https://www.faz.net/-gqe-9cms5

Hackerangriffe auf Amerika : So will Russland in New York das Licht ausknipsen

Potentiell auf Knopfdruck in Finsternis gehüllt: Skyline von New York Bild: dpa

Seit mehr als zwei Jahren sollen sich russische Hacker Zugangsdaten zu Kraftwerken und anderen kritischen Infrastrukturen in Amerika besorgen. Ein Bericht der Cyberabwehr schildert genau, wie die Angriffe ablaufen sollen.

          Es war nur ein Word-Dokument. Ein Word-Dokument im Anhang einer E-Mail von einem scheinbar vertrauenswürdigen Absender, der sich um eine Stelle bewarb. Beigefügt als Word-Dokument war sein Lebenslauf. Doch das Dokument war so konfiguriert, dass es eine Verbindung zu einem fremden Server herstellte, sobald es geöffnet wurde. Dieser Server gehörte einem Hacker, die Bewerbung war ebenso wie der Lebenslauf fingiert.

          Bastian Benrath

          Redakteur in der Wirtschaft.

          Dieser Hacker und viele weitere sollen auf diese Weise die Steuerungssysteme von amerikanischen Kraftwerken und weiteren kritischen Infrastrukturen infiltriert haben. Sie alle sollen aus Russland kommen – so schreiben es das FBI und das amerikanische Heimatschutzministerium in einem gemeinsamen Bericht. „Seit mindestens März 2016 haben Cyberakteure der russischen Regierung (...) gezielt (amerikanische) Regierungsstellen und mehrere Sektoren kritischer Infrastrukturen der Vereinigten Staaten angegriffen“, heißt es darin. „Darunter waren Energie-, Atom- und Handelsanlagen sowie die Wasserversorgung, die Luftfahrt und kritische Industriesektoren.“ Die Angriffe dauerten weiterhin an.

          Wie das „Wall Street Journal“ unter Berufung auf das Ministerium berichtet, sind Hunderte Rechner angegriffen worden. „Sie sind an den Punkt gekommen, wo sie den Schalter hätten umlegen können“, sagte Jonathan Homer, Ministeriums-Chefanalyst für Industriekontrollsysteme, der Zeitung. Damit hätten sie amerikanischen Städten den Strom abschalten können.

          Wie die Hacker vorgingen

          Der Bericht legt detailliert dar, wie die bisherigen Angriffe abgelaufen sein sollen. Die Hacker nutzen demnach Firmen, die Verbindungen zu den eigentlichen Zielen hatten, um an diese heranzukommen. So infiltrierten sie zunächst etwa einen Zulieferer für Kraftwerksteile, dessen Systeme weniger stark geschützt waren als die des Elektrizitätswerks.

          Waren sie in die Systeme des Zulieferers eingedrungen, erstellten sie auf deren Server ein E-Mail-Konto der Firma. Von dort schickten sie eine mit Schadsoftware infizierte Mail an das Elektrizitätswerk – sozusagen von einem echten Absender. Auf diese Weise waren die E-Mails kaum von nicht-fingierten Mails zu unterscheiden.

          Um in die Systeme hereinzukommen, benutzten die Hacker die sogenannte Spear-Phishing-Methode. Dabei verschickten sie, wie oben beschrieben, E-Mails mit einem Word-Dokument im Anhang, das beim Öffnen eine Verbindung zu einem ihrer Server herstellte, ohne dass der arglose Öffner der E-Mail dies merkte.

          Das haben die Hacker gesehen: Rekonstruierter Screenshot eines Industrie-Steuerungsprogramms, der von den Ermittlern sichergestellt wurde.

          Das Dokument stellte nicht nur die Verbindung her, sondern übertrug an den Server auch ein Abbild der Zugangsdaten, mit denen sich der Benutzer am Computer seiner Firma angemeldet hatte. Das geschah über ein in Microsoft Word integriertes Protokoll zum Abruf externer Inhalte aus dem Internet, die in das Dokument eingefügt werden. Dieses wird weltweit vielfach verwendet – konnte aber den amerikanischen Behörden zufolge eben auch für die Hackerangriffe missbraucht werden.

