Von Russland staatlich geförderte Hacker sollen seit Jahren Netzwerkinfrastrukturen in aller Welt angreifen. (Symbolbild)
[M] Yurich84 / Getty Images / iStock, daboost / Fotolia
Mutmaßlich von der Russischen Föderation staatlich unterstützte Cyber-Kriminelle sollen seit längerem weltweit Netzwerk-Infrastrukturen ausnutzen, um möglicherweise eine gravierende Cyberattacke vorzubereiten. Ziele könnten staatliche und private Organisationen, Unternehmen, Kritische Infrastrukturen und Internet-Service-Provider sein. Davor warnen das Heimatschutzministerium der USA (Department of Homeland Security, DHS), die US-Bundespolizei FBI (Federal Bureau of Investigation) und das Nationale Cybersicherheitszentrum von Großbritannien (National Cyber Security Centre, NCSC). Das Bundesamt für Sicherheit in der Informationstechnik bestätigt "konkrete Vorfälle in Deutschland".
In einem veröffentlichten Technical Alert auf der Seite des Computer Emergency Readiness Team der USA (US-Cert) weisen die Behörden darauf hin, dass mutmaßlich russische Hacker unzählige Router, Switches, Firewall-Hardware und andere Netzwerkgeräte weltweit manipuliert hätten, um sie für Angriffe ausnutzen zu können.
Einfach zu installierende Geräte betroffen
Betroffen sind den Ermittlungen zufolge vor allem Geräte, bei denen das Netzwerkprotokoll Generic Routing Encapsulation (GRE) aktiviert ist, Cisco-Smart-Install-(SMI)-fähige Geräte und Netzwerkgeräte mit aktiviertem Simple Network Management Protocol (SNMP).
Seit 2015 habe die US-Regierung Informationen darüber, dass Cyber-Akteure weltweit eine große Anzahl von Routern und Switches nutzten, um Spionage und Diebstahl geistigen Eigentums zu ermöglichen.
BSI bestätigt Erkenntnisse
"Die in der Erklärung veröffentlichten technischen Informationen werden derzeit mit Erkenntnissen abgeglichen, die dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorliegen", heißt es in einer Stellungnahme der deutschen Behörde zu dem Technical Alert. Eine erste Analyse lege nahe, "dass sich die Ausführungen der britischen und amerikanischen Partnerbehörden zu Angriffsmethoden, Angriffsvektoren und Schwachstellen mit den Erkenntnissen des BSI der vergangenen Jahre decken. Aus technischer Sicht gibt es in der Erklärung keine neuen Erkenntnisse." Heißt: Es ist grundsätzlich seit Jahren bekannt, dass Netzwerkkomponenten im Fokus von Cyber-Angreifern stehen, ebenso sind die Schwachstellen bereits mehrere Jahre alt.
Unter anderem mit der Organisationstruktur von staatlich gesteuerten Cyber-Angreifern beschäftigt sich Timo Steffens in seinem Buch "Auf der Spur der Hacker – Wie man die Täter hinter der Computer-Spionage enttarnt" (2018). Der Springer-Autor und Referent im Cert des BSI beschreibt darin auch russische Hackergruppen im Kontext einer geopolitischen Analyse.
Alte und schwache Protokolle werden ausgenutzt
Die angeblich von Russland staatlich geförderten Kriminellen nutzten laut US-Cert eine Reihe von alten oder schwachen Protokollen und Service-Ports für die Netzwerkverwaltung aus, um
- gefährdete Geräte zu identifizieren;
- Gerätekonfigurationen auszulesen;
- interne Netzwerkarchitekturen zu erkennen;
- Anmeldedaten abzugreifen;
- sich als privilegierte Nutzer auszugeben;
- Geräte-Firmware zu manipulieren,
- Betriebssysteme zu manipulieren,
- Konfigurationen zu ändern;
- Datenverkehr zu kopieren oder umzuleiten.
Darüber hinaus könnten russische Cyber-Akteure den Verkehr, der durch den Router fließt, modifizieren oder blockieren, heißt es in dem Technical Alert.
