Es war eine der erfolgreichsten Hacker- und Spionage-Kampagnen der Geschichte: Indem sie sich in die Systeme des Netzwerk-Spezialisten Solarwinds einschlichen, konnten Hacker tausende Ministerien, Behörden, Forschungseinrichtungen und Unternehmen infiltrieren und um geheime Informationen erleichtern. Erst nach zwei Jahren wurde der Angriff Ende 2020 entdeckt. Doch die Gruppe hinter dem Angriff ruht sich nicht aus - sondern startete letzte Woche ihre nächste Attacke. Dazu machen sie sich sogar die politische Spaltung in den USA um den ehemaligen Präsidenten Donald Trump zunutze.
Davor warnt Microsoft in seinem Sicherheits-Blog. Der Software-Gigant betreibt mit dem Microsoft Thread Intelligence Center sein eigenes Einsatzteam, das Online-Bedrohungen identifiziert und analysiert. Die neue Kampagne von "Nobelium", der aus Russland stammenden Hackergruppe hinter der Solarwinds-Attacke, bereitet demnach seit Monaten seinen neuesten Streich vor. Letzte Woche war es dann soweit: Mit einer Welle an gefälschten E-Mails versuchten die Hacker, besonders sensible Mitarbeiter von Unternehmen und Behörden gezielt auszutricksen.
Trump als Klick-Erfolg
Dazu bedienten sie sich auch der größten politischen Kontroverse der USA: Dem ehemaligen Präsidenten Donald Trump und seiner Behauptung, die Präsidentschaftswahl im letzten November sei ihm mit Wahlbetrug gestohlen worden. Mit seiner immer wiederholten Behauptung und immer neuen Klagen treibt Donald Trump auch Monate nach dem Amtsantritts seines Nachfolgers Joe Biden die politische Debatte an. Die Phishing-Nachricht zielt darauf ab, beide politischen Lager anzusprechen: "Donald Trump hat neue Dokumente zu Wahlbetrug veröffentlicht", heißt es in der bei Microsoft gezeigten Mail. Der Absender ist eine gekaperte Adresse der amerikanischen Behörde zur Entwicklungszusammenarbeit, die dem Außenministerium untersteht. Klickte man auf den Link in der Mail, wurde eine Hintertür auf dem Rechner installiert.
Auf Trump als Zugpferd scheinen die Hacker nach reichlich Marktforschung gekommen zu sein. Denn die Kampagne wurde laut Microsoft in faszinierendem Maße penibel vorbereitet und stetig auf ihre Effizienz optimiert. Immer wieder probierten die Hacker demnach neue Varianten aus, experimentierten mit Wegen, die Nutzer zum Klicken der Links zu bewegen oder der Art, wie die Schädlinge letztlich auf den Rechner gelangten. Dazu schickten sie etwa auch eine ganze Charge an Mails heraus, die gar keine Schädlinge aufspielen sollte - sondern nur prüfte, welcher Empfänger sich von der von einem vermeintlich seriösen Server stammenden Mail überreden ließ, einen Link anzuklicken. Donald Trumps Wahlbetrug setzte sich also offenbar als bester Klick-Garant durch.
Seriöse Mails als Vehikel
Um die Mails verschicken zu können, kaperten die Hacker erneut einen Service-Anbieter. Der Dienstleister Constant Contact bietet Unternehmen und Behörden die Möglichkeit, mit wenig Aufwand große Mengen an E-Mails zu verschicken, etwa als Newsletter. Dadurch ließen sich die Angriffs-Mails als legitime Nachrichten tarnen. Constant Contact bestätigte die Komprimierung einzelner Accounts gegenüber "The Verge".
Die Massenmail könnte den Erfolg der Kampagne aber verhindert haben. Nach Angaben von Microsoft wurden viele der Nachrichten automatisch als Spam erkannt und entsprechend geblockt, auch der auf Windows-Rechnern vorinstallierte Defender erkennt die Mails und wehrt sie ab. Trotzdem könnten zumindest einige der Mails die Empfänger erreicht haben, warnt der Konzern. Die für Internetbedrohungen zuständige US-Behörde CISA und das Heimatschutzministerium haben die Bedrohung mittlerweile ebenfalls bestätigt und raten zu den von Microsoft empfohlenen Schutzmaßnahmen, wie dem Einschalten von Filtersystemen für Cloud-Dienste und einen erweiterten Netzwerkschutz.
Wachsendes Problem
Aus Sicht von Microsoft wird das die Probleme aber nicht dauerhaft lösen können. "Cyberattacken sind für eine wachsende Anzahl von Staaten das Mittel der Wahl, um ein breites Spektrum an politischen Zielen zu erreichen", erklärt der Konzern in einem weiteren Blogpost. Die Angriffe dürften nach seiner Ansicht kaum nachlassen. "Wir brauchen klare Regeln, wie sich Staaten im Cyberspace verhalten können und eine klare Erwartung, welche Folgen das nach sich ziehen wird."
Die Reaktion der beschuldigten russischen Regierung geht allerdings in eine andere Richtung: Er fühle sich "geschmeichelt", dass seinem Land ein solcher Angriff zugetraut werde, hatte Sergei Naryshkin, Direktor des russischen Geheimdienstes SWR und enger Verbündeter von Präsident Wladimir Putin gegenüber der "BBC" gesagt. Obwohl die russische Leugnung der Angriffe von verschiedenen Geheimdiensten als wenig überzeugend eingeschätzt wird, beharrt er darauf, nicht verantwortlich dafür zu sein. "Diese Behauptungen sind wie eine schlechte Detektivgeschichte."
Quellen: Microsoft, Microsoft 2, The Verge, BBC
