Hacker, die mit dem wichtigsten russischen Geheimdienst verbunden sind, beschlagnahmten heimlich ein E-Mail-System, das von der internationalen Hilfsorganisation des Außenministeriums verwendet wurde, um sich in die Computernetzwerke von Menschenrechtsgruppen und anderen Organisationen einzudringen, die Präsident Wladimir V. Putin kritisiert haben, teilte die Microsoft Corporation mit am Donnerstag.
Die Entdeckung des Verstoßes erfolgt nur drei Wochen vor dem geplanten Treffen von Präsident Biden mit Herrn Putin in Genf und in einem Moment erhöhter Spannungen zwischen den beiden Nationen – teilweise aufgrund einer Reihe immer raffinierterer Cyberangriffe aus Russland.
Besonders kühn war auch der neu aufgedeckte Angriff: Durch die Verletzung der Systeme eines von der Bundesregierung verwendeten Lieferanten verschickten die Hacker echt aussehende E-Mails auf mehr als 3.000 Konten in mehr als 150 Organisationen, die regelmäßig Mitteilungen von der US-amerikanischen Agentur für internationale Entwicklung erhalten. Diese E-Mails gingen erst in dieser Woche raus, und Microsoft sagte, es gehe davon aus, dass die Angriffe andauern.
Der E-Mail wurde Code implantiert, der den Hackern uneingeschränkten Zugriff auf die Computersysteme der Empfänger ermöglicht, vom „Diebstahl von Daten bis zur Infektion anderer Computer in einem Netzwerk“, schrieb Tom Burt, ein Microsoft-Vizepräsident, am Donnerstagabend.
Im vergangenen Monat kündigte Herr Biden eine Reihe neuer Sanktionen gegen Russland und die Ausweisung von Diplomaten für eine ausgeklügelte Hacking-Operation namens SolarWinds an, bei der mit neuartigen Methoden mindestens sieben Regierungsbehörden und Hunderte von großen amerikanischen Unternehmen verletzt wurden.
Dieser Angriff blieb neun Monate lang von der US-Regierung unentdeckt, bis er von einer Cybersicherheitsfirma entdeckt wurde. Im April sagte Herr Biden, er hätte viel stärker reagieren können, entschied sich jedoch für “verhältnismäßig”, weil er nicht “einen Kreislauf der Eskalation und des Konflikts mit Russland einleiten” wollte.
Die russische Reaktion scheint dennoch eine Eskalation gewesen zu sein. Die böswillige Aktivität war erst in der vergangenen Woche im Gange. Dies deutet darauf hin, dass die Sanktionen und alle zusätzlichen verdeckten Maßnahmen des Weißen Hauses – Teil einer Strategie zur Schaffung von „sichtbaren und unsichtbaren“ Kosten für Moskau – den Appetit der russischen Regierung auf Störungen nicht erstickt haben.
Ein Sprecher der Agentur für Cybersicherheit und Infrastruktursicherheit im Department of Homeland Security sagte am späten Donnerstag, die Agentur sei sich “des möglichen Kompromisses” bei der Agentur für internationale Entwicklung bewusst und arbeite “mit dem FBI und USAID zusammen, um das besser zu verstehen.” Ausmaß des Kompromisses und Unterstützung potenzieller Opfer. “
Microsoft identifizierte die russische Gruppe hinter dem Angriff als Nobelium und sagte, es sei dieselbe Gruppe, die für den SolarWinds-Hack verantwortlich sei. Letzten Monat sagte die amerikanische Regierung ausdrücklich, dass SolarWinds das Werk des SVR sei, einer der erfolgreichsten Ausgründungen aus der Sowjetzeit KGB
Dieselbe Agentur war 2016 an den Hackerangriffen des Demokratischen Nationalkomitees beteiligt und zuvor an Angriffen auf das Pentagon, das E-Mail-System des Weißen Hauses und die nicht klassifizierten Mitteilungen des Außenministeriums.
Es ist zunehmend aggressiver und kreativer geworden, sagen Bundesbeamte und Experten. Der SolarWinds-Angriff wurde von der US-Regierung nie entdeckt und über Code ausgeführt, der in Netzwerkverwaltungssoftware implantiert wurde, die von Regierungen und privaten Unternehmen häufig verwendet wird. Wenn Kunden die SolarWinds-Software aktualisierten – ähnlich wie ein iPhone über Nacht -, ließen sie unwissentlich einen Eindringling herein.
Zu den Opfern im vergangenen Jahr gehörten das Ministerium für Heimatschutz und Energie sowie Nuklearlabore.
Als Herr Biden ins Amt kam, ordnete er eine Studie über den Fall SolarWinds an, und Beamte haben daran gearbeitet, zukünftige „Lieferketten“-Angriffe zu verhindern, bei denen Gegner von Bundesbehörden verwendete Software infizieren. Dies ist ähnlich wie in diesem Fall, als das Sicherheitsteam von Microsoft die Hacker über einen weit verbreiteten E-Mail-Dienst der Firma Constant Contact erwischte, um böswillige E-Mails zu senden, die anscheinend von echten Adressen der Agentur für internationale Entwicklung stammten.
Aber der Inhalt war manchmal kaum subtil. In einer E-Mail, die am Dienstag über den Dienst von Constant Contact gesendet wurde, hoben die Hacker eine Nachricht hervor, in der behauptet wurde, dass „Donald Trump neue E-Mails zum Wahlbetrug veröffentlicht hat“. Die E-Mail enthielt einen Link, über den beim Klicken schädliche Dateien auf den Computern der Empfänger abgelegt werden.
Microsoft stellte fest, dass sich der Angriff „erheblich“ vom SolarWinds-Hack unterschied und neue Tools und Handwerkskunst verwendete, um eine Erkennung zu vermeiden. Es hieß, der Angriff sei noch im Gange und die Hacker hätten weiterhin Spearphishing-E-Mails mit zunehmender Geschwindigkeit und Reichweite verschickt. Aus diesem Grund hat Microsoft den ungewöhnlichen Schritt unternommen, die Agentur zu benennen, deren E-Mail-Adressen verwendet wurden, und Beispiele für die gefälschte E-Mail zu veröffentlichen.
Im Wesentlichen kamen die Russen in das E-Mail-System der Agentur für internationale Entwicklung, indem sie die Agentur umrundeten und direkt ihren Softwarelieferanten nachgingen. Constant Contact verwaltet Massen-E-Mails und andere Mitteilungen im Auftrag der Hilfsorganisation.
„Nobelium hat die Angriffe dieser Woche gestartet, indem es sich Zugang zum Constant Contact-Konto von USAID verschafft hat“, schrieb Burt von Microsoft. Constant Contact war für eine Stellungnahme nicht erreichbar.
Microsoft unterhält wie andere große Unternehmen, die sich mit Cybersicherheit befassen, ein großes Sensornetzwerk, um im Internet nach böswilligen Aktivitäten zu suchen, und ist häufig selbst ein Ziel. Es war maßgeblich an der Aufdeckung des SolarWinds-Angriffs beteiligt.
In diesem Fall, so berichtete Microsoft, war das Ziel der Hacker nicht, das Außenministerium oder die Hilfsorganisation zu verfolgen, sondern ihre Verbindungen zu nutzen, um in Gruppen einzudringen, die vor Ort arbeiten – und in vielen Fällen zu Putins stärksten zählen starke Kritiker.
„Mindestens ein Viertel der Zielorganisationen war an der internationalen Entwicklungs-, humanitären und Menschenrechtsarbeit beteiligt“, schrieb Burt. Obwohl er sie nicht namentlich nannte, haben viele dieser Gruppen Russlands Vorgehen gegen Dissidenten enthüllt oder gegen die Vergiftung, Verurteilung und Inhaftierung von Russlands bekanntestem Oppositionsführer Alexei A. Nawalny protestiert.
Der Angriff deutet darauf hin, dass Russlands Geheimdienste ihre Kampagne verstärken, vielleicht um zu zeigen, dass das Land angesichts von Sanktionen, der Ausweisung von Diplomaten und anderem Druck nicht nachgeben würde.
Herr Biden sprach mit Herrn Putin letzten Monat in einem Telefonat über den SolarWinds-Angriff und sagte ihm, dass die Sanktionen und Ausweisungen ein Beweis dafür seien, dass seine Regierung ein erhöhtes Tempo von Cyberoperationen nicht länger tolerieren würde.
Herr Putin hat die Beteiligung Russlands bestritten, und einige russische Nachrichtenagenturen haben argumentiert, dass die Vereinigten Staaten den Angriff gegen sich selbst gestartet haben.
Damals verhängte das Weiße Haus auch eine Reihe neuer Sanktionen gegen russische Einzelpersonen und Vermögenswerte, darunter neue Beschränkungen für den Kauf von russischen Staatsschulden, die es Russland erschweren werden, Geld zu beschaffen und seine Währung zu unterstützen.
“Dies ist der Beginn einer neuen US-Kampagne gegen bösartiges Verhalten Russlands”, sagte Finanzministerin Janet L. Yellen zu der Zeit.
Die Spannungen über die Unterbringung von Cyberkriminellen in Russland nahmen diesen Monat erheblich zu, nachdem eine Ransomware-Gruppe die Unternehmensnetzwerke der Colonial Pipeline als Geiseln genommen hatte. Der Angriff zwang das Unternehmen, eine Pipeline stillzulegen, die fast die Hälfte des Benzin-, Diesel- und Düsentreibstoffs an die Ostküste bringt, was zu einem Anstieg der Gaspreise und Panikkäufen an der Pumpe führte.
Herr Biden sagte vor zwei Wochen, dass „wir in direkter Kommunikation mit Moskau über die Notwendigkeit, dass verantwortliche Länder entschlossen gegen diese Ransomware-Netzwerke vorgehen.“