Zero-Day-Exploits verwendet wurden, um ganze Postfächer zu stehlen – potentiell verheerend für die beteiligten Personen und Unternehmen, aber zu diesem Zeitpunkt gab es nur wenige Opfer, und der Schaden war relativ begrenzt. Volexity hat wochenlang mit Microsoft zusammengearbeitet, um die Sicherheitslücken zu beheben, aber Koessel hat Ende Februar eine große Veränderung gesehen. Nicht nur die Zahl der Opfer stieg an, sondern auch die der Hacker-Gruppen.

Es ist nicht klar, wie mehrere Hacking-Gruppen der Regierung auf die Zero-Day-Sicherheitslücken aufmerksam wurden, bevor Microsoft eine öffentliche Ankündigung machte. Warum explodierte das Ausmaß der Ausbeutung? Möglicherweise haben die Hacker gemerkt, dass ihre Zeit fast abgelaufen ist. Wenn sie aber wussten, dass ein Patch kommen würde, wie haben sie es herausgefunden?

„Ich denke, es ist sehr ungewöhnlich, dass so viele verschiedene [fortgeschrittene Hacker-]Gruppen Zugriff auf den Exploit für eine Sicherheitsanfälligkeit haben, während die Details nicht öffentlich sind“, sagt Matthieu Faou, der die Erforschung der Exchange-Hacks für ESET leitet. „Es gibt zwei Hauptmöglichkeiten“, sagt er. Entweder „wurden die Details der Schwachstellen irgendwie an die Bedrohungsakteure weitergegeben“ oder ein anderes Schwachstellenforschungsteam, das für die Bedrohungsakteure arbeitete, „entdeckte unabhängig davon die gleichen Schwachstellen".

Scannen und Gefährden

Volexity beobachtete, wie Hafnium einen Monat lang in Netzwerken lauerte, und unternahm Schritte, um sie rauszuschmeißen, bevor Microsoft einen Patch herausgab. Das könnte der Auslöser gewesen sein, der Hafnium eskalieren ließ. Alperovitch zufolge könnten die Hacker aber auch auf anderem Weg herausgefunden haben, dass ein Patch kommt. Denn Sicherheitsteams in der gesamten Branche, einschließlich derer bei Microsoft, tauschen regelmäßig im Voraus Informationen über Schwachstellen und Korrekturen aus. Nachdem Microsoft die öffentliche Ankündigung gemacht hatte, schlossen sich noch mehr Hacking-Gruppen dem Kampf an.

„Am Tag nach der Patch-Veröffentlichung haben wir viel mehr Bedrohungsakteure beobachtet, die Exchange-Server massenhaft scannen und gefährden“, sagt Faou. Alle außer einer der aktiven Hacker-Gruppen sind bekannte, von der Regierung unterstützte Teams, die sich auf Spionage konzentrieren. „Es ist jedoch unvermeidlich, dass immer mehr Bedrohungsakteure, einschließlich Ransomware-Vertreiber, früher oder später Zugriff auf die Exploits haben“, sagt er.

Als die Aktivität anstieg, stellte Volexity eine weitere Verhaltensänderung fest: Hacker hinterließen Web-Shells, als sie in diese Systeme eindrangen. Dabei handelt es sich um einfache Hacking-Tools, die einen dauerhaften Remote-Back-Door-Zugriff auf infizierte Computer ermöglichen, damit der Hacker sie steuern kann. Sie können effektiv sein, sind aber auch relativ laut und leicht zu erkennen.

Sobald Hacker eine Shell auf einem Computer ablegen, können sie so lange zurückkehren, bis sie entfernt wurde. Oft geschieht das aber selbst dann nicht, wenn die ursprünglich fehlerhaften Schwachstellen behoben werden. Die Web-Shell selbst ist allerdings kaum gesichert und kann von anderen Hackern kooptiert werden – zuerst, um in die Exchange-Server einzudringen und E-Mails zu stehlen, und dann, um ganze Netzwerke anzugreifen. „Es ist eine Tür mit einem Schloss, das leicht zu öffnen ist", sagt Alperovitch, Mitbegründer der Sicherheitsfirma CrowdStrike, die das Unternehmen im vergangenen Jahr verlassen hat.

"Nicht akzeptabel"

Die Hacker-Aktivität nimmt derweil weiter zu. Microsoft hat am 8. März den seltenen Schritt unternommen, Sicherheitspatches für nicht unterstützte Versionen von Exchange zu veröffentlichen, die normalerweise zu alt sind, um sie zu sichern. Das ist ein Zeichen dafür, für wie schwerwiegend das Unternehmen den Angriff hält. Microsoft wollte den Schritt nich kommentieren.

Während das Weiße Haus eine Antwort abwägt, wächst das Risiko weiter. Die Biden-Administration arbeitet sich langsam durch den ausgeklügelten Cyberspionageangriff auf SolarWinds, aber das Chaos der Hafnium-Hacks stellt eine völlig andere Herausforderung dar – sowohl bei der Behebung des Problems als auch bei der Reaktion auf dahinterstehende Hacker.

„Es muss eine Nachricht an die Chinesen gesendet werden, dass dies nicht akzeptabel ist“, argumentiert Alperovitch. Die USA müssen klarstellen, „dass wir sie für alle Schäden verantwortlich machen werden, die durch kriminelle Akteure entstehen, die diesen Zugang nutzen“, sagt er, „und wir müssen sie dazu drängen, diese Web-Shells so schnell wie möglich von allen Opfern zu entfernen."

(vsz)