Microsoft veröffentlichte einen Blog-Beitrag über Cyberangriffe gegen die an der bevorstehenden Präsidentschaftswahl beteiligte Personen und Organisationen. Dahinter stecken Hackergruppen, die von Russland, China und dem Iran aus operieren.

In dem am 10. September dieses Jahres veröffentlichten Blogpost berichtete Microsofts Vizepräsident für Kundensicherheit & Vertrauen, Tom Burt, über Cyberangriffe gegen Beteiligte an den aktuellen US-Wahlkampagnen. Darin hieß es auch, dass die Funde deutlich machen, dass ausländische Hackergruppen ihre Bemühungen im Hinblick auf die Wahlen im Jahr 2020 wie erwartet verstärkt haben. Das würde auch im Einklang mit Berichten der US-Regierung und anderen Beobachtern stehen, so Burt.

Beobachtet wurden insbesondere Angriffe von drei Hackergruppen:

• Die von China aus operierenden Zirkonium Hacker. Sie greifen hochrangige Persönlichkeiten an in Verbindung mit den US-Wahlen.
• Die Phosphorus-Gruppe aus dem Iran. Sie hat Personen angegriffen, die mit Donald Trumps Wahlkampagne zu tun haben.
• Die russischen Hacker von Strontium. Sie hätten bereits mehr als 200 Organisationen angegriffen, einschließlich politischer Kampagnen, Lobbygruppen, Parteien und politische Berater.

Laut Microsoft wären die meisten Angriffe sofort entdeckt und von der entsprechenden Microsoft-Software geblockt worden. Microsoft habe alle seine betroffenen Kunden direkt darüber informiert, hieß es. Der Tech-Gigant bietet spezielle Software zur Bedrohungsüberwachung an. Anfang April dieses Jahres gab Microsoft seine Programme bekannt. Dort hieß es, dass sie

„zur Verteidigung der Demokratie, die unsere demokratischen Prozesse bedrohen, helfen sollen, angesichts all dieser Bedrohungen widerstandsfähiger zu werden. Erstens erweitern wir unser Programm zur Verteidigung der Demokratie um einen neuen Dienst, die Wahlsicherheitsberatung Election Security Advisors. Es bietet politischen Kampagnen und Wahlhelfern praktische Hilfe bei der Sicherung ihrer Systeme und der Erholung von Cyberangriffen bietet. Zweitens erweitern wir unseren AccountGuard Bedrohungsinformationsdienst auf die Büros von US-Wahlhelfern und den US-Kongress, da viele von ihnen remote arbeiten. Drittens dehnen wir Microsoft 365 for Campaigns aus auf Kampagnen auf Bundesstaatsebene und auf Parteien.“

Die Hacker, die den US-Wahlkampf stören

Tom Burt stellte die drei Hackergruppen und ihre bisherigen Aktivitäten einzeln in seinem Blogpost vor.

Zirconium Hacker aus China

Zirconium sei eine der vielen von China aus operierenden staatlichen Hackergruppen. Sie versuche, Informationen von Organisationen zu stehlen, die mit den US-Präsidentschaftswahlen in Verbindung stehen. Zwischen März und September 2020 wurden Tausende Angriffe entdeckt, von denen etwa 150 erfolgreich waren. Zirconium zielt dabei auf Personen ab, die sehr eng mit den Kandidaten und den Wahlkampfteams zusammenarbeiten. Angegriffen werden auch prominente Persönlichkeiten und Akademiker im Bereich internationale Angelegenheiten.

Zirconium, auch als APT31 bekannt, setzt bei ihren Angriffen Web Bugs oder Web Beacons ein. Diese sind an eine von der Gruppe gekaufte und mit Inhalten bestückte Domain gebunden. Die Hacker senden dann die zugehörige URL entweder als E-Mail-Text oder als Anhang an ein Zielkonto. Die Domäne selbst enthält keinen böswilligen Inhalt. Die Zirconium-Hacker können aber anhand des Web-Bugs überprüfen, ob ein Benutzer versucht hat, auf die Website zuzugreifen. Für nationalstaatliche Hacker sei dies eine einfache Methode, um bei Zielkonten zu ermitteln, ob das Konto gültig oder der Benutzer aktiv ist, erläuterte Microsoft.

Phosphorus Hacker vom Iran

Die als Phosphorus bezeichnete Hackergruppe operiert seit vielen Jahren aus dem Iran. Die Gruppe ist auch bekannt unter den Namen APT 35, Charming Kitten oder Ajax Security Team. Sie führte bisher Spionageangriffe gegen eine Vielzahl von Zielen durch, die alle Verbindungen zu geopolitischen, wirtschaftlichen oder Menschenrechtsinteressen im Nahen Ostens haben. Microsoft hatte vor einiger Zeit bereits rechtliche Schritte gegen Phosphorus eingeleitet. Das Bundesgericht in Washington D.C. erlaubte Microsoft, Kontrolle über 25 neue Phosphorus-Domänen zu übernehmen. Inzwischen konnte Microsoft die Kontrolle über insgesamt 155 ihrer Domänen übernehmen.

Dieses Jahr verstärkt Phosphorus seine Angriffe gegen E-Mail-Konten von Personen, die direkt oder indirekt mit der US-Präsidentschaftswahl in Verbindung stehen. Zwischen Mai und Juni dieses Jahres versuchten sie sich in die Konten von Verwaltungsbeamten und dem Wahlkampfpersonal des Präsidenten einzuloggen. Diese Angriffe endeten aber erfolglos laut Microsoft. Auch das Wahlkampfteam von Biden war Ziel ihrer Angriffe. Die iranischen Hacker führen überwiegend Phishing-Angriffe durch. Neuerdings nutzen sie auch WhatsApp und LinkedIn Nachrichten, in denen sie sich als Journalisten ausgeben.

Strontium Hacker aus Russland

Am bedrohlichsten aber seien laut Burt die Angriffe aus Russland. Die von Microsoft als Strontium bezeichneten russischen Hacker seien schon seit einer Weile auffällig aktiv. Bei Strontium handelt es sich um Hacker des russischen Militärgeheimdienstes, eher bekannt als Fancy Bear oder APT28. Diese Gruppe wurde seinerzeit im Müller-Report als Hauptverantwortliche für die Angriffe gegen Hillary Clintons Demokratische Partei genannt. Wie 2016, interessieren sich die russischen Hacker auch für den aktuellen amerikanischen Wahlkampf. Microsoft konnte eine ganze Reihe ihrer Angriffe beobachten, die bereits im September 2019 begannen. Strontium hat es auf jegliche Zugangsdaten ihrer Opfer abgesehen. Ziel der Hacker sei es, so Microsoft, Informationen zu sammeln oder Abläufe zu stören.

Über 200 Opfer gehen bis dato auf die Konten der Strontium Hacker. Sie haben meistens direkt oder indirekt mit den bