Hacker im Dienste der russischen Regierung

AKW Wolf Creek. Bild: Google Earth

Um die neuen Sanktionen zu unterstützen, haben das FBI und das Heimatschutzministerium einen Bericht über angebliche Hackerangriffe auf amerikanische und europäische Energieunternehmen vorgelegt

Die Trump-Regierung geht Schritt für Schritt in das antirussische Szenario über, das seit George W. Bush und auch während der Präsidentschaft von Barack Obama ausgebaut wurde. Außenpolitisch wird die Konfrontation mit Russland gesucht, im Hintergrund freilich wird gegen den auch wirtschaftlich mächtigeren Gegner China agiert. Washington hat nun weitere Sanktionen gegen Russland wegen der angenommenen Einmischung in die US-Wahlen und aufgrund von Cyberangriffen sowie der Verbreitung der Malware NotPetya verhängt. Man schloss sich Großbritannien wie auch Frankreich und Deutschland im Fall Skripal gegen Russland an, erhöhte die Militärausgaben auch in Europa und riskierte schon einmal einen militärischen Konflikt in Syrien.

Das Schüren der antirussischen, an den Kalten Krieg erinnernden Stimmung mit einer Dämonisierung von Wladimir Putin, der als scheinbar allmächtig dargestellt wird, überall seine Finger drin haben soll und gefährliche Bedrohung ist, wird von einem Bericht des Heimatschutzministeriums und des FBI noch einmal verstärkt. Zwar haben sich schon russische Oppositionelle beschwert, dass mit der Putin-Hysterie im Westen dessen Macht und Einfluss noch einmal erhöht und ins Irrationale verzerrt wird, aber die medienaffine politische Strategie schätzt einen bösen, personifizierten Gegenspieler, weil sich dann ein besseres Drama inszenieren lässt. Das war schon bei Osama bin Laden und dann bei Saddam Hussein so, die als Gegenspieler der USA enorm aufgewertet wurden, um die Kriege zu rechtfertigen. Die Medien spielten immer mit, schließlich ist das personalisierte Narrativ besser zu verkaufen und zu emotionalisieren als das abstraktere Spiel von vielfältigen Interessen.

Anfang 2017 auf einem ersten Höhepunkt der Hysterie und angesichts des Amtsantritts von Donald Trump hatte die Washington Post berichtet, dass russische Hacker in das amerikanische Stromnetz eingedrungen seien. Die Story erhielt große Aufmerksamkeit, die Zeitung musste sie aber zurückziehen, weil nichts dergleichen geschehen war. Der infizierte Rechner war gar mit dem Computernetz des Stromversorgers verbunden gewesen (Die Story, dass russische Hacker in das US-Stromnetz eingedrungen seien, war heiße Luft).

Im Juli 2017 wurde dann von der New York Times berichtet, dass nach dem FBI und dem Heimatschutzministerium (DHS) womöglich russische Hacker in die Computernetze von Unternehmen eindringen, die AKW und andere Energiewerke betreiben. Auch Fabriken seien Angriffsziele. Das wären als Gefährdung der nationalen Sicherheit eingestufte Angriffe auf einen Teil der kritischen Infrastruktur, die großenteils mit SCADA-Systemen gesteuert wird. Die Rede war damals davon, dass Hacker, die man in Russland verortete, angeblich in das Computersystem der Wolf Creek Nuclear Operating Corporation eingedrungen seien, die ein AKW bei Burlington in Kansas betreibt. Angeblich seien sie aber nicht zu den Steuerungssystemen vorgedrungen (Nach FBI-Bericht soll es Hackerangriffe auf einen AKW-Betreiber gegeben haben).

Im Zuge der gerade verhängten Sanktionen scheint nun dieser Bericht in Form einer Warnung (Alert) jetzt veröffentlicht worden zu sein. In dem Bericht heißt es, "Cyberakteure der russischen Regierung" hätten Computersysteme von Behörden und vielen Bereichen der kritischen Infrastruktur (Energie, Atomkraft, Unternehmen, Wasser, Luftfahrt und kritischen Industrien) angegriffen. Mit expliziter Sicherheit wird schon im Titel der Warnung, die auf Hinweise für mögliche Angriffe und technische Einzelheiten verweist, gesagt, "Cyberaktivität der russischen Regierung" würde den Energiesektor und anderen Bereiche der kritischen Infrastruktur angreifen. Die Aktivitäten hätten spätestens im März 2016, also noch während der Primaries der Republikanischen Partei im amerikanischen Präsidentschaftswahlkampf, begonnen. Angegriffen worden seien nicht nur Computersysteme in den USA, sondern auch in Europa.

