Der Technologiejournalist Andy Greenberg befasst sich in seinem neuesten Buch Sandworm mit einem Cyberangriff der besonders raffinierten Art. Es geht um die Olympischen Winterspiele 2018 im südkoreanischen Pyeongchang. Er gibt Einblick in das Chaos hinter den Kulissen, während die Eröffnungsfeier lief, beschreibt das frenetische Wiederherstellen der Systeme, damit die Spiele ordentlich ablaufen konnten. Mit journalistischer Hartnäckigkeit versucht er der Welt zu zeigen, wer hinter dem Angriff steckte und zu was diese Hacker alles fähig sind. Sein Buch ist ein spannender IT-Thriller der alles bietet: Bösewichte, politische Rivalitäten, geheime Akteure und die nichts-ahnende Masse der Öffentlichkeit.

Greenbergs Buch beginnt mit der olympischen Eröffnungsfeier im großen Stadion von Pyeongchang in Süd-Korea am 09. Februar 2018 um 20 Uhr Ortszeit. Er beleuchtet zunächst die dreijährige Organisation der Spiele aus Sicht des technischen Direktors des Organisationskomitees, Sang-jin Oh. Der Südkoreaner war für den Aufbau der olympischen IT-Infrastruktur verantwortlich. Sie bestand aus über 10.000 Rechnern, mehr als 20.000 Mobilgeräten, 6.300 WLAN-Routern und 300 Servern in zwei Rechenzentren in Seoul. Eine echte Mammut-Aufgabe für ihn und seine 150 Mitarbeiter. Greenberg beschreibt, wie das Komitee sich auf jedes technische Problem vorbereitet hatte. Es gab einen Berater für die Cybersicherheit. In den drei Jahren der Vorbereitung hatten sie sich 20 Mal getroffen. Das Komitee wurde regelrecht gedrillt, um auf Brände, Erdbeben und Cyberangriffe während der Spiele vorbereitet zu sein. Die viele Arbeit und der Drill zahlten sich letztendlich aus.

Mitten im olympischen Countdown informierte das Team im Technologiezentrum in Gangneung ihren Chef über das Albtraum-Szenario, das gerade stattfand: In den Rechenzentren in Seoul wurde nach und nach jeder olympische Server ausgeschaltet. Die Olympischen Spiele waren in eminenter Gefahr. Die ersten Journalisten klagten schon über den WLAN-Ausfall, doch das war noch das kleinste Problem, wie sich herausstellen sollte. Es bahnte sich ein furchtbarer Cyberangriff an, hinterlistig und trügerisch wie nie zuvor. Kurz darauf übertrugen die vielen Tausenden internetgekoppelten Fernseher rund um das Stadion und in 12 weiteren Olympiastätten kein Bild mehr. Alle Sicherheitseingänge zu allen olympischen Gebäuden waren funktionsunfähig. Die offizielle olympische App, einschließlich der digitalen Ticketing-Funktion, war ebenfalls defekt. Sie konnten keine Daten mehr von den Backend-Servern abrufen.

Die Mitarbeiter des Komitees waren von vielen ihrer eigenen Basisdienste wie E-Mail und Messaging ausgesperrt. Die neun Domänencontroller für das olympische Personal, waren lahmgelegt worden. Über einen temporären Workaround stellten sie alle nicht betroffenen Server so ein, dass einige grundlegende Dienste wiederhergestellt wurden. Auf diese Weise gelang es ihnen in nur zwei Stunden, diese Minimalsysteme kurz vor Ende der Zeremonie wieder online zu bringen. Das war aber auch nicht ganz frei von Hürden. Immer wieder wurden die Server lahmgelegt, was auf eine Bedrohung im System hindeutete. Die Rechner wurden schneller zerstört, als sie wiederhergestellt werden konnten. Mit einer letzten verzweifelten Maßnahme nahmen sie das gesamte Netzwerk vom Internet. So konnten sie eine Antivirensignatur erstellen, die die winlogon.exe Malware entfernte. In der Nacht hindurch wurde am Wiederaufbau des Systems gearbeitet. Nach genau 12 Stunden waren alle Passwörter zurückgesetzt und die Server aus Back-ups wieder rekonstruiert und jeder Dienst neu gestartet worden.

Die Suche nach den Angreifern

Das Rätselraten, wer wohl hinter dem Angriff stecken würde, begann. Es sollte sich später herausstellen, dass es ein übles und trügerisches politisches Spiel gewesen war. Die IT-Forensiker wurden mit nie da gewesenen Mitteln der Kunst auf allen Ebenen in die Irre geführt.

