WASHINGTON – Zwei Wochen nachdem Präsident Biden den russischen Präsidenten Wladimir V. Putin getroffen und ihn aufgefordert hatte, die ständigen Cyberangriffe gegen amerikanische Ziele einzudämmen, enthüllten amerikanische und britische Geheimdienste am Donnerstag die Details dessen, was sie eine globale Anstrengung des russischen Militärgeheimdienstes nannten Organisation, um in Regierungsorganisationen, Rüstungsunternehmen, Universitäten und Medienunternehmen einzubrechen.
Die Operation, die als grob, aber breit beschrieben wird, ist „fast sicher im Gange“, sagten die National Security Agency und ihr britisches Gegenstück, bekannt als GCHQ, in einer Erklärung. Sie identifizierten den russischen Geheimdienst GRU als dieselbe Gruppe, die sich in das Demokratische Nationalkomitee gehackt und E-Mails veröffentlicht hatte, um die Präsidentschaftswahlen 2016 zugunsten von Donald J. Trump zu beeinflussen.
Die Enthüllung vom Donnerstag ist ein Versuch, russische Hacker-Techniken aufzudecken, anstatt neue Angriffe, und enthält Seiten mit technischen Details, die es potenziellen Zielen ermöglichen, zu erkennen, dass eine Verletzung im Gange ist. Viele der Aktionen der GRU – einschließlich des Versuchs, Daten abzurufen, die in den Azure-Cloud-Diensten von Microsoft gespeichert sind – wurden bereits von privaten Cybersicherheitsunternehmen dokumentiert.
Aber die politische Bedeutung der Aussage ist größer: Ob die GRU-Angriffe nachlassen, könnte durchaus ein erster Test sein, ob die Botschaft von Herrn Biden an Herrn Putin beim Gipfel in Genf angekommen ist. Dort überreichte ihm Herr Biden eine Liste mit 16 Bereiche der „kritischen Infrastruktur“ in den Vereinigten Staaten und sagte, dass sie anhaltende russische Cyberangriffe nicht tolerieren würde. Er forderte aber auch eine generelle Verringerung der von russischem Territorium ausgehenden Verstöße.
„Wir werden herausfinden, ob wir eine Cybersicherheitsvereinbarung haben, die beginnt, etwas Ordnung zu schaffen“, sagte Biden am Ende des Treffens, nur wenige Minuten nachdem Herr Putin erklärt hatte, dass die Vereinigten Staaten und nicht Russland die größte Quelle seien von Cyberangriffen auf der ganzen Welt. Herr Biden sagte auch wiederholt, dass er unsicher sei, dass Herr Putin auf die amerikanische Warnung oder die Reihe damit verbundener Finanzsanktionen reagieren würde, die in den letzten fünf Jahren gegen Moskau verhängt wurden.
Nach Angaben von Verwaltungsbeamten beabsichtigten das Weiße Haus oder Geheimdienste die Beratung nicht als Folgemaßnahme zum Gipfel. Stattdessen, sagten sie, wurde es als Teil der routinemäßigen Warnungen der National Security Agency vor nationalstaatlichen Bedrohungen veröffentlicht, sagte Charlie Stadtlander, ein Sprecher der Agentur, „nicht als Reaktion auf internationale Versammlungen der letzten Zeit“.
Aber das wird Herrn Putin oder der GRU wahrscheinlich nichts ausmachen, da sie versuchen, die Schritte zu bewerten, die die Biden-Regierung zu unternehmen bereit ist, um ihre Cyberkampagnen einzudämmen.
Jake Sullivan, der nationale Sicherheitsberater, sagte Tage nach dem Gipfel, dass es Monate dauern könnte, um festzustellen, ob die Warnung an Herrn Putin zu einer Verhaltensänderung führte. „Wir legen den Maßstab fest, ob in den nächsten sechs bis zwölf Monaten die Angriffe auf unsere kritische Infrastruktur aus Russland tatsächlich zurückgehen“, sagte er auf CBS. “Der Beweis für den Pudding wird im Essen liegen, also werden wir im Laufe der kommenden Monate sehen.”
Aus den von der National Security Agency bereitgestellten Daten war unklar, wie viele der Ziele der GRU – auch bekannt als Fancy Bear oder APT 28 – auf der Liste der kritischen Infrastrukturen stehen könnten, die vom Department of Homeland Security’s Cybersecurity and Infrastructure geführt wird Sicherheitsbehörde. Zum Zeitpunkt der Angriffe auf das Wahlsystem im Jahr 2016 standen Wahlsysteme – einschließlich Wahlmaschinen und Registrierungssysteme – nicht auf der Liste und wurden in den letzten Tagen der Obama-Regierung hinzugefügt. Amerikanische Geheimdienste sagten später, Herr Putin habe die Anschläge von 2016 direkt genehmigt.
Aber die Erklärung der National Security Agency identifizierte Energieunternehmen als Hauptziel, und Herr Biden zitierte sie in seinen Gesprächen mit Herrn Putin ausdrücklich und verwies auf den Ransomware-Angriff, der dazu führte, dass die Colonial Pipeline im Mai geschlossen und die Lieferung von Benzin unterbrochen wurde. Diesel und Kerosin entlang der Ostküste. Dieser Angriff sei nicht von der russischen Regierung, sagte Biden damals, sondern von einer kriminellen Bande, die von Russland aus operierte.
In den letzten Jahren hat die National Security Agency Cyberangriffe aggressiver bestimmten Ländern zugeschrieben, insbesondere solchen von gegnerischen Geheimdiensten. Aber im Dezember wurde es vom raffiniertesten Angriff auf die Vereinigten Staaten seit Jahren, dem SolarWinds-Hacking, überrascht, von dem Bundesbehörden und viele der größten Unternehmen des Landes betroffen waren. Dieser Angriff, von dem die National Security Agency später sagte, dass er vom SVR, einem konkurrierenden russischen Geheimdienst, der ein Ableger des KGB war, durchgeführt wurde, veränderte erfolgreich den Code in gängiger Netzwerkmanagement-Software und damit in den Computernetzwerken von 18.000 Unternehmen und Regierungsbehörden.
An den Methoden, die der russische Geheimdienst nach Angaben der Vereinigten Staaten anwendet, ist nichts Ungewöhnliches. Es gibt keine maßgeschneiderte Malware oder unbekannte Exploits von der GRU-Einheit. Stattdessen verwendet die Gruppe gängige Malware und die grundlegendsten Techniken wie das Brute-Force-Spraying von Passwörtern, das auf gestohlenen oder durchgesickerten Passwörtern beruht, um Zugang zu Konten zu erhalten.
In der Erklärung wurden die Ziele der jüngsten Angriffe der GRU nicht genannt, es hieß jedoch, dass sie Regierungsbehörden, politische Berater, Parteiorganisationen, Universitäten und Denkfabriken umfassten.
Bei den Angriffen geht es offenbar hauptsächlich um das Sammeln von Informationen und Informationen. Die National Security Agency hat keine Möglichkeiten angegeben, wie die russischen Hacker Systeme beschädigten.
Die jüngste Welle von GRU-Angriffen dauert relativ lange an, beginnend im Jahr 2019 und dauert dieses Jahr an.
Sobald sie sich im Inneren befanden, erhielten die GRU-Hacker Zugang zu geschützten Daten und E-Mails – sowie zu Cloud-Diensten, die von der Organisation verwendet werden.
Die Hacker waren für den ersten Verstoß gegen das Democratic National Committee im Jahr 2016 verantwortlich, der zum Diebstahl und zur Freigabe von Dokumenten führte, die der Kampagne von Hillary Clinton schaden sollten.
Am Donnerstag veröffentlichte die National Security Agency eine Liste von Umgehungs- und Exfiltrationstechniken, die die GRU verwendet, um IT-Managern zu helfen, Angriffe der Hackergruppe zu erkennen und zu stoppen.
Dieser Mangel an Raffinesse bedeutet, dass ziemlich grundlegende Maßnahmen wie Multi-Faktor-Authentifizierung, Timeout-Sperren und vorübergehende Deaktivierung von Konten nach Eingabe falscher Passwörter Brute-Force-Angriffe effektiv blockieren können.