Mit Tricks gegen Hacker Microsoft greift in Cyberattacke gegen die Ukraine ein
Cyberangriff (Symbolbild)
Foto: Kacper Pempel/ REUTERSDer amerikanische Microsoft-Konzern hat nach eigenen Angaben Angriffe russischer Hacker auf Einrichtungen in der Ukraine, Europa und den USA unterbrochen. Das teilte Microsoft am Donnerstag in einem Blogbeitrag mit. Demnach hatte der US-Konzern bereits am Mittwoch die Kontrolle über sieben Internetdomains übernommen, von denen aus die Angriffe durchgeführt worden sein sollen.
Hinter den Spionageangriffen steckt laut Microsoft die Hackergruppe Strontium, die auch unter den Namen APT28, Sofacy, Pawn Storm und Fancy Bear bekannt ist. Die Hacker sollen Verbindungen zum russischen Geheimdienst haben und waren in den vergangenen Jahren immer wieder mit großen Cyberangriffen in die Schlagzeilen geraten.
Die aktuellen Ziele der Hacker seien unter anderem Medien und Regierungsbehörden gewesen. Ob auch Organisationen in Deutschland betroffen sind, teilte Microsoft auf Anfrage des SPIEGEL nicht mit.
Mithilfe eines richterlichen Beschlusses habe das Unternehmen die fraglichen Domains übernehmen können. »Wir gehen davon aus, dass Strontium versucht hat, sich langfristig Zugang zu den Systemen der Ziele zu verschaffen, um die physische Invasion taktisch zu unterfüttern und geheime Informationen auszulesen«, heißt es in dem Blogbeitrag. Die ukrainische Regierung sei über die mutmaßlichen Angriffe und Microsofts Gegenmaßnahmen informiert worden.
Hackerangriffe aufs Abstellgleis umgeleitet
Um die Angriffe verpuffen zu lassen, hat Microsoft einen Trick angewendet. Der Datenstrom der Hacker wurde von den gekaperten Domains in ein sogenanntes »Sinkhole« umgeleitet. Das bedeutet: Die Hacker bekommen eine gefälschte Antwort auf ihre Attacken.
Die von den vermeintlichen Opfern zurückgesendeten Informationen – etwa die IP-Adressen von Computern – stammen nicht wirklich von einem PC in einem Behördenbüro oder aus dem Newsroom einer Redaktion. Stattdessen werden den Angreifern von den Servern des Sinkholes Daten übermittelt, die einen erfolgreichen Angriff vorgaukeln.
So ziehen diese Server die Wucht der Angriffe auf sich, lassen sie quasi in einem virtuellen Nichts verpuffen. Die Attacken laufen also ins Leere, während sie gleichzeitig protokolliert werden. Auf diese Weise sei es möglich gewesen, die Ziele der Attacken auf die Angriffe vorzubereiten und die Auswirkungen abzuschwächen.
Das Bundesamt hatte bereits vor knapp einem Monat vor Hackerangriffen auf Ziele in Deutschland gewarnt. Firmen sollten ihre Mitarbeiter für die Gefahren von Phishingmails sensibilisieren und ihre IT auf Cyberattacken vorbereiten.
Die Hackergruppe APT28 wird schon seit Jahren verdächtigt, Aufträge des russischen Geheimdienstes auszuführen. Zu ihren Zielen zählten unter anderem die US-Demokraten im Präsidentschaftswahlkampf im Jahr 2016 und die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE). Auch die massive Hackerattacke auf den Bundestag im Jahr 2015 wird APT28 zugeschrieben. Die Hacker legten damals die komplette IT-Infrastruktur des Parlaments lahm und infizierten Büro-PCs mit Spionagesoftware.
Bei Hackerangriffen ist es oft schwierig, die Täter konkret zu bestimmen. Doch angesichts der Hinweise zum Angriff auf den Bundestag beschuldigte die Regierung die Gruppe damals ganz offiziell. Moskau hat sich zu den Vorwürfen nie geäußert.
