Schadsoftware Vom US-Geheimdienst entwickelt, von Erpressern genutzt

Einige der verheerendsten Cyberangriffe der vergangenen Jahre beruhen auf einer Windows-Schwachstelle. Der US-Geheimdienst hatte sie entdeckt und zur Waffe gemacht. 2016 wurde die Software entwendet. Jetzt legt sie ganze Städte lahm.

Seit 2017 geht Ransomware um die Welt, die NSA-Code nutzt.
ANN/ picture alliance

Seit 2017 geht Ransomware um die Welt, die NSA-Code nutzt.

Von


Seit dem 7. Mai befindet sich die Stadt Baltimore im verwaltungstechnischen Ausnahmezustand: Eine Ransomware hat weite Teile der Behördenkommunikation lahmgelegt, rund 10.000 Computer sollen betroffen sein.

Andere Teile wurden vorsichtshalber abgeschaltet, um die Verbreitung der Erpressersoftware zu verhindern. Das städtische E-Mail-System ist lahmgelegt, Bürger können ihre Wasserrechnungen nicht bezahlen und die Stadt keine Immobiliengeschäfte der Einwohner betreuen. Mittlerweile gibt es erste notdürftige Ersatzsysteme, mehr aber auch nicht.

Die Situation in Baltimore ist ein Lehrstück darüber, welche Folgen es haben kann, wenn Geheimdienste oder andere staatliche Einrichtungen kritische IT-Sicherheitslücken finden, zu Waffen machen und geheim halten, statt sie dem betroffenen Hersteller zu melden.

Denn wie die "New York Times" nun berichtet, haben die unbekannten Täter das Angriffswerkzeug EternalBlue gewählt. Es nutzt eine Schwachstelle in Windows XP und Windows Vista aus und wurde einst vom US-Auslandsgeheimdienst NSA entwickelt, nur wenige Kilometer von Baltimore entfernt.

WannaCry, NotPetya und jetzt Baltimore: Angriffe mit EternalBlue

Doch den Geheimdienstlern kam ihr Werkzeug abhanden. Unbekannte, die sich die ShadowBrokers nannten, behaupteten im August 2016, die NSA gehackt zu haben. In den folgenden Monaten veröffentlichten sie ihre Beute im Netz, darunter auch EternalBlue.

Zwar hatte die NSA Microsoft zu diesem Zeitpunkt bereits informiert, so dass es rechtzeitig Windows-Sicherheitspatches gab, mit denen EternalBlue gestoppt werden konnte. Doch die zugrundeliegende Schwachstelle betraf Millionen von Rechnern und Server in aller Welt. Bis heute gibt es Unternehmen und Behörden, die das Microsoft-Update nicht eingespielt haben - sei es aus Bequemlichkeit, aus Ignoranz, mangelnden Kapazitäten oder weil so etwas in alten, komplexen Netzwerken mit vielen Abhängigkeiten sehr kompliziert sein kann.

Die Folgen waren und sind Angriffe, die auf EternalBlue basieren, in aller Welt:

  • Die Ransomware WannaCry ging vor zwei Jahren um die Welt und legte Hunderttausende Computer lahm, auch in Deutschland, etwa bei der Deutschen Bahn und bei Beiersdorf.
  • Die Schadsoftware NotPetya folgte nur einen Monat später, mit noch gravierenderen Folgen. NotPetya sah nur auf den ersten Blick aus wie eine Ransomware, tatsächlich aber zerstörte sie die Netzwerke großer Unternehmen wie der Container-Reederei Maersk und richtete dadurch Milliardenschäden an.
  • Iranische Hacker sollen Unternehmen im Mittleren Osten kompromittiert haben.

Und nie war die Zahl der versuchten Angriffe mit EternalBlue höher als heute, teilt die IT-Sicherheitsfirma ESET mit. Denn die jeweiligen Täter können über spezielle Suchmaschinen erkennen, dass noch immer mehr als eine Million PCs und Server potenziell verwundbar sind.

Einige davon stehen in Baltimore sowie in mehreren US-Städten von Pennsylvania bis Texas. Sie alle wurden mit Ransomware angegriffen, die auf EternalBlue basiert. Die Täter verlangen nicht einmal besonders viel Geld, in Baltimore etwa sind es nur 13 Bitcoin, umgerechnet knapp 100.000 Euro. Aber so lange die Städte nicht zahlen, müssen sie versuchen, ihre Systeme neu aufzusetzen, und so lange zum Beispiel private E-Mail-Konten der Mitarbeiter verwenden.

Dem Bericht der "New York Times" zufolge haben Sicherheitsexperten bereits drei Angriffe auf Universitäten in den USA festgestellt und auch in Los Angeles, Dallas und New York verwundbare Server entdeckt.

EternalBlue wurde angeblich fünf Jahre lang von der NSA genutzt

"Wir gehen davon aus, dass EternalBlue auf ewig genutzt wird, weil es so nützlich ist, wenn Angreifer ein ungepatchtes System entdecken", zitiert die Zeitung eine Spezialistin der Sicherheitsfirma Palo Alto Networks.

Drei ehemalige NSA-Mitarbeiter, deren Namen die Zeitung nicht nannte, bekräftigten die Einschätzung. Es habe demnach fast ein Jahr gedauert, EternalBlue zu entwickeln, sei dann fünf Jahre lang in zahllosen Spionage- und Antiterrormissionen eingesetzt worden. Das Werkzeug sei als so wertvoll angesehen worden, dass die NSA niemals ernsthaft erwogen habe, Microsoft über die zugrundeliegende Schwäche in Windows zu informieren.

Der frühere NSA-Direktor Mike Rogers, in dessen Amtszeit der nie aufgeklärte ShadowBrokers-Fall fiel, verteidigte das Vorgehen dem Bericht zufolge kürzlich mit einem Vergleich: "Wenn Toyota Pick-up-Trucks baut und jemand einen davon klaut, eine Bombe daran anbringt und damit in eine Menschenmenge rast, ist dann Toyota verantwortlich?"

Tom Burt, bei Microsoft verantwortlich für Kundensicherheit, antwortete: "Ich bin ganz anderer Meinung. Diese Angriffswerkzeuge werden von Regierungen entwickelt und geheim gehalten, um als Spionagewerkzeuge oder Waffen eingesetzt zu werden. Wenn jemand sie klaut, bringt er keine Bombe daran an. Es sind bereits welche."

insgesamt 50 Beiträge
Alle Kommentare öffnen
Seite 1
archi47 26.05.2019
1. USA, sein Präsident und seine Dienste
sind vor China und Rußland die größte Gefahr für unseren Planeten und unsere Zukunft. Es fängt eben mit Bildung und Zugang zu universellem Wissen (nicht Glauben) an und hört mit dem Verbreiten von "Fake news" noch lange nicht auf. Wissensbasierte Zivilisation, Werte und Entscheidungen bedingen einander. Dabei darf Wettbewerb nicht betriebswirtschaftlich, sondern muß volkswirtschaftlich organisiert sein, unter Einbezug auch aller zukünftigen externen Kosten mit dem Ziel einer möglichst nahen Nachhaltigkeit.
syracusa 26.05.2019
2. Schuld: erstens Terrorist, zweitens Geheimdienst
"Wenn Toyota Pick-up-Trucks baut und jemand einen davon klaut, eine Bombe daran anbringt und damit in eine Menschenmenge rast, ist dann Toyota verantwortlich?" Selten so einen hinkenden Vergleich gesehen. Der Vergleich lautet richtiger so: Ein Geheimdienst entdeckt, dass ein Toyota Pick-up-Truck wg einer unzulänglichen Sicherung des Benzintanks als Bombe verwendet werden kann, und verschweigt dies gegenüber Toyota, damit er selbst diese Waffe einsetzen kann. Und dann wird dem Geheimdienst das Wissen über diese Soicherheitslücke geklaut und von Terroristen verwendet. Wer hat dann schuld? Natürlich erstens der Terrorist und zweitens der Geheimdienst.
Henning Boetel 26.05.2019
3. Sicherheitslücken
Die Schadsoftware nutzt lt. Bericht Lücken bei Windows XP und Windows Vista. Diese Betriebssysteme stammen aus 2001 bzw. 2007. Wenn eine Verwaltung heute noch damit arbeitet, wäre das für mich fahrlässig.
peterka60 26.05.2019
4. Fahrlässig ist das richtige Wort
Wenn ich höre, dass die Windows Versionen XP und Vista betroffen sind, hält sich mein Mitleid in Grenzen. Das Problem ist nur, dass auch neuere Varianten von Ransomware im Umlauf sind, die auch Windows 10 befallen können. Etwa vor 10 Tagen wurde sogar eine mir bekannte IT-Firma erfolgreich angegriffen. Im nachhinein zeigte es sich, dass ein Mitarbeiter einen Mailanhang geöffnet hatte. Mit einer besseren Schulung der Mitarbeiter wäre das Unheil wahrscheinlich vermieden worden.
Alm Öhi 26.05.2019
5. Klopf Klopf
Ich finde diese Windowsprobleme schön , ich habe Linux installiert und Windows läuft in Virtualbox. Windows läuft ohne Internet, und ich habe keine Sicherheitsprobleme. Um in Linux ein Virus zu installieren zu können benötigt man Benutzername und Passwort.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.