Zum Inhalt springen

Schadsoftware Vom US-Geheimdienst entwickelt, von Erpressern genutzt

Einige der verheerendsten Cyberangriffe der vergangenen Jahre beruhen auf einer Windows-Schwachstelle. Der US-Geheimdienst hatte sie entdeckt und zur Waffe gemacht. 2016 wurde die Software entwendet. Jetzt legt sie ganze Städte lahm.

Seit dem 7. Mai befindet sich die Stadt Baltimore im verwaltungstechnischen Ausnahmezustand: Eine Ransomware hat weite Teile der Behördenkommunikation lahmgelegt, rund 10.000 Computer sollen betroffen sein .

Andere Teile wurden vorsichtshalber abgeschaltet, um die Verbreitung der Erpressersoftware zu verhindern. Das städtische E-Mail-System ist lahmgelegt, Bürger können ihre Wasserrechnungen nicht bezahlen und die Stadt keine Immobiliengeschäfte der Einwohner betreuen. Mittlerweile gibt es erste notdürftige Ersatzsysteme, mehr aber auch nicht.

Die Situation in Baltimore ist ein Lehrstück darüber, welche Folgen es haben kann, wenn Geheimdienste oder andere staatliche Einrichtungen kritische IT-Sicherheitslücken finden, zu Waffen machen und geheim halten, statt sie dem betroffenen Hersteller zu melden.

Denn wie die "New York Times" nun berichtet , haben die unbekannten Täter das Angriffswerkzeug EternalBlue gewählt. Es nutzt eine Schwachstelle in Windows XP und Windows Vista aus und wurde einst vom US-Auslandsgeheimdienst NSA entwickelt, nur wenige Kilometer von Baltimore entfernt.

WannaCry, NotPetya und jetzt Baltimore: Angriffe mit EternalBlue

Doch den Geheimdienstlern kam ihr Werkzeug abhanden. Unbekannte, die sich die ShadowBrokers nannten, behaupteten im August 2016, die NSA gehackt zu haben. In den folgenden Monaten veröffentlichten sie ihre Beute im Netz, darunter auch EternalBlue.

Zwar hatte die NSA Microsoft zu diesem Zeitpunkt bereits informiert, so dass es rechtzeitig Windows-Sicherheitspatches gab, mit denen EternalBlue gestoppt werden konnte. Doch die zugrundeliegende Schwachstelle betraf Millionen von Rechnern und Server in aller Welt. Bis heute gibt es Unternehmen und Behörden, die das Microsoft-Update nicht eingespielt haben - sei es aus Bequemlichkeit, aus Ignoranz, mangelnden Kapazitäten oder weil so etwas in alten, komplexen Netzwerken mit vielen Abhängigkeiten sehr kompliziert sein kann.

Die Folgen waren und sind Angriffe, die auf EternalBlue basieren, in aller Welt:

  • Die Ransomware WannaCry ging vor zwei Jahren um die Welt und legte Hunderttausende Computer lahm, auch in Deutschland, etwa bei der Deutschen Bahn und bei Beiersdorf.
  • Die Schadsoftware NotPetya folgte nur einen Monat später, mit noch gravierenderen Folgen. NotPetya sah nur auf den ersten Blick aus wie eine Ransomware, tatsächlich aber zerstörte sie die Netzwerke großer Unternehmen wie der Container-Reederei Maersk und richtete dadurch Milliardenschäden an.
  • Iranische Hacker sollen Unternehmen im Mittleren Osten kompromittiert  haben.

Und nie war die Zahl der versuchten Angriffe mit EternalBlue höher als heute, teilt die IT-Sicherheitsfirma ESET mit . Denn die jeweiligen Täter können über spezielle Suchmaschinen erkennen, dass noch immer mehr als eine Million PCs und Server potenziell verwundbar sind.

Einige davon stehen in Baltimore sowie in mehreren US-Städten von Pennsylvania bis Texas. Sie alle wurden mit Ransomware angegriffen, die auf EternalBlue basiert. Die Täter verlangen nicht einmal besonders viel Geld, in Baltimore etwa sind es nur 13 Bitcoin, umgerechnet knapp 100.000 Euro. Aber so lange die Städte nicht zahlen, müssen sie versuchen, ihre Systeme neu aufzusetzen, und so lange zum Beispiel private E-Mail-Konten der Mitarbeiter verwenden.

Dem Bericht der "New York Times" zufolge haben Sicherheitsexperten bereits drei Angriffe auf Universitäten in den USA festgestellt und auch in Los Angeles, Dallas und New York verwundbare Server entdeckt.

EternalBlue wurde angeblich fünf Jahre lang von der NSA genutzt

"Wir gehen davon aus, dass EternalBlue auf ewig genutzt wird, weil es so nützlich ist, wenn Angreifer ein ungepatchtes System entdecken", zitiert die Zeitung eine Spezialistin der Sicherheitsfirma Palo Alto Networks.

Drei ehemalige NSA-Mitarbeiter, deren Namen die Zeitung nicht nannte, bekräftigten die Einschätzung. Es habe demnach fast ein Jahr gedauert, EternalBlue zu entwickeln, sei dann fünf Jahre lang in zahllosen Spionage- und Antiterrormissionen eingesetzt worden. Das Werkzeug sei als so wertvoll angesehen worden, dass die NSA niemals ernsthaft erwogen habe, Microsoft über die zugrundeliegende Schwäche in Windows zu informieren.

Der frühere NSA-Direktor Mike Rogers, in dessen Amtszeit der nie aufgeklärte ShadowBrokers-Fall fiel, verteidigte das Vorgehen dem Bericht zufolge kürzlich mit einem Vergleich: "Wenn Toyota Pick-up-Trucks baut und jemand einen davon klaut, eine Bombe daran anbringt und damit in eine Menschenmenge rast, ist dann Toyota verantwortlich?"

Tom Burt, bei Microsoft verantwortlich für Kundensicherheit, antwortete: "Ich bin ganz anderer Meinung. Diese Angriffswerkzeuge werden von Regierungen entwickelt und geheim gehalten, um als Spionagewerkzeuge oder Waffen eingesetzt zu werden. Wenn jemand sie klaut, bringt er keine Bombe daran an. Es sind bereits welche."

Die Wiedergabe wurde unterbrochen.