VG-Wort Pixel

Schlag gegen Hafnium Hacken gegen Hacker: FBI kapert Hunderte Firmenserver – um sie zu reinigen

Online-Betrug ist weit verbreitet (Symbolbild)
Die offiziellen Hacker des FBI nutzten denselben Angriffsweg wie das Hafnium-Team
© eclipse_images / Getty Images
Es war eine Attacke ungekannten Ausmaßes: In einem automatisierten Angriff konnten chinesische Hacker Ende Februar Zehntausende Firmenservern in kürzester Zeit übernehmen. Nun schlägt die US-Regierung zurück - in einem ungewöhnlichen Manöver. 

Es dürfte eine der gefährlichsten Hacker-Attacken der letzten Jahrzehnte gewesen sein: Im Februar entdeckten Sicherheits-Experten, dass eine Gruppe über eine Lücke reihenweise E-Mail-Server von Firmen unter ihre Kontrolle brachte. Die Spur des "Hafnium" getauften Hackertrupps führte nach China. Selbst ein Notfall-Patch Microsofts konnte das Problem nicht beheben. Jetzt nahmen die US-Behörden die Sache selbst in die Hand. Und hackten sich kurzerhand in die betroffenen Rechner ein. 

Das verkündete das US-Justizministerium in einem Statement. Selbstverständlich sei alles mit rechten Dingen zugegangen, betont die Behörde. Die Reparatur-Aktion mit Hacker-Mitteln wurde von einem Gericht als verhältnismäßig bestätigt und dem FBI als ausführendes Organ aufgetragen. Die Bundesbeamten hätten sich dann über die bekannten Sicherheitslücken in nach wie vor anfällige Server eingehackt. Ohne dass die betroffenen Unternehmen davon wussten. 

Gehackte Hacker

Dass das überhaupt möglich und auch nötig war, lag am Vorgehen der Angreifer. Die hatten kurz nach Bekanntwerden der Lücke begonnen, Systeme sozusagen auf Halde zu hacken. Mit einem automatisierten Programm durchforsteten sie das Netz nach verwundbaren Servern und installierten eine sogenannte Shell auf ihnen. Unentdeckt erlaubt dieses Programm, zu einem späteren Zeitpunkt weitere Schadsoftware herunterzuladen. Gleichzeitig erhöht sie aber auch die Gefahr für weitere Angriffe: Trittbrettfahrer können die so präparierten Server genauso auf diesem Wege angreifen, warnten Experten schon im März.

Deshalb entschieden sich die Behörden nun, ihnen zuvorzukommen. Sie suchten ihrerseits nach den eingebauten Einfalltoren, hackten sich dadurch selbst in die Rechner, so die Justizbehörde. Man gehe davon aus, dass die immer noch betroffenen Netzwerke Unternehmen gehörten, die sie offenbar nicht selbst davon befreien konnten, erklärt das Statement das Kalkül hinter der offiziellen Hacker-Aktion.

Einmal im Netzwerk eingedrungen, hielten sich die FBI-Agenten aber zurück: Sie gaben der Shell lediglich den Befehl, sich selbst wieder zu entfernen. Weitere Maßnahmen um das System zu schützen oder gar Scans, um nach Schädlingen zu suchen, führten sie nicht aus. Man versuche, sämtliche Firmen zu kontaktieren, um sie auf die bestehenden Sicherheits-Probleme hinzuweisen, erklärt das Justizministerium.

Microsoft zum Zusehen verdammt

Dass immer noch so viele Systeme von der Lücke betroffen sind, liegt am Aufbau der betroffenen Systeme. Microsoft stellt Unternehmen nur die Software zum Betreiben der eigenen Server zur Verfügung, die Administration und damit auch Reparaturen müssen die Firmen aber selbst übernehmen. Das hat für die Firmen den Vorteil, dass sie mehr Kontrolle über die Updates haben und etwa die passenden Zeiträume und die Sicherheit der Patches sicherstellen können. Im Falle einer großen Lücke wie der aktuell genutzten ist es aber eine Gefahr: Obwohl Microsoft recht schnell den Fehler ausmerzen konnte, blieb dem Konzern nichts übrig, als den Kunden den Patch anzubieten und dann zu hoffen. Die Installation sowie eine Untersuchung über einen Angriff und den Umgang mit den Folgen mussten die Kunden selbst schultern.

Genau das scheinen aber viele Firmen nicht getan zu haben. "Nach meinem Training und meiner Erfahrung werden die meisten Opfer die verbliebenen Webshells nicht entfernen", erklärt ein FBI-Beamter in einer Aussage zum Durchsuchungsbeschluss. "Sie sind sehr schwer zu finden, weil die Namensgebung ungewohnt ist und den Opfern oft die technischen Fähigkeiten fehlen, sie zu entfernen."

Schlag gegen Hafnium: Hacken gegen Hacker: FBI kapert Hunderte Firmenserver – um sie zu reinigen

Trotzdem rechnete das FBI durchaus damit, dass betroffene Unternehmen den eigenen "Angriff" entdecken könnten. Die Beamten ließen sie sich vom Gericht bestätigen, dass ihr Durchsuchungsbeschluss zu jeder Tageszeit galt. "Mit einem Zugriff auf die Rechner zu jeder Tageszeit lässt sich die Wahrscheinlichkeit verringern, entdeckt und bei der Arbeit durch Gegenmaßnahmen gestört zu werden", erklärt der Antrag laut "Bleeping Computers". 

Das US-Justizministerium ist mit dem Ergebnis der Aktion zufrieden. Man habe auf mehreren Hundert Systemen die Zugriffsmöglichkeit entfernen können, heißt es im Bericht. Nun müssen die betroffenen Unternehmen nur noch über die "Durchsuchung" informiert werden. So will es das Gesetz.

Quelle: US-Justizbehörde, Bleeping Computer


Mehr zum Thema


Wissenscommunity


Newsticker