Forensiker setzen alles daran, die Quelle des Angriffs nachzuweisen. Eine nicht ganz einfache Aufgabe, die Attributionsproblem genannt wird. Greenberg erklärt in seinem Buch:

„Erfahrene Hacker können ihre Datenverbindungen durch weitläufige Proxys und Einwegsysteme leiten. Das macht es fast unmöglich, ihren Spuren nachzuverfolgen. Forensische Analysten haben dennoch gelernt, wie man die Identitäten von Hackern auf andere Weise ermittelt. Sie verknüpfen Hinweise auf Code, Infrastrukturverbindungen und politische Motivationen miteinander.“

Greenberg erläutert weiter, dass es in den letzten Jahren gängige Praxis sei, dass staatlich unterstützte Cyberspione Ihre Angriffe unter falscher Flagge durchführen. Die bei den Olympischen Spielen eingesetzte Malware und die Art der digitalen Täuschung hätte gleich mehrere evolutionäre Sprünge gemacht, heißt es in dem Buch. Greenberg erklärt das auch ausführlich. Er beschreibt, wie falsche Spuren von den Angreifern gelegt wurden und das gleich auf mehreren Datenebenen. Manche Hinweise waren so tief verborgen, dass es den Forensiker fast die Sprache verschlug. Um die Detektivarbeit zu verwirren, wurden Spuren zu mehreren Urhebern gleichzeitig gesetzt.

Geopolitische Beweggründe waren nicht einfach zu durchschauen. Nordkorea, das sich mit einem gemeinsamen Hockeyteam und hochrangigen diplomatischen Abgesandten bemühte, wurde gleich von mehreren Analysten als Angreifer genannt. Doch politische machte das alles keinen Sinn. Auch die Russen kamen in Frage und hatten ein starkes Motiv. Zur Erinnerung: Doping verhinderte die russischen Athleten daran, unter russischer Flagge zu starten. Die russischen Hacker Fancy Bear hatten im Vorfeld der Dopinguntersuchung bereits Vergeltungsmaßnahmen dafür ergriffen und Daten von olympischen Netzwerken gestohlen und weitergegeben. Warum sollten staatlich geförderte russische Hacker nicht auch die Olympischen Spiele sabotieren?

Verschiedene Forensiker in aller Welt befassten sich im Nachgang des Angriffs mit der Analyse. Die Experten bei Cisco fanden die Malware mittels Reverse-Engineering-Techniken und gaben ihr den Namen Olympic Destroyer. Sie erinnerte an vorherige russische Cyberangriffe NotPetya und Bad Rabbit. Allerdings war alles neu programmiert worden. Analysten von CrowdStrike fanden andere Hinweise auf russische Aktivitäten, wie ein Schnipsel russischer Ransomware, bekannt als XData.

Greenberg beschreibt wie verwirrend die Funde wurden, je tiefer gegraben wurde. Immer wieder Fingerzeig in Richtung Nordkorea. Dann fand das Sicherheitsunternehmen Intezer Malwarekomponenten die auf die APT3-Hacker verweisen. Steckten vielleicht die chinesischen Staatshacker dahinter? Eindeutig sollten Selbstzweifel gestreut werden. Manche Analysten sprachen gar von psychologischer Kriegsführung. Der französische IT-Dienstleister Atos und zwei Ski-Resorts in Pyeongchang waren auch angegriffen worden. Kaspersky untersuchte die dort verwendete Malware in aller Gründlichkeit. Die Fingerabdrücke der Lazarus Hackergruppe aus Nordkorea kamen dabei zum Vorschein. Aber ein Kaspersky Forscher ging den Metadaten auf den Grund – sie waren gefälscht worden! Weder Nordkorea noch China kamen danach in Frage. Der Forscher Michael Matonis ging die Sache ganz anders an und untersuchte das gefälschte, mit Malware verseuchte Word-Dokument, das den Angriff auslöste. Er fand Beweise für die Aktivität der russischen Hackergruppe Sandworm. Und nicht nur das, er fand IP-Adressen und verfolge ihre Spuren. Er entdeckte etwas, dass er schon zuvor in FBI Mitteilungen gesehen hatte: account-loginserv.com. Die identische Adresse, die 2016 die US-Wahlen sabotiert hatte. Parallel dazu, waren die US-Geheimdienste zu den gleichen Ergebnissen gekommen, fand Matonis später heraus.

Dave Greenberg beschreibt in seinem Buch weiter, wie er den Sandworm Hackern auf der Spur war, bis fast an ihren Arbeitsplatz im Herzen Russlands. Hinter Sandworm steckte letztendlich die Einheit 74455, des russischen Militär-Nachrichtendienstes.

Artikel von wired.com, 17.10.2019: The Untold Story of the 2018 Olympics Cyberattack, the Most Deceptive Hack in History

Urheberrechte Beitragsbild und Bilder im Text: Public Domain, Creative Commons CC0