Erst Anfang 2021 war einer der größten Angriffe russischer Hacker auf US-amerikanische Behörden und Unternehmen bekannt geworden: Den Cybergangstern war es gelungen, eine Hintertür in die weit verbreitete Netzwerksoftware "Orion" von SolarWinds einzubauen. Über den automatischen Update-Prozess erhielten die Hacker Zugriff auf rund 18.000 Netzwerke von Unternehmen und öffentlichen Einrichtungen - auch der US-Regierung. Nachdem der Angriff bereits im Frühjahr 2020 erfolgt war, hatten die Angreifer etwa neun Monate Zeit, sich ungestört in den Netzen umzusehen und Daten abzuschöpfen.

Offensichtlich war das nur der Anfang. Am 1. Juli 2021 veröffentlichten die NSA, das FBI, die DHS Cybersecurity und Infrastructure Security Agency sowie das britische National Cybersecurity Centre eine gemeinsame Warnung: Hunderte von versuchten Brute-Force-Hackerangriffen auf der ganzen Welt seien registriert worden, die alle von der Einheit 26165 des russischen Militärgeheimdienstes GRU ausgegangen seien - besser bekannt als Fancy Bear oder APT28. Die Attacken richteten sich unter anderem gegen Regierungs- und Militärbehörden, Verteidigungsunternehmen, politische Parteien und Beratungsfirmen, Logistikkonzerne, Energieversorger, Universitäten, Anwaltskanzleien und Medienunternehmen. Nahezu jeder Sektor, der im Internet von Interesse ist, war betroffen.

Schlechte Passwörter als Einfallstor

Die Angriffsmethode war nicht besonders ausgefeilt, dafür folgte sie einem bewährten Muster: Es handelte sich um eine Brute-Force-Attacke, in deren Rahmen automatisiert die nachweislich meistgenutzten Zugangsdaten durchprobiert wurden, um Lücken in Netzwerken zu finden und sich Zugang zu verschaffen. Cybersecurity-Spezialisten haben denn auch mittlerweile festgestellt, dass die Angreifer erfolgreich in mehrere Einrichtungen eingedrungen sind. "Diese langwierige Brute-Force-Kampagne zum Sammeln und Exfiltrieren von Daten, Zugangsdaten und mehr ist wahrscheinlich noch im Gange, und zwar auf globaler Ebene", schreibt der Direktor für Cybersicherheit der NSA, Rob Joyce, in einer Erklärung. "Es gibt nichts, was wir tun könnten, um Moskau dazu zu bringen, mit dem Spionieren aufzuhören."

Wie "Wired.com" berichtet, blickt die GRU-Unit 26165 auf eine lange Geschichte teils heftiger Hackerattacken zurück - mehr noch als die für die SolarWinds-Kampagne verantwortlichen Mitarbeiter des russischen Auslandsnachrichtendienstes Swr. Fancy Bear soll hinter zahlreichen Operationen stecken, etwa dem Angriff auf das Demokratische Nationalkomitee, der Clinton-Kampagne 2016 sowie den Attacken auf das Internationale Olympische Komitee und der weltweiten Anti-Doping-Agentur.

Sicherheitsexperten sehen den Vorgang als eine Art Erinnerung der russischen Geheimdienste daran, dass es für sie keine Hindernisse gibt und dass sich weder Politiker noch Diplomaten oder Unternehmen der Rüstungsindustrie sicher fühlen sollten. Besonders bedrohlich aus US-Sicht ist die Tatsache, dass auch Ziele aus dem Energiesektor in die Kampagne einbezogen waren. Schon einmal hatte ein anderes GRU-Hacking-Team namens Sandworm Stromausfälle ausgelöst, betroffen waren ukrainische Stromversorger in den Jahren 2015 und 2016.

Hacker öffnen die Türen für weitere Angriffe

Joe Slowik von der Sicherheitsfirma Gigamon vermutet im Gespräch mit Wired.com, dass sich die Angreifer mit dem Brute-Force-Angriff einfach nur Zugänge zu möglichst allen wichtigen Netzwerken verschaffen wollen, um diese dann an andere Kreml-Hacker mit spezifischeren Aufgaben wie Spionage oder Zerstörung weiterzugeben. "Sie haben den Auftrag, den Zugang zu interessanten Organisationen herzustellen", sagt der Experte. "Oft machen sie gar nichts damit, doch manchmal geben sie den Zugang eben auch an andere Instanzen weiter, die sich dann um komplexere Einbrüche bemühen, je nachdem, wie weit sie damit kommen."

Allerdings zeigt die Brute-Force-Attacke auch, wie der GRU seine Hackerangriffe ausweitet und professionalisiert. So stellte die NSA fest, dass die Angreifer die Container-Orchestrierungssoftware Kubernetes verwendeten, um virtuelle Maschinen effizienter für ihre Einbruchsversuche einsetzen zu können. Es würden zunehmend eher einfache Techniken genutzt, die bei vielen Cyberkriminellen zum Einsatz kämen. Das verwische die Spuren und mache die Verfolgung hin zur GRU nicht so eindeutig, der russische Geheimdienst könne jederzeit leugnen. Hätten die US-Regierungsbehörden keine konkreten Hinweise auf den GRU, gäbe es für die Netzwerkverantwortlichen kaum Anhaltspunkte, um diese von anderen Hacking-Versuchen zu unterscheiden.

Säbelrasseln zwischen Putin und Biden

US-Präsident Joe Biden bei einem Gipfel mit seinem russischen Amtskollegen Wladimir Putin das Thema Cyberspionage angesprochen. In abschließenden Pressekonferenzen nach dem Treffen in Genf behauptete Putin, seine Regierung unterhalte keine Ransomware-Angriffstruppen. Zu anderen Cyberangriffen wollte er keine Fragen beantworten.

Biden sagte, er habe den Russen eine Liste mit 16 Institutionen der "kritischen Infrastruktur" übergeben, deren Angriffe die USA keinesfalls dulden würden. Dazu gehörten der Chemie- und der Energiesektor, Staudämme, Finanzdienstleistungen, Regierungseinrichtungen, Kernreaktoren, Transportsysteme, Wasserversorgung und vieles mehr. Mit anderen Worten: Würden die Russen diese Liste wirklich ernstnehmen, müssten sie auf Angriffe auf US-Institutionen gänzlich verzichten - was wohl eher illusorisch anmutet.

Pipeline-Angriff hat die Amerikaner aufgeschreckt

Andererseits hatte Bidens Vorstoß einen ernsten Hintergrund: Ein Ransomware-Angriff auf die Colonial-Pipeline hatte Teile des amerikanischen Südostens tagelang von der Gasversorgung abgeschnitten. Hinter dem Angriff steckte vermutlich die russische Hackerbande Darkside, die bereits Millionenbeträge an Lösegeldern von anderen Opfern erpresst hatte. Beobachter glauben zwar nicht, dass Darkside zu den von russischen Geheimdiensten unterstützten Hackergruppen gehört, doch es scheint, als würde Darkside von der Regierung geduldet - zumindest, solange keine russischen Ziele angegriffen werden.

In Genf sagten Vertreter der G7-Länder, Russland müsse "diejenigen innerhalb seiner Grenzen identifizieren, stören und zur Rechenschaft ziehen, die Ransomware-Angriffe durchführen, virtuelle Währungen zum Waschen von Lösegeldern missbrauchen und andere Cyberverbrechen begehen." Auch die NATO bekräftigte in einer Erklärung, dass bösartige Cyberaktivitäten großen Ausmaßes unter bestimmten Umständen wie ein bewaffneter Angriff gesehen werden könnten. Biden sagte in der Pressekonferenz, dass auch die USA erhebliche Fähigkeiten im Bereich der Cyberangriffe hätten. Auch Russland habe lebenswichtige Öl- und Gas-Pipelines zu verteidigen.