Rekonstruierter Screenshot, den die Eindringlinge gemacht haben.

Als Beleg, dass es sich um Hacker im Dienst der russischen Regierung handelt, wird wieder einmal auf Taktiken, Techniken und Methoden (TTPs) verwiesen, die freilich auch von anderen verwendet werden können. Nach DHS und FBI handelt es sich um eine Kampagne von Cyberakteuren der russischen Regierung auf vielen Ebenen, die sich gegen Netzwerke von kleinen Firmen gerichtet habe, wo Malware platziert wurde. Die New York Times versieht einen Artikel über den Bericht mit dem reißerischen Titel: "Cyberattacks Put Russian Fingers on the Switch at Power Plants, U.S. says".

Man habe, so heißt es unter der Überschrift "Weaponization", versucht, mit Spear Phishing durch Emails oder "Wasserstellen" (watering holes), also veränderte Webseiten, an Passwörter zu kommen, und habe erreicht, damit einen Fernzugang zu Netzwerken des Energiesektors zu erhalten, beispielsweise durch gefälschte Accounts. Danach hätten die Eindringlinge das Netzwerk erkundet und Informationen über industrielle Steuerungssysteme (ICS) oder SCADA gesammelt. Das Vorgehen sei über zwei Stufen erfolgt, zuerst seien eben kleinere, weniger geschützte Netzwerke angegriffen worden, von denen aus man dann auf die eigentlichen Ziele vorzudringen versuchte.

Welche oder wie viele Unternehmen direkt betroffen sind, wird in dem Bericht nicht gesagt, die Rede ist nur vage von "vielen". Offenbar wurden Netzwerke nur ausgekundschaftet und Zugänge eingerichtet, ohne Sabotageakte auszuführen oder Computersysteme abzuschalten. Betont wird aber, dass die Hacker im Auftrag des russischen Staats, davon wird immer selbstverständlich ausgegangen, die Möglichkeit gehabt hätten. Die New York Times zitiert Eric Chien von Symantec, der sagt: "Wir haben nun Beweise, dass sie sich in den Maschinen befinden, die mit der industriellen Steuerungsinfrastruktur verbunden sind, was es ihnen ermöglicht, den Strom abzustellen oder Sabotage zu begehen." Die Hacker hätten von den Computern in Energie- und Atomkraftwerken Screnshots gemacht und Informationen mit genauen Beschreibungen, wie sie bedient werden, gestohlen. Was fehle, sei aber eine "politische Motivation".

Die politische Motivation seitens des FBI und Heimatschutzministeriums scheint mit der erstmals expliziten und als zweifelsfrei behaupteten Beschuldigung der russischen Regierung jedenfalls auf der Hand zu liegen. In dem Bericht wird nicht einmal wie sonst üblich davon gesprochen, dass es sich vermutlich, wahrscheinlich oder mit großer Sicherheit um Hacker im Auftrag der russischen Regierung handelt, sondern es wird Gewissheit suggeriert. Das könnte natürlich auch Donald Trump unter Zugzwang gesetzt haben, die Sanktionen zu genehmigen und von russischen Beeinflussungsoperationen und Hacks zu sprechen. Das hatte er lange Zeit versucht, herunterzuspielen oder beiseite zu wischen, da dies ja auch das Eingeständnis wäre, dass sein Wahlerfolg damit etwas zu tun haben könnte.

Nach der Entlassung von Rex Tillerson als Außenminister, der durch den CIA-Direktor Mike Pompeo ersetzt werden soll, geht es nun auch nach Medienberichten dem Sicherheitsberater und Ex-General H.R. McMaster an den Kragen. Trump scheint seine Mannschaft neu zu ordnen und ihn außenpolitisch mäßigende Personen zu entfernen (Florian Rötzer)

Anzeige