Dabei würden keine Zero-Day-Exploits ausgenutzt, es würde auch keine Malware installiert. Vielmehr nutzten die Angreifer gezielt andere Schwachstellen aus:
- Geräte mit älteren, unverschlüsselten Protokollen oder nicht authentifizierten Diensten;
- Geräte, die vor dem Einbau nicht ausreichend gesichert wurden;
- Geräte, die von Herstellern nicht mehr mit Sicherheitspatches unterstützt werden (End-of-Life Geräte).
Netzwerkstrukturen als Ziel für Angriffe
Die Netzwerkgeräte sind deswegen für Spionage und Angriffe so gut geeignet, weil der größte Teil des Datenverkehrs innerhalb einer Organisation oder eines Unternehmens sowie der Datenstrom von und nach außen diese Geräte passieren muss. Ein bösartiger Akteur, der einen Gateway-Router gekarpert hat, könnte den Datenverkehr also überwachen, ändern und auch blockieren. In der internen Routing- und Switching-Infrastruktur eines Unternehmens kann der Datenverkehr innerhalb des Netzwerks ausspioniert oder manipuliert werden. Darüber sind dann auch gravierende Seitenkanal-Angriffe möglich, sobald der Angreifer sich im internen Netzwerk als vertrauenswürdiger Netzwerkteilnehmer ausgibt.
Hat ein Angreifer einen Router zwischen Sensoren und Controllern des Industrial Control Systems (ICS) und Supervisory Control and Data Acquisition (SCADA) unter Kontrolle, kann er Einfluss auf eine Kritische Infrastruktur, wie beispielsweise auf das Energienetz nehmen. Der Datenverkehr zwischen den Geräten kann dann manipuliert werden. Laut der Warnung aus den USA und Großbritannien könnten über absichtlich fehlerhafte Konfigurationen Anlagen sogar zerstört werden.
Konkrete Vorfälle in Deutschland
Vom BSI heißt es: "Konkrete Vorfälle in Deutschland, bei denen die Vorgehensweise der Angreifer starke Ähnlichkeiten zu den seitens der USA und UK geschilderten Methoden aufweisen, sind dem BSI bekannt." Das BSI analysiere diese Vorfälle, habe betroffene Institutionen informiert und über das Nationale Cyber-Abwehrzentrum geeignete Abwehrmaßnahmen eingeleitet. "Erkenntnisse zu konkreten Vorfällen oder Betroffenen in Deutschland behandelt das BSI vertraulich."
Über Timo Steffens Ausführungen in "Auf der Spur der Hacker" lässt sich der Zeitpunkt für die Veröffentlichung der Warnung durch die US- und UK-Behörden einordnen. Die meisten Cyber-Warnungen stammen für gewöhnlich von privaten IT-Sicherheits-Unternehmen. "Wenn sich eine staatliche Stelle zum Ursprung eines Angriffs äußert, erzeugt dies deutlich mehr Aufmerksamkeit. Die Attributionsaussagen eines Nachrichtendienstes werden in der öffentlichen Wahrnehmung als belastbarer und sicherer angesehen", schreibt Steffens im Kapitel "Nachrichtendienstliche Methoden" (Seite 105).
Zudem ist es selten, dass Angreifer ohne Relativierung mit einem konkreten Staat in Zusammenhang gebracht werden. Schließlich besteht für Täter die Möglichkeit, Spuren zu verwischen und sich als Angreifer anderer Herkunft zu tarnen. Im Zuge der geopolitischen Lage und der Spannungen zwischen Russland und West-Staaten, unter anderem wegen der Syrien-Krise, ist die klare Darstellung Russlands als Cyberangreifer nun jedoch wenig überraschend.
Tipp für Unternehmen: IT-Grundschutz sicherstellen
Das BSI empfiehlt Unternehmen und insbesondere Betreibern Kritischer Infrastrukturen, "die aktuellen Veröffentlichungen erneut zum Anlass zu nehmen, ihre IT-Netzwerke und -Systeme sowie die bereits getroffenen Sicherheitsmaßnahmen zu überprüfen und dem Stand der Technik anzupassen." Wie Maßnahmen im Rahmen des IT-Grundschutzes in Unternehmen geplant und umgesetzt werden können, wird unter anderem im Springer-Buch "Informationssicherheits-Management" erklärt.