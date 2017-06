In einem NSA-Bericht werden russische Militärhacker beschuldigt, vor den US-Wahlen dortige Wahlbehörden und deren Lieferanten angegriffen zu haben. Der streng geheime Bericht wurde dem Internetmagazin The Intercept zugespielt und hat bereits Konsequenzen.



Das Wappen des russischen Militärgeheimdienstes GRU Hacker des Militärnachrichtendienstes der Russischen Föderation (GRU) sollen vor den US-Wahlen vom November 2016 zumindest versucht haben, in die Systeme von US-Wahlbehörden und Dienstleistern einzudringen. Das geht aus einem geheimen Bericht der NSA hervor, der von The Intercept veröffentlicht wurde. Er dreht sich in erster Linie um einen mehrstufigen Spearphishing-Angriff, hält sich bei der Beurteilung eines etwaigen Erfolgs aber bedeckt.

Das Dokument ist als "Top Secret" gekennzeichnet und wurde offenbar in der ersten Maiwoche erstellt. Es enthält eine Zusammenfassung von Ermittlungsergebnissen, aber keine Rohdaten. Offen bleibt, auf welcher Grundlage der GRU beschuldigt wird. Berichtet wird über drei verschiedene, dem GRU zugeschriebene Anläufe im Zeitraum von August bis November 2016. Von dem schwerwiegendsten der drei Fälle hat die NSA laut ihrem Bericht erst am 27. April erfahren.

Mehrstufiges Spearphishing

Laut NSA hatte der GRU die E-Mail-Adresse noreplyautomaticservices@gmail.com registriert. Von dort sollen am 24. August Spearphishing-Nachrichten an vier existierende und drei nicht existierende E-Mail-Adressen der US-Firma VR Systems ergangen sein. VR Systems lieferte Software für die Verwaltung des Verzeichnisses der Wahlberechtigten in acht US-Staaten.

Mindestens einer der angeschriebenen vier VR-Mitarbeiter dürfte auf das Spearphishing hereingefallen sein und seine E-Mail-Zugangsdaten preisgegeben haben. Die NSA vermutet, dass der GRU es auf Daten über wahlrelevante Hard- und Software abgesehen hatte. Zwar zählt das Wählervidenzsystem von VR Systems keine elektronisch abgegebenen Stimmen, ist aber unter Umständen mit den zur Stimmabgabe genutzten Wahlcomputern verbunden.

Zudem dürfte das Eindringen bei dem Dienstleister den Zugriff auf Dokumente gebracht haben, die für die nächste Stufe des Spearphishing wertvoll waren. Diese folgte kurz vor dem Wahltermin vom 7. November: Am 27. Oktober wurde laut Bericht die E-Mail-Adresse vr.elections@gmail.com eingerichtet. Von diesem Konto aus wurden am 31. Oktober und/oder 1. November 122 Empfänger bei verschiedenen lokalen US-Wahlbehörden angeschrieben. Angehängt war ein Microsoft-Word-Dokument mit einer echten Anleitung für das von VR Systems gelieferte Wählerevidenzsystem – plus einem bösartigen Visual-Basic-Script.

Spearphishing 2 mit Visual Basic

Wurde das infizierte Dokument auf einem Windows-Rechner mit Microsoft Word geöffnet, startete das Script eine Shell, über die diverse nicht genannte Befehle ausgeführt wurden. Zudem wurde weitere, dem Autor des Berichts nicht bekannte Software von einem Server in den USA heruntergeladen. Auf diesem Weg könnten sich die Angreifer permanenten Zugriff auf und Kontrolle über Systeme von Wahlbehörden verschafft haben.

Die acht Staaten, in die VR Systems seine Wählerevidenzlösung geliefert hat, sind laut The Intercept Florida, Illinois, Indiana, Kalifornien, New York, North Carolina, Virginia und West Virginia. Von diesen Acht gewann Donald Trump Indiana, North Carolina, West Virginia, sowie knapp Florida. Letzteres war besonders umkämpft, weil ein Gewinn dort viele Wahlmännerstimmen bringt.

Weitere Versuche bei anderen Stellen



Die NSA (Logo) zeiht der GRU der Spearphishing-Angriffe. Parallel zu diesen Attacken wirft der Bericht dem GRU noch mindestens zwei weitere Anläufe vor: Am 19. Oktober soll demnach ein E-Mail im Namen einer weiteren US-Wahlsoftwarefirma verschickt worden sein. Darin sollen die russischen Agenten Dienstleistungen rund um die Wahl feilgeboten haben. Viel mehr ist dem Bericht dazu nicht zu entnehmen.

Darüber hinaus sollen am 18. Oktober zwei Testmails an den Server der Wahlbehörde von Amerikanisch-Samoa geschickt worden sein. Möglicherweise ahnten die Angreifer nicht, dass die USA ihren in dem Territorium wohnhaften Bürgern kein umfassendes Wahlrecht zugestehen. Zwar ist der US-Präsident auch auf Amerikanisch-Samoa Staatsoberhaupt; wer dort lebt, darf aber nicht mitwählen. Auch im US-Senat ist das US-Territorium nicht vertreten. Es darf lediglich einen nicht stimmberechtigten Delegierten in das Unterhaus der USA entsenden. Die angeblich von russischen Agenten geschickten E-Mails wurden von dem Mailserver aber sowieso abgewiesen.

Laut The Intercept haben US-Behörden die New Yorker Website darum ersucht, das NSA-Dokument nicht zu veröffentlichen. Dem kamen die Journalisten nicht nach, allerdings haben sie einzelne Stellen geschwärzt. Eine Stunde nach Veröffentlichung des Berichts wurde dann die Anklage gegen eine indirekte NSA-Mitarbeitern veröffentlicht. Die Frau soll den geheimem Bericht preisgegeben haben.