Bei den aktuellen Cyberattacken auf westliche Unternehmen und Behörden führt die Spur Microsoft zufolge nach China. Unter den Angreifern seien bisher drei chinesische Hackergruppen identifiziert worden, teilte der US-Softwarekonzern mit. Zwei davon seien für Hackerangriffe im staatlichen Auftrag bekannt. Microsoft beobachtet sie unter den Namen Linen Typhoon und Violet Typhoon. Die dritte Gruppe wurde als Storm-2603 identifiziert.
Die ersten beiden Gruppen sind seit 2012 bzw. 2015 aktiv und stehen in Verbindung mit Spionageoperationen, hinter denen Peking vermutet wird.
Microsofts Analyse wird durch Charles Carmakal, technischer Leiter von Googles IT-Sicherheitstochter Mandiant, bekräftigt. Man gehe davon aus, dass China-nahe Akteure an den Attacken beteiligt seien, sagte er gegenüber der «Washington Post». Es gibt zudem Ähnlichkeiten mit früheren Attacken, die zuvor schon staatlich unterstützten chinesischen Hackergruppen zugeordnet wurden.
China hat nach den Hacker-Angriffen auf westliche Organisationen davor gewarnt, Probleme bei der Cybersicherheit zur Verleumdung der Volksrepublik zu nutzen. Den genauen Sachverhalt kenne er nicht, sagte Aussenministeriumssprecher Guo Jiakun in Peking.
China sei stets in Übereinstimmung mit dem Gesetz gegen Hacker-Aktivitäten vorgegangen. Gleichzeitig spreche sich Peking dagegen aus, Cybersicherheitsprobleme zu nutzen, um China übel nachzureden und zu diffamieren, betonte er.
Das Regime in Peking reagiert auf westliche Vorwürfe generell meist damit, dass es sich um Verleumdung handeln würde.
Auch in der Vergangenheit hat Peking die Beteiligung an Hackerattacken kategorisch dementiert.
Von der mutmasslichen Angriffswelle aus China, die am Freitag begann, sind Privatnutzer nicht direkt betroffen. Aber Dutzende Regierungseinrichtungen sowie Telekommunikations- und Softwarefirmen in Europa und Nordamerika sollen das Ziel dieser vermuteten Spionageangriffe sein.
Die Angriffe werden über die zuvor unbekannte Sicherheitslücke Toolshell in selbst gehosteten Versionen von Microsoft Sharepoint ausgeführt. Solche sogenannten Zero-Day-Sicherheitslücken werden oft gezielt von Geheimdiensten gesucht, um sie verdeckt auszunutzen.
Es erstaunt daher nicht, dass die ersten Angriffe – vor dem Bekanntwerden der Lücke am Wochenende – gegen eine vergleichsweise kleine Anzahl von Zielen primär in den USA und Deutschland gerichtet waren. Staatliche Hacker beschränken ihre Angriffe meist auf wichtige Ziele, um möglichst lange unentdeckt zu bleiben. Sobald die Lücke, wie jetzt geschehen, allgemein bekannt wird, verliert sie für die staatlichen Hacker an Nutzen.
Die Cybersicherheitsbehörde der USA warnt, dass die Lücke «böswilligen Akteuren den vollständigen Zugriff auf SharePoint-Inhalte» ermögliche. Betroffen sind aber ausschliesslich lokal betriebene Server für das Microsoft-Programm SharePoint zum Teilen von Dateien. Die Cloud-Version SharePoint Online in Microsoft 365 ist nicht tangiert.
Microsoft hat nach dem Bekanntwerden der Toolshell-Angriffe über das Wochenende rasch reagiert und am Montag Updates zur Verfügung gestellt, die die kritische Sicherheitslücke beheben. Das Unternehmen fordert IT-Administratoren dringend dazu auf, diese zu installieren.
Da die Lücke nun bekannt ist, muss davon ausgegangen werden, dass nicht gepatchte Sharepoint-Systeme von weiteren Akteuren, insbesondere von Cybercrime-Banden, kompromittiert werden. Zur Absicherung lokaler Sharepoint-Server 2019 und 2016 hat Microsoft eine Anleitung veröffentlicht.
Die US-Cybersicherheitsbehörde CISA lobt Microsoft für die rasche Kommunikation und die unverzüglich eingeleiteten Sofortmassnamen. Das Problem: Die Installation der Updates genügt nicht für eine Absicherung.
Wenn Angreifer bereits in das System eingedrungen sind, reicht das reine Patchen nicht aus. Denn Angreifer könnten sich bereits zuvor dauerhaften Zugang verschafft haben. Dies wäre der Fall, wenn die Angreifer digitale Schlüssel gestohlen haben. Mit diesen könnten sie sich später wieder Zugang zu Systemen mit eigentlich geschlossener Sicherheitslücke verschaffen.
Es muss folglich nach dem Patchen davon ausgegangen werden, dass Systeme bereits durch Angreifer kompromittiert wurden. Microsoft fordert betroffene Sharepoint-Administratoren daher auf einer Hilfeseite dazu auf, nicht nur die Sicherheits-Updates zu installieren, sondern auch die kryptografischen Schlüssel, sogenannte MachineKeys, neu zu generieren.
Da sich Angreifer trotz Patch dauerhaft eingenistet haben könnten, sei es für IT-Administratoren «unabdingbar festzustellen, ob tatsächlich ein Angriff erfolgte und vielleicht sogar Erfolg hatte», schreibt das Techportal Heise. Microsoft empfiehlt zum Aufspüren den eigenen Defender Antivirus sowie das Antimalware Scan Interface (AMSI).
Administratoren sollten sich so verhalten, als ob sie von einem Angriff betroffen sind – unabhängig davon, ob dies tatsächlich der Fall ist, raten IT-Sicherheitsexperten. Heise hat eine Anleitung erstellt, wie bereits erfolgte Toolshell-Attacken aufgespürt werden können.
Mit Material der Nachrichtenagenturen AWP, SDA und DPA
