Hacker sollen laut Medienberichten das Finanz- und das Handelsministerium sowie weitere Behörden der USA angegriffen haben. Die "Washington Post" berichtete am Sonntagabend, dass Hacker mit Verbindungen zum russischen Geheimdienst SWR für die Angriffe verantwortlich seien. Die Cyberattacken dauern demnach seit Monaten an.

Der Sprecher des Nationalen Sicherheitsrats, John Ullyot, teilte mit: "Die US-Regierung ist sich dieser Berichte bewusst, und wir unternehmen alle notwendigen Schritte, um mögliche Probleme im Zusammenhang mit dieser Situation zu identifizieren und zu beheben." Wie ernst die US-Behörden den Vorfall nehmen, zeigt sich nicht zuletzt daran, dass der Nationale Sicherheitsrat am Sonntagabend zu einer Notfallsitzung zusammengekommen ist, um den Vorfall zu besprechen.

Bestätigung

Das Handelsministerium bestätigte dem Sender CNN, dass Hacker in einem seiner Büros Schutzmaßnahmen überwunden hätten. Offen lässt man hingegen, auf welche Daten die Hacker konkret Zugriff hatten. Im Bericht der "Washington Post" ist die Rede davon, dass die Angreifer monatelang Mail-Diskussionen über Policy-Entscheidungen zu Internet- und Telekommunikationsfragen mitgelesen haben. Offenbar war es den Angreifen zuvor gelungen, sich in der Microsoft-Office-Umgebung bei der National Telecommunications and Information Administration (NTIA) zu verankern.

Bei der Urheberschaft scheint man sich hingegen relativ sicher zu sein: Es handle sich um dieselben Hacker, die die IT-Sicherheitsfirma Fireeye angegriffen hatten, die US-Behörden oft bei Cyberattacken einschalten. Fireeye hatte am vergangenen Dienstag mitgeteilt, dass bei einem erfolgreichen Einbruch in die eigenen Systeme auch Angriffssoftware gestohlen worden sei, mit der das Unternehmen üblicherweise die Abwehrsysteme seiner Kunden teste. Es sei noch unklar, ob diese Werkzeuge für Hackerangriffe eingesetzt werden sollten. Außerdem hätten sich die Angreifer insbesondere für Informationen über Regierungskunden des Unternehmens interessiert.

Fireeye ging davon aus, dass im staatlichen Auftrag agierende Hacker hinter der Attacke steckten. Darauf wiesen unter anderem die technischen Fähigkeiten und die Disziplin der Angreifer hin, hieß es.

Urheberschaft

Als Urheber wird in beiden Fällen die Hackergruppe APT29 – auch "Cozy Bear" genannt – vermutet, hinter der wiederum indirekt der russische Geheimdienst stehen soll. Diese hatte in den vergangenen Jahren immer wieder für spektakuläre Angriffe gesorgt. So soll APT29 auch hinter dem Einbruch in die Systeme der Demokratischen Partei stehen, bei dem vor einigen Jahren interne Mails erbeutet und dann vor der US-Wahl des Jahres 2016 gezielt gestreut wurden. Zuletzt wurde den Hackern unterstellt, auf der Jagd nach Informationen zu einem Covid-19-Impfstoff zu sein, sowohl britische als auch US-amerikanische Behörden hatten diese Behauptung im Juli aufgestellt.

Der Kreml weist diese Behauptungen strikt von sich. Man habe mit dieser Attacke nichts zu tun. Generell wolle man auch noch einmal betonen, dass es Wladimir Putin gewesen wäre, der ein Abkommen zur Cybersicherheit zwischen den USA und Russland vorgeschlagen habe, auf das Washington bisher nicht reagiert habe. In der Vergangenheit hat Russland jeden öffentlichen Vorwurf von Hackerangriffen ähnlich kommentiert.

Spurensuche

Generell ist die sichere Zuordnung solcher Attacken allerdings schwierig, da professionelle Angreifer ihre Spuren sehr gut verwischen können und zum Teil auch Tools anderer Gruppen verwenden, um eine falsche Fährte zu legen. Auch wegen der politischen Implikationen erfolgt die öffentliche Zuordnung solcher Angriffe nur selten – und meist erst nach monatelanger Recherche, bei der mehrere Faktoren wie die verwendeten Methoden, Zielsetzung und hinterlassene Spuren analysiert werden. (apo, APA, 14.12.2020)