Cyber, Cyber: Die Meldungen nur eines Tages (Nachtrag: Regierungsssprecher)
Zum Thema Cybersicherheit, Computersicherheit und Hacker hier mal kommentarlos nur die auffälligsten Meldungen des heutigen Donnerstages (vor allem auch zum Wiederfinden):
Dutch government says it disrupted Russian attempt to hack chemical weapons watchdog
Defensie.nl: GRU close access cyber operation against OPCW
Britain says Russian military intelligence behind host of global cyber attacks
West accuses ‚pariah state‘ Russia of global hacking campaign
Russia must be held accountable for cyber attacks – Mattis
U.S. warns of new hacking spree from group linked to China
The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies
Apple, Amazon deny Bloomberg report on Chinese hardware attack
Fürs Archiv – Nachtrag 5. Oktober: die Aussagen in der Bundespressekonferenz zu mutmaßlichen russischen Cyberangriffen von Regierungssprecher Steffen Seibert und Annegret Korff vom Bundesinnenministerium:
STS SEIBERT: Jetzt ein großer thematischer Schnitt. Ich möchte gern aus Anlass der gestrigen Erklärung des britischen Außenministers und der niederländischen Verteidigungsministerin zu russischen IT-Angriffen die Gelegenheit ergreifen, noch einmal darauf hinzuweisen, dass die Bundesregierung die Bedrohung durch solche Angriffe sehr ernst nimmt, ganz unabhängig von deren Ursprung.
Indem Angreifer gezielt staatliche Stellen, multinationale Einrichtungen oder auch die sogenannten kritischen Infrastrukturen ins Visier nehmen, stehen solche IT-Angriffe für eine neue Dimension an Bedrohung. Wenn sie Erfolg hätten, dann könnten sie die freiheitliche Gesellschaft, die öffentliche Sicherheit und im Grund auch unsere Demokratie unmittelbar bedrohen. Deswegen ist es aus Sicht der Bundesregierung entscheidend, dass die Handlungsfähigkeit, die Souveränität Deutschlands und die Sicherheit der Bürgerinnen und Bürger im Zeitalter der Digitalisierung gewährleistet sind.
In der Vergangenheit sind eine Vielzahl von bekannt gewordenen weltweiten IT-Angriffen der Cyberspionagekampagne APT28 zugeordnet worden. Dabei waren IT-Systeme staatlicher Organe, multilateraler Organisationen, Parteien und auch Medien betroffen. In dem Zusammenhang haben wir als Bundesregierung volles Vertrauen in die Einschätzung der britischen und der niederländischen Behörden. Auch die Bundesregierung geht davon aus, dass mit an Sicherheit grenzender Wahrscheinlichkeit hinter der Kampagne APT28 der russische Militärgeheimdienst GRU steckt. Diese Einschätzung beruht auf einer insgesamt sehr guten eigenen Fakten- und Quellenlage.
Wir verurteilen derartige Angriffe auf internationale Organisationen und auf Einrichtungen unserer Verbündeten auf das Schärfste, und wir fordern Russland auf, seiner Verantwortung gerecht zu werden und derartige Handlungen zu unterlassen.
Wie auch dieser Sachverhalt zeigt, ist und bleibt es wichtig, sich mit anderen Staaten gemeinsam über die Bedrohungen durch solche Angriffe auszutauschen und dagegen zur Wehr zu setzen.
FRAGE: Herr Seibert, erwägt die Bundesregierung die Verhängung weiterer Sanktionen auf europäischer Ebene, wenn es, wie Sie ja selbst sagen, so viele Belege dafür gibt, dass der russische Geheimdienst hinter dieser Aktion steckt?
STS SEIBERT: Dazu kann ich Ihnen heute keinen neuen Stand mitteilen.
ZUSATZFRAGE Gibt es darüber zumindest Gespräche auf europäischer Ebene? Wird das möglicherweise Thema auf dem nächsten EU-Gipfel sein? Denn ich erinnere mich daran, dass Deutschland bei früheren Sanktionen gegen Russland durchaus die treibende Kraft war.
STS SEIBERT: Ich bin ganz sicher, dass dieses Thema auch unter den europäischen Partnern wieder ein Thema werden wird und schon jetzt ein Thema ist, wie es auch in der Vergangenheit ein Thema war. Natürlich tauschen wir uns darüber aus. Natürlich empfinden wir alle die Ernsthaftigkeit solcher Bedrohungen und tauschen uns vor allem aber auch darüber aus, wie wir uns dagegen wehren können und wie unsere Zusammenarbeit auf europäischer Ebene unter den Mitgliedsstaaten dazu beitragen kann, dass wir uns dessen nicht nur bewusster werden, sondern auch besser in der Lage sind, so etwas schnell zu entdecken und abzuwehren.
FRAGE: Eine Wissensfrage: Ich weiß nicht, ob Herr Seibert oder Frau Korff sie beantworten können. Ist inzwischen klar, wie viele besonders sensible Anlagen es in Deutschland gibt, die sich ja registrieren mussten und die als kritische Infrastruktur definiert worden sind? Haben Sie einen Überblick darüber?
KORFF: Ich konkret habe, wie ich hier sitze, keinen Überblick und müsste es nachreichen. Das ist ja ein Prozess. Aber ja, ich frage nach und reiche das nach.
FRAGE : Gibt es derzeit Erkenntnisse darüber, ob diese Personen jemals in Deutschland aktiv waren, Frau Korff oder Herr Seibert?
KORFF: Über die konkreten Personen würden wir uns hier vermutlich ohnehin nicht äußern. Über das Gesagte hinaus haben wir dem nichts hinzuzufügen.
Zwei von vier (Diplomaten-)Pässen mit fortlaufenden Nummern, Telefone mit gespeicherten GPS-Koordinaten vom GRU-HQ, Taxi-Quittung vom GRU zum Flughafen, Laptop mit Spuren von ähnlichen Hacking-Angriffen in der Schweiz, Brasilien und Malaysia. ( https://twitter.com/gordoncorera/status/1047792088287531008 )
Um eine weitere Perspektive zu dem (angeblichen) Hardwarelevelhack durch Chinesische Staatsakteure hinzuzufügen hier eine Perspektive aus der Server Fachwelt:
https://www.servethehome.com/bloomberg-reports-china-infiltrated-the-supermicro-supply-chain-we-investigate/
Warum erfolgt die öffentliche Zuweisung in praktisch jedem Fall zum GRU und so gut wie nie dem SWR?
Hier die Präsentation der gestrigen Pressekonferenz im Verteidigungsministerium der NL zu dem versuchten Cyberangriff auf das OPCW am 13. April:
https://www.defensie.nl/onderwerpen/cyber-security/downloads/publicaties/2018/10/04/gru-close-access-cyberoperatie-tegen-opcw
Viele interessante Fotos von den Beschuldigten und deren Hintergrund, von der Ausrüstung, vom Tatort und Tatfahrzeug – bis hin zum Einkauf aus dem Aldi ;-)) Im Gegensatz zu den britischen Vorwürfen haben die Niederländer alles sehr gut dokumentiert.
Hier das Video der PK: https://www.youtube.com/watch?time_continue=46&v=Qg2bSVkWVNs
(niederländisch, engl/deu Untertitel verfügbar), hier das Transkript: https://www.defensie.nl/onderwerpen/cyber-security/downloads/publicaties/2018/10/04/statements-over-de-verstoring-cyberoperatie-gru-door-de-mivd-op-4-oktober-2018
Einige Beobachtungen dazu:
a) Erstaunlich, wie wenig Wert auf Tarnung die Russen gelegt haben: von Moskau nach Amsterdam geflogen, vom Botschaftsmitarbeiter empfangen, Citroen gemietet, zur OPCW gefahren, davor geparkt und angefangen, die Hacker-Ausrüstung zu verkabeln, als sei es das normalste auf der Welt.
Hm, geheimdienstliche Cyberangriffe stellt man sich irgendwie anders vor. ;-)
b) Erstaunlich auch, dass der Zugriff der Niederländer genau in diesem Moment stattfand, noch bevor die Russen irgendwelche Handlungen im WLAN der OPCW vornehmen konnten. Man hätte doch erwartet, dass man sie zumindest einbrechen lässt, ggf. noch beobachtet, welche Absichten genau sie verfolgen, für was sich interessieren. So bleibt das aber verborgen, und die Russen haben formal nichts Strafbares sich zu Schulden kommen lassen.
Hm, auch die Abwehr geheimdienstlicher Cyberangriffe stellt man sich auch irgendwie anders vor.
Aber offenbar ist sowas in der Realität viel banaler und weniger ausgeklügelt, als in Mission Impossible ;-))
[Ich frage mich ja immer, welche Absicht damit verfolgt wird, oben bereits stehende Links in einem Kommentar noch mal anzuführen. Nur mit dem Unterschied, dass oben die englische Version steht und hier im Kommentar die niederländische. Einen Sinn vermag ich daran nicht zu erkennen, außer dass der Irrglaube besteht, dass hier mehr Leute Niederländisch verstehen als Englisch? Bitte so nicht verfahren, das macht schlechte Laune. T.W.]
Ich habe mir die Fälle unter den Links durchgelesen und mein Kommentar ist:
Die Russen und die Chinesen spionieren also. Na und? Ist das nicht eine völlig normale Verhaltensweise von Staaten/Nationen, aber auch Interessengruppen und Einzelpersonen seit Jahrhunderten von Jahren?
Spätestens seit der NSA-Affaire und den Enthüllungen von Snowden weiß doch jeder (der es wissen will), dass die berühmten „5 eyes“ jeden Tag flächendeckend weltweit Staaten und Organisationen und Einzelpersonen bei Freund und Feind ausspionieren und die Daten auf Vorrat spreichern:
https://de.wikipedia.org/wiki/Globale_%C3%9Cberwachungs-_und_Spionageaff%C3%A4re
Nur einige Sätze aus dem Link:
„…Der US-amerikanische Whistleblower und ehemalige Geheimdienstmitarbeiter Edward Snowden enthüllte Anfang Juni 2013, wie die Vereinigten Staaten und das Vereinigte Königreich seit spätestens 2007 in großem Umfang die Telekommunikation und insbesondere das Internet global und verdachtsunabhängig überwachen…“
„…Auch Gebäude und Vertretungen der Europäischen Union sowie die Vereinten Nationen sollen mit Hilfe von Wanzen ausspioniert worden sein. Zudem wurden zahlreiche führende Politiker, auch verbündeter Staaten, abgehört…“
„…Im November 2013 wurde bekannt, dass die NSA weltweit 50.000 Computernetzwerke mit Schadsoftware infiltriert hat und sich das Ziel gesetzt hat, bis Ende 2013 Zugriff auf 85.000 Systeme zu haben…“
Zusammengefasst:
Die USA und ihre 5 Augen-Freunde dürfen also die UNO und die EU sowie Firmen und Privatpersonen weltweit „hacken“ und Russland und China dürfen das nicht? Ist das der Inhalt des Aufregers von NATO Generalsekretät Stoltenberg?
Manchmal glaube ich, dass wir in einer ziemlich verrückten Zeit leben. Das ist gefährlicher als in einer spannungsgeladenen, aber rationalen, Welt, wie im Kalten Krieg.
Passiert, hatte diese Version nun mal als erstes ausgewertet. Sorry, aber bitte nicht ärgern lassen ;-))
@Pete | 05. Oktober 2018 – 9:47
„Die Russen und die Chinesen spionieren also. Na und? Ist das nicht eine völlig normale Verhaltensweise von Staaten/Nationen, aber auch Interessengruppen und Einzelpersonen seit Jahrhunderten von Jahren?“
Ja, natürlich. Aber bei Bekanntwerden solcher Aktivitäten ist es genauso normal, sie zurückzuweisen – das hätten die Russen doch auch so getan.
Und ich empfand die Darstellung der Niederländer gestern auf der PK als sehr bemerkenswert und angemessen: Viele überprüfbare Informationen, konkrete Details, entschieden im Ton, aber nicht hysterisch – ein sehr wirkungsvoller Zug. Und das gerade im Kontrast zu den Briten, die mit Verweis auf geheime Beweise immer viel behaupten, von dem niemand so genau weiß, was davon wirklich stimmt.
Also wenn das gestrige Vorgehen der Niederländer zu einem neuen Benchmark in vergleichbaren Fällen wird, wäre das nur zu begrüßen.
@Walter Eucken
„Ja, natürlich. Aber bei Bekanntwerden solcher Aktivitäten ist es genauso normal, sie zurückzuweisen – das hätten die Russen doch auch so getan.“
Da stimme ich Ihnen gerne zu.
Ja da hat es mal wieder richtig gecybert am gestrigen Tag – zumindest in der Nachrichtenlage, die eigentlichen Vorfälle liegen ja schon länger zurück. Beide Vorfälle sind recht interessant, da sie sich etwas anders gestalten als die ‚herkömmlichen‘ hacks von denen man sonst so liest.
@Walter Eucken:
Ich würde nicht unbedingt sagen dass es keine Tarnung gab. Nur weil sie auf diplomatischen Pässen eingereist sind und durch Botschaftsmitarbeiter empfangen wurden heißt das ja nicht gleich das bei einer Spionageabwehr gleich all Alarmglocken läuten. Es gibt ja auch ein diplomatic cover. Ich habe dahingehend nichts gelesen, ob es ein diplomatic cover gab. Es war aber wohl so dass die Briten die Niederländer gewarnt hatten (habe ich so zumindest gelesen – meine das war beim Guardian).
Die ganze Sache war bestimmt nicht wahnsinnig professionell durchgeführt, aber die Sache wahr wohl auch zeitlich sehr sensitiv, wenn man davon ausgeht dass das Ziel durch die Skripalaffäre bedingt war. Ein Hack aus der Ferne war wohl ohne Erfolg und zeitlich wollte man wohl so schnell wie möglich rein ins Netz um Infos zu bekommen. Es gibt schon sehr ausgeklügelte Angriffe auf IT Infrastruktur (Nah und Fern) die wohl eher dem Image des Spionagewesens entsprechen, aber manchmal muss man einfach Kompromisse eingehen – zB. weil es einfach pressiert.
Auch meine ich dass man sie schon hat beginnen lassen zu arbeiten, ie. sie haben sich schon etwas zu Schulde kommen lassen. Das ist aber auch eigentlich egal, da die Herrschaften diplomatische Pässe haben (bin mir nicht sicher ob für Immunität auch noch eine Akkreditierung durch das Gastland notwendig ist und ob es eine solche gab).
@Pete: Ich möchte da jetzt nichts vom Zaun brechen, aber ich verstehe nicht welchen Sinn Whataboutism hier hat. Ich glaube niemand bestreitet die Vorfälle auf die sie verweisen. Und zumindest ich wäre froh gewesen wenn man in diesen Fällen auch ähnliche Erfolge in der Abwehr gehabt hätten. Trotzdem gibt es nochmal einen ziemlichen qualitativen Unterschied zwischen elektronischer Spionage von den (in diesen Fällen) Russland und den USA.
Der (angebliche) chinesische Hardwarehack ist nochmal ein ganz anderes Biest. Zum einen wird es bestritten – was auch zu erwarten wäre wenn es alles stimmt, zum anderen wäre ein Hardwarehack dieser Kategorie schon ein ziemliches Ding. Selbst die Chips ohne genaue Ziele pauschal in die Lieferkette zu bekommen ist schon nicht ohne. Es ist auch vom design der Platine nicht so einfach wie man sich das vielleicht vorstellt bzw. wie es mitunter dargestellt wurde (wenige im original Artikel). Der angegebenen Weg über das Wartungsmodul ist schon recht clever. Aber um das zum laufen zu bringen bedarf es auch schon ausgeklügelter Planung.
Bin mal gespannt ob da jetzt noch mehr durchsickert, so dass man die ganze Sache besser bewerten kann. Es ist zumindest nicht unstimmig mit den vermehrten Zügen der US und anderer Regierungen die Benutzung chinesische Kommunitkationshardware zu limitieren oder gar zu verbieten. Wenn sich der Fall als vollständig wie berichtet herausstellt, oder sogar noch mehr in dieser Richtung herauskommt, könnte das mehr als viele andere Faktoren einen nachhaltigen Einfluss auf die supply chains im Bereich elektronischer hardware haben (Infrastruktur- als auch consumer hardware). Schau ma mal, dann seh ma schon.
@ttkreischwurst
1. „…aber ich verstehe nicht welchen Sinn Whataboutism hier hat…“
ich bin so altmodisch, dass ich mit Ihrem Begriff „Whataboutism“ in Bezug auf meinen Beitrag nichts anfangen kann. Ich weiß nicht, was Sie ausdrücken möchten.
2. „… Ich glaube niemand bestreitet die Vorfälle auf die sie verweisen…“
Das ist ja schon mal etwas. Dann soll man sich auch nicht künstlich aufregen wenn andere Staaten das Selbe machen wie die USA und ihre 5-Augenfreunde.
3. „…Trotzdem gibt es nochmal einen ziemlichen qualitativen Unterschied zwischen
elektronischer Spionage von den (in diesen Fällen) Russland und den USA…“
Welchen qualitativen Unterschied gibt es denn?
4. „…Es ist zumindest nicht unstimmig mit den vermehrten Zügen der US und anderer Regierungen die Benutzung chinesische Kommunitkationshardware zu limitieren oder gar zu verbieten…“
Es wäre sogar sehr vernünftig, wenn wir in allen sensitiven Bereichen unsere eigene Software und Hardware einsetzen würden. Es gehört nur ein wenig gesunder Menschenverstand dazu, dass fremde Staaten (egal welche) alle Möglichkeiten der unauffälligen Spionage nutzen. Es wäre die Aufgabe der NATO Staaten ihre Netzwerke zu sichern und nicht zu jammern wenn andere Staaten erfolgreich spionieren können.
Geld genug wird ja durch den Steuerzahler zur Verfügung gestellt.
Der qualitative Unterschied besteht darin, dass es sich objektiv nicht um eine False-Flag Operation handelt im Gegensatz zu „Cyber“-Angriffen, wo sogenannte „Fourth Party-Collection“, also das Verwenden von Werkzeugen anderer Geheimdienste oder Hacken dieser, nicht unüblich ist. Die Russen streiten es nicht wirklich ab, sondern mutmaßen eine orchestrierte Aktion, was nicht ganz von der Hand zu weisen ist; schließlich wurden sie ein halbes Jahr später gleichzeitig von den Amis angeklagt.
Ich sehe im versuchten Lauschangriff auf die Chemiewaffenbehörde einen Angriff auf die Unabhängigkeit der Ermittlungsbehörden.
Relativierenderweise wird oft argumentiert daß Rußland als Mitglied der Chemiewaffenkonvention Anspruch auf Internas der Untersuchung der Chemiewaffenvorfälle in Syrien hätte.
Nein, das Recht haben sie nicht. Das wäre etwa so als würde ein Angeklagter in Prozeßpausen die Privatsachen der beteiligten Richter und Polizisten durchwühlen. Er hat das Recht darauf was vor Gericht gesagt wird und nur das ist relevant. Die Verhandlung ist öffentlich, die Ermittlung nicht. Die Justiz ist unabhängig und daran ändert auch die Mitgliedschaft Rußlands an den Strukturen nichts.
@ Ottone | 05. Oktober 2018 – 2:27:
Wahrscheinlich weil die GU – so heißt die ehemalige GRU mittlerweile – in den letzten Jahren für die Mehrzahl spektakulärer Operationen verantwortlich gewesen ist: Ostukraine, Syrien, Skripal. Es ist aber natürlich richtig, dass auch FSB und SWR über Cyber-Programme verfügen.
Wen die Unterschiede und Gemeinsamkeiten der russischen Dienste interessieren, dem empfehle ich folgende Publikation: https://www.ecfr.eu/publications/summary/putins_hydra_inside_russias_intelligence_services
Und wer sich für dieses Thema derart erwärmen kann, dass er dafür sogar Geld ausgeben würde, dem sei The New Nobility von Andrei Soldatov und Irina Borogan ans Herz gelegt.
Trotz des push backs von Apple und Amazon und der Skepsis vieler Experten (obgleich die generelle Plausibilität meistens betont wird), hat Bloomberg nachgelegt:
https://www.bloomberg.com/news/articles/2018-10-09/new-evidence-of-hacked-supermicro-hardware-found-in-u-s-telecom
Jetzt mit einem hardware hack bei einem großen US Telekomanbieter und wieder via Supermicro hardware.
Was Deutschland angeht könnte das hier vielleicht interessieren (ich hoffe der link ist okay):
https://netzpolitik.org/2018/stromausfall-durch-hacker-cyber-abwehrzentrum-fordert-besseren-schutz-statt-angriffe/
Ich wollte noch zum zweiten Link nachtragen dass ich die Bewertung des Abwehrzentrums sehr positiv sehe. Nüchtern, pragmatisch ohne hack back Allmachtsfantasien jenseits technischer Realitäten.
Da kommt es ja im Moment ziemlich dick überall. Hier nochmal ein Blick über den Tellerrand:
https://www.gao.gov/products/GAO-19-128
Ein Bericht des Government Accountability Office (GAO) über Sicherheitslücken in Waffensystemen. Man kann den vollständigen Bericht runterladen oder sich die Highlights anschauen.