US-Bericht über russischen Hackerangriff Operation "Grizzly Steppe"

Wegen Hackingvorwürfen weist Amerika russische Diplomaten aus. Ein neuer Bericht von FBI und Heimatschutzministerium soll die Sanktionen gegen Moskau rechtfertigen. Was in dem Report steht - und was nicht.

Schaubild aus dem neuen Bericht
NCCIC

Schaubild aus dem neuen Bericht


Der Bericht ist knapp gehalten: 13 Seiten im PDF-Format und zwei Schaubilder sollen beweisen, dass die russischen Geheimdienste hinter den Hackerangriffen rund um die US-Wahl stecken - und nebenbei noch erklären, wie Betroffene die Schadsoftware in ihren Systemen entdecken und wie man sich vor ihr schützen kann.

Den Report haben das FBI und die Cyberabteilung des amerikanischen Heimatschutzministeriums am Donnerstagabend veröffentlicht. Er dient als Rechtfertigung für die gerade gegen Moskau verhängten scharfen Sanktionen.

Demnach hätten "Russlands zivile und militärische Geheimdienste" Netzwerke und Endgeräte im Zusammenhang mit der US-Wahl infiltrieren wollen. Der Weg dahin: viele Behörden, Parteien und Organsationen angreifen. Das FBI nennt die groß angelegte Cyberattacke "Grizzly Steppe" - in Anspielung auf die beteiligten Hackergruppen "Fancy Bear" und "Cozy Bear". Ein Grizzly ist ein in Nordamerika lebender Braunbär, das Wort "steppe" bezeichnet auch im Englischen eine weite Graslandschaft.

Viele Indizien, keine handfesten Beweise

Der Bericht liefert allerdings keine handfesten Beweise für den Vorwurf, dass die Angriffe vom russischen Militärgeheimdienst GRU, dem Inlandsgeheimdienst FSB oder dem Kreml direkt angeordnet wurden. Er trägt vielmehr Indizien zusammen, listet Hackergruppen auf, die er als Teile von Russlands Cyberarmee sieht, und enthält einige interessante Details zum Vorgehen der Angreifer (Hier können Sie den Bericht als PDF herunterladen.)

Es wird betont, dass die Angriffe weitergingen - eine letzte Attacke sei wenige Tage nach der US-Wahl gestartet worden.

"Fancy Bear" und "Cozy Bear" sind die zwei wohl berüchtigsten Hackergruppen dieser Tage. Erstere wird unter anderem für den Angriff auf die Anti-Doping-Agentur Wada, den Datenabfluss aus dem Deutschen Bundestag oder den Angriff auf den Fernsehsender TV5Monde verantwortlich gemacht. Sie hat laut westlichen Geheimdiensten Verbindungen zum FSB - offiziell zugängliche Erkenntnisse dazu gibt es nicht.

Angriffe auf Demokraten starteten im Sommer 2015

Die großen Hackerangriffe im Umfeld der US-Wahl nahmen dem Bericht zufolge ihren Ursprung im Sommer 2015, als die Gruppe, die unter Namen wie "APT29" oder eben "Cozy Bear" bekannt ist, betrügerische E-Mails an mehr als 1000 gezielt ausgesuchte Empfänger gesendet habe.

Von Domains aus, die vorgaukeln, zu amerikanischen Organisationen und Universitäten zu gehören, haben sie Schadsoftware verteilt und versucht, an die Passworte der Nutzer zu kommen - und tatsächlich hätten mehrere Betroffene infizierte Anhänge oder Seiten geöffnet. Der Report nennt nur eine "politische Partei" als Ziel - klar ist allerdings, dass es hier um den ersten Hack auf die Parteiführung der US-Demokraten geht.

Zweite Angriffswelle mit Phishing-Mails erwischte John Podesta

Eine zweite Angriffswelle sei dann im Frühjahr 2016 durch Fancy Bear gefolgt. Namen werden im Bericht nicht genannt. Aber: Dahinter verbirgt sich die Welle von Phishing-Mails an weitere Vertreter der Demokraten wie Clintons Wahlkampfleiter John Podesta.

Über seinen Fall ist bereits bekannt, dass er im März 2016 auf einen präparierten Link in einer E-Mail klickte, der suggerierte, es gehe um einen Passwortwechsel bei seinem Google-Konto. Nach diesem Fehler hatten die Hacker Zugang zu 60.000 E-Mails aus dem Postfach Podestas. Das führte zu allerlei peinlichen Geschichten für Clinton, sowie zu absurden Verschwörungstherorien, die sich im Netz verbreiteten.

Skeptische Reaktionen auf die Veröffentlichung

Experten überraschen diese Befunde nicht. Hier werden die Angriffsmuster beschrieben, mit denen die Hackergruppe Fancy Bear gewöhnlich agiert. Dazu gibt es auch mehrere Berichte von IT-Sicherheitsfirmen, die die Angriffsmethode nachgezeichnet haben (etwa diesen). Diese scheuen sich allerdings, eine Verbindung zu Russlands Geheimdiensten aufzustellen. Es gibt dafür zahlreiche Indizen, aber keine öffentlich zugänglichen Beweise.

Die US-Sicherheitsbehörden haben mit dem Report eine Liste von IP-Adressen, Dateinamen, Schadcodes und Signaturen veröffentlicht, die ihren Angaben zufolge von den Hackern verwendet werden. IT-Sicherheitsexperten wundern sich allerdings, dass der Report so wenig belastbare Details enthalte.

Hacker und IT-Fachleute sind ohnehin skeptisch bei öffentlichen politischen Zuordnungen von Cyberangriffen. Es ist bekannt, dass Hacker gern falsche Spuren legen und dass der genaue Nachweis, von wo aus ein Angriff gestartet worden ist, sehr schwierig ist. Viele Hackergruppen und Geheimdienste mieten etwa Server in verschiedenen Ländern an.

Auch die Verfasser des FBI-Reports erwähnen, dass sich die russischen Hacker bei ihren Operationen verkleidet hätten und Betroffene daher "den Ursprung der Attacke falsch zuordnen" würden.

Man darf davon ausgehen, dass den amerikanischen Sicherheitsbehörden weitergehende Informationen vorliegen. Sie tauchen allerdings in dem Bericht nicht auf. Auch in einem weiteren Report, der in drei Wochen mehr Details liefern soll, dürfte manches außen vor bleiben.

Denn die besten Informationen der Amerikaner dürften ihrerseits aus der Infiltrierung russischer Netze stammen - und das macht keine Cybergroßmacht gern öffentlich.

Video: Putin setzt auf Trump



insgesamt 50 Beiträge
Alle Kommentare öffnen
Seite 1
Knackeule 30.12.2016
1. Interessant
Interessant an diesem Bericht finde ich, dass der Wahlkampf-Leiter von H.Clinton anscheinend auf einen der ältesten Pishing-Tricks mit "Aufforderung zum Passwort-Wechsel via E-Mail" hereingefallen ist und dann auch noch über 60.000 Mails frei zugänglich in seiner Mailbox gespeichert hatte, anstatt diese ausserhalb der Mailbox zu archivieren. Dumm gelaufen. Und: die so abgefischten Mails von Clinton, die sie in erhebliche Schwierigkeiten brachten, sind nicht etwa gefälscht worden, sie existieren real. Das Problem für Clinton und die Demokraten war nur, dass sie auf diesem Weg an die Öffentlichkeit gebracht wurden.
jojack 30.12.2016
2. Zweifel
Ich habe keinen Zweifel am Versuch Russlands, die US-Präsidentschaftswahl zu manipulieren. Mir kommen jedoch Zweifel, ob dies wahlentscheidend war. Als Wendepunkt wird ja weithin der Fund des Laptops von Anthony Weiner angesehen, die den FBI-Chef 10 Tage vor der Wahl zu einer Wiederaufnahme der Ermittlungen gegen Clinton veranlasste. Mit einem Hackerangriff hatte diese Entwicklung nichts zu tun. Die womöglich von Russland gesteuerten Wikileaks-Enthüllungen über den DNC hatten meiner Meinung nach keine wahlentscheidende Bedeutung. Clintons Misserfolg bei der Mobilisierung Schwarzer und Hispanics führe ich nicht darauf zurück. Und die Themen Trumps haben in einem bestimmten Klientel einfach so gut verfangen - da hatte Clinton keine Chance bzw. hat sich um diese Themen nicht sonderlich bemüht. Mir sind wenige Aussagen zu Einwanderung, negativen Konsequenzen des Freihandels oder dem Spannungsfeld aus freier Rede vs. political correctness von Hillary bekannt. Das war fahrlässig - jedoch nicht die Folge irgendwelcher Hackerangriffe. Und im Ernst: wenn die Mini-Skandale über Hillary wahlentscheidend gewesen wären, dann wären es die Maxi-Skandale Trumps in jedem Fall gewesen. Bekanntlich war das nicht der Fall.
pansatyr 30.12.2016
3. @1
"die so abgefischten Mails von Clinton, die sie in erhebliche Schwierigkeiten brachten, sind nicht etwa gefälscht worden, sie existieren real." Und was steht in diesen E-Mails Schreckliches drin? Eben, nichts.
zeichenkette 30.12.2016
4. Wir werden ja sehen
was aus dem Bundestags-Hack vor der Wahl noch so alles auftauchen wird. Das wird eine Schlammschlacht und wir alle werden verlieren.
rjb26 30.12.2016
5. vielleicht
mal Fachleuten zuhören, z.b. McAfee im Interview mit Larry King im US TV. Beide sind nicht unbedingt als Putinfreunde anzusehen...
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.