+43 699 / 18199463
office@itexperst.at
NSA-Tool EternalBlue taucht in US-Ransomware Angriffe auf

NSA-Tool EternalBlue taucht in US-Ransomware Angriffe auf

Die erste Hälfte dieses Jahres ist voller Meldungen über Ransomware Angriffe gegen viele US-amerikanische Städte und Institutionen. Nun stellt es sich heraus, dass das einst NSA-eigene und später von den Shadow Brokers gestohlene Hackingtool, EternalBlue, bei diesen Angriffen eingesetzt wurde.

Der Schuss ging nach hinten los, könnte man sagen. Denn fast ein ganzes Jahr lang saßen NSA-Experten an der Entwicklung eines Spionage-Tools, das später unglaublich wertvoll sein würde. Sowohl für die Spionage- und Aufklärungsaktionen der NSA wie auch später für kriminelle Hacker in aller Welt. EternalBlue macht sich eine Lücke in der Microsoft-Software zunutze. Seinen Namenszusatz „Blue“ erhielt es, da es oft Computerabstürze auslöste mit der gefürchteten Bluescreen. Die NSA spricht offiziell nicht darüber und die USA sieht sich von jeder Verantwortung erhaben. Weder über sich als Urheber des Tools, noch über den Diebstahl und auch nicht, dass sie nie vorhatte, Microsoft über die Schwachstelle zu informieren. Immerhin wies die NSA Microsoft auf die Sicherheitslücke hin, nachdem die Tools gestohlen waren. Aber das Gespenst EnternalBlue verfolgt die NSA bis heute und straft dabei die eigenen Bürger ab.

Bestes Beispiel: Baltimore. Folgenreicher Erpressungsangriff und alle Computer der Stadtverwaltung unbrauchbar. Das Verrückte dabei ist, dass der Angriffscode seinerzeit unweit der Stadtverwaltung im Gebäude der National Security Agency erstellt wurde. In Baltimore funktioniert bis dato immer noch nicht viel und die Kosten steigen ins Unermessliche für die Stadt. Experten sagen, dass der Schaden ohne EternalBlue bei Weitem nicht so katastrophal gewesen wäre. Denn die Angreifer können damit die Malware schneller und weiter verbreiten, als normalerweise möglich.

Laut den Sicherheitsexperten wurde und wird EternalBlue weiterhin bei Angriffen quer durchs Land eingesetzt. Nur noch einmal kurz zur Auffrischung: Nach dem Diebstahl durch die Shadow Brokers 2017 nutzte Nordkorea es in dem WannaCry-Angriff gegen das britische Gesundheitssystem, die Deutsche Bahn und ein paar Hunderttausend andere Unternehmen weltweit. Dann bekam es Russland in die Finger und seine NotPetya-Angriffe richteten sich gegen die Ukraine und strategisch gegen seine Wirtschaftspartner. Weitere prominente Opfer waren FedEx und Pharmagigant Merck. Spezielle die Russen scheinen sich wirklich mit dem wundervoll-praktischen NSA-Tool auszutoben. EternalBlue war 2016 mit dabei, als die Amerikaner Mr. Trump wählten. Und die Iraner verteilten damit Schadsoftware im mittleren Osten.

Microsoft kann übrigens genau nachverfolgen, wo EternalBlue eingesetzt wurde. Allerdings kann es aus datenschutzrechtlichen Gründen nicht veröffentlichen, welche amerikanischen Städte und Gemeinden betroffen sind. Unabhängige Sicherheitsexperten sind da weniger scheu. Sie nennen Allentown und San Antonio als definitive EternalBlue-Opfer. Generell heißt es in der IT-Sicherheitsbranche, dass fast täglich beobachtet wird, dass EternalBlue in Angriffen auftaucht. Das Sicherheitsunternehmen Cybereason bestätigte, dass es mit EternalBlue-Angriffen an drei verschiedenen amerikanischen Universitäten und mit gefährdeten Servern in Großstädten wie Dallas, Los Angeles und New York zu tun habe. Zuletzt entdeckten Forscher von Palo Alto Networks, dass die chinesische Staatsgruppe Emissary Panda, EternalBlue gegen Regierungen im Nahen Ostens eingesetzt hatte.

Jen Miller-Osborn, stellvertretender Director bei Palo Alto Networks sprach aus, was alle Sicherheitsexperten fürchten:

„Man kann nicht hoffen, dass EternalBlue nach der ersten Welle von Angriffen verschwinden wird. Wir erwarten, dass EternalBlue fast ewig lange verwendet werden wird, denn wenn Angreifer ein System finden, das nicht gepatcht ist, ist es unglaublich nützlich.“

Ist die NSA für den Klau der EternalBlue-Exploits verantwortlich?

Die mächtigsten Cyberwaffen der Welt befanden sich bis vor wenigen Jahren fast ausschließlich in Händen der Geheimdienste – die besten Tools hatte dabei der amerikanische Geheimdienst. Der Begriff NOBUS entstand seinerzeit und bedeutete so viel wie „für niemanden außer uns“. Um Schwachstellen auszunutzen, waren diese Cyberwaffen effektiv und gnadenlos. Jeder Bürger, der eine herkömmliche Waffe nicht sicher gegen Diebstahl und Missbrauch aufbewahrt, erhält schwerwiegende Strafen aufgebrummt. Die NSA kommt offenbar ungeschoren davon. Viele Mitarbeiter der Agentur sprechen unter vorgehaltener Hand, dass die NSA mehr Verantwortung übernehmen sollte. Ein ehemaliger FBI-Beamter sagte dazu sogar:

„Es ist so, als wenn ein Staat ein Lager für automatische Waffen nicht abschließen würde!“

Im März dieses Jahres bemerkte der NSA Direktor Michael S. Rogers, dass die NSA nicht dafür verantwortlich gemacht werden könne, was nach dem Diebstahl geschah. Er gab folgendes von sich:

„Wenn Toyota Pick-up-Trucks herstellt und jemand einen davon nimmt, ein Sprengsatz auf die Vorderseite schweißt, ihn durch eine Barriere in eine Menschenmenge fährt, ist das die Verantwortung von Toyota?“,

fragte er.

Tom Burt, der Corporate Vice President of Consumer Trust ist da völlig anderer Meinung. Er betonte, dass Cyberwaffen überhaupt nicht mit Pick-up-Trucks verglichen werden können und erwähnte:

„Diese Exploits werden von Regierungen entwickelt und geheim gehalten, um sie als Waffen oder Spionagewerkzeuge zu benutzen. Sie sind also von Natur aus gefährlich. Wenn jemand die nimmt, muss er keine Bombe mehr dran binden. Es ist bereits eine Bombe!“

Neue Denkansätze für IT-Sicherheit ohne Beteiligung der wichtigsten Mächte

Der Präsident von Microsoft, Brad Smith, forderte eine „Digitale Genfer Konvention“. Damit möchte er erreichen, dass der Cyberspace geregelt wird. Das müsste die Zusage aller Staaten einschließen, Schwachstellen an Anbieter zu melden, anstatt sie geheim zu halten, um sie aus praktischen Gründen für Spionage oder Angriffe zu nutzen.

Das ist nicht einfach dahergeredet worden von Smith. 2018 folgte sein Unternehmen sowie Google und Facebook und 50 Länder einen ähnlichen Aufruf des französischen Präsidenten Emmanuel Macron. Mit dem „Paris Call for Trust and Security in Cyberspace“ unterschrieben alle Teilnehmer „bösartige Cyberaktivitäten in Friedenszeiten“ zu unterlassen. Leicht zu erraten wessen Unterschriften fehlten: China, Iran, Israel, Nordkorea, Russland und die der USA.

Siehe auch:

Artikel von nytimes.com, 25.05.2019: In Baltimore and Beyond, a Stolen N.S.A. Tool Wreaks Havoc
Artikel von cnet.com, 25.05.2019: Stolen NSA hacking tool now victimizing US cities, report says
Artikel von thehill.com, 26.05.2019: Hacking tool responsible for attacks on Baltimore, other cities developed by NSA: report

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen