Die Nachricht, mit der Opfer zum Klicken verführt werden sollten, las sich brisant: "Donald Trump hat neue Dokumente über Wahlbetrug veröffentlicht." Die Beweise könne man nach einem Klick sehen. Doch die Enthüllung war erfunden, die E-Mail manipuliert, und sie kam auch nicht von USAID, der US-amerikanischen Behörde für Entwicklungszusammenarbeit, obwohl ihr Name im Feld "Absender" stand.
USAID pflegt weltweit Kontakte zu Nichtregierungsorganisationen, und das machte sie womöglich zum unfreiwilligen Pappkameraden in einer großangelegten Operation von Hackern, die Donnerstagnacht bekannt wurde. Die Entdeckung dürfte das Verhältnis von Russland und den USA weiter belasten.
3000 E-Mail-Konten in 150 Organisationen seien angegriffen worden, berichtet das IT-Sicherheitsteam von Microsoft. Es hat die digitalen Spuren des Angriffs gesammelt und zusammengesetzt, nun informiert das Unternehmen die Betroffenen. Ein Zweck der Operation sei es gewesen, eine digitale "Hintertür" in den Computern zu installieren, um darüber zum Beispiel interne Daten zu stehlen.
Neben Regierungsbehörden und Thinktanks seien Nicht-Regierungsorganisationen betroffen. Mindestens ein Viertel der Ziele seien in der internationalen Entwicklungsarbeit, humanitären oder Menschenrechtsarbeit aktiv, schreibt Tom Burt, der bei Microsoft für Kundensicherheit zuständig ist, in einem Blogpost. Die Namen der Organisationen nennt er nicht.
Biden hat russische Hackerangriffe auf US-Ziele zur Chefsache gemacht
Bei Microsoft sind sie sich sicher: Hinter dem Angriff steht eine Gruppe namens Nobelium. US-Geheimdienste rechnen diese Hacker dem russischen Auslandsgeheimdienst SVR zu. Das ist auch deshalb heikel, weil US-Präsident Joe Biden die Aufarbeitung mutmaßlich russischer Hackerangriffe auf US-Ziele zur Chefsache gemacht hat - und er sich in drei Wochen in der Schweiz mit dem russischen Präsidenten Wladimir Putin treffen will.
Die USA machen dieselbe Gruppe, auch bekannt als APT29, für den gigantischen Hack der IT-Firma Solarwinds Ende 2020 verantwortlich. Damals hatte die Gruppe zentrale Infrastruktur unterwandert, nämlich die Update-Funktion, mit der Solarwinds seine Software auf den Computern seiner Kunden aktualisiert - und die deshalb keinen Alarm auf den Computern auslöst. So verteilten die Hacker ihre Schadsoftware über die Welt und konnten auf bis zu 18 000 Computernetzwerke von Unternehmen und Behörden zugreifen. Neben Unternehmen wie Intel und Deloitte war auch das US-Verteidigungsministerium betroffen.
Microsoft-Präsident Brad Smith bezeichnete den Fall als "größten und ausgefeiltesten Angriff, den die Welt jemals erlebte". Sergej Naryschkin, Chef des russischen SVR, hat die Verantwortung für den Solarwinds-Angriff in einem BBC-Interview von sich gewiesen. Er fühle sich zwar geehrt, dass seinem Dienst so eine komplexe Operation zugetraut werde, könne aber die "kreative Leistung" nicht für sich beanspruchen. Viele Fachleute hatten sich beeindruckt von den technischen Fähigkeiten der Gruppe gezeigt.
Laut Microsoft sind die Täter noch aktiv
Auch dieses Mal ritt Nobelium wieder "Huckepack" auf einer Technik, der viele vertrauen: Die Angreifer unterwanderten Constant Contract, einen Dienst, über den viele Organisationen und Unternehmen Massen-E-Mails verschicken, darunter auch USAID. Ende Januar begannen die Angreifer Microsoft zufolge, ihre Ziele mit Test-Mails auszukundschaften, um herauszufinden, wer von ihnen auf manipulierte Links klickte. Vergangene Woche sei die Hackeroperation "eskaliert", schreibt Microsoft, die Angreifer versuchten, Tausende E-Mail-Konten zu kompromittieren.
Spearphishing nennt sich die Taktik, E-Mails gezielt auf einzelne Ziele zuzuschneiden und dann zu versuchen, das Ziel zum verhängnisvollen Klick zu bewegen, durch den sich die Schadsoftware auf dem Computer einschleichen kann. E-Mail-Schutzprogramme gegen Spam bemerkten die ungewöhnlich hohe Zahl von Mails und blockierten Microsoft zufolge einen großen Teil der Nachrichten, aber einige schafften es durch die Schutzschilde. Microsoft bezeichnete den Hack als "aktiven Zwischenfall". Die Täter schnüffeln also immer noch.