          Mit dem erbeuteten Abbild der Zugangsdaten (einem sogenannten „Hash“) konnten die Hacker das Passwort des Benutzers knacken. Dazu speisten sie den Hash in ein Knackprogramm ein, das es berechnete. Mit der geknackten Kombination aus Benutzername und Passwort konnten sie in die Steuersysteme etwa von Kraftwerken oder Fluglotsen eindringen und dort Programme installieren. Diese Schadprogramme könnten ihnen erlauben, die Kontrolle über die Systeme zu übernehmen, wie es hieß.

          Warum Russland dahinterstecken soll

          FBI und Heimatschutzministerium erläutern in ihrem Bericht nicht, warum sie glauben, dass Russland hinter den Angriffen steckt. Es heißt lediglich, ihre Analyse habe zur „Identifizierung eindeutiger Indikatoren und Verhaltensweisen“ geführt, die belegten, dass russische Hacker verantwortlich seien.

          Der Bericht verweist dazu auf den „Dragonfly“-Bericht der Internet-Sicherheitsfirma Symantec, den sie im September vergangenen Jahres vorgelegt hatte. Darin beschreibt das Unternehmen Cyberangriffe auf Stromnetze in westlichen Ländern, die auf das Konto einer Hackergruppe namens „Dragonfly“ gehen sollen. Den Behörden zufolge verhielten sich die Hacker im aktuellen Fall ähnlich wie die der „Dragonfly“-Gruppe. Dass die Gruppe aus Russland stammt, sagt Symantec allerdings nicht. Es ist lediglich die Rede davon, dass einige ihrer Codefragmente russische Sprache enthielten. Andere seien jedoch auf Französisch gewesen.

          Weitere Themen

          Dax rauscht in die Tiefe Video-Seite öffnen

          Kurssturz an der Börse : Dax rauscht in die Tiefe

          Zunehmende Konjunktursorgen und die Unsicherheit rund um den Brexit haben den Börsen zugesetzt. Erstmals seit sieben Jahren dürfte der deutsche Leitindex das Jahr in den roten Zahlen abschließen.

          Ecuadors unbequemer Dauergast

          Julian Assange : Ecuadors unbequemer Dauergast

          In der Botschaft Ecuadors in London ist Julian Assange seit 2012 vor einer Auslieferung nach Amerika sicher, wo ihm ein Verfahren wegen Geheimnisverrats droht. Doch jetzt will Ecuador den Wikileaks-Gründer loswerden.

          Fernverkehr liegt lahm Video-Seite öffnen

          Warnstreiks bei der Bahn : Fernverkehr liegt lahm

          Die Gewerkschaft EVG hat für Montag einen Arbeitskampf angekündigt. Schwerpunkte nannte sie nicht. Mit Beeinträchtigungen müsse im ganzen Land gerechnet werden. Die Deutsche Bahn rät Reisenden ihre Fahrt zu verschieben.

          Topmeldungen

          Der französische Präsident Emmanuel Macron während seiner Ansprache an die Nation.

          Protest der „Gelbwesten“ : Macrons Kehrtwende

          Er sei kein Weihnachtsmann, hatte der französische Präsident Emmanuel Macron zuvor gesagt. Doch fast ein Monat mit teils gewalttätigen Protesten zeigt jetzt Wirkung: Zum 1. Januar gibt es in Frankreich Geldgeschenke.

          Brexit-Chaos : Jetzt ist alles denkbar

          Nach der Verschiebung der Brexit-Abstimmung im Unterhaus erscheint alles denkbar: Theresa Mays Rücktritt, ihr Sturz, Neuwahlen – oder ein neu ausgehandelter Brexit-Vertrag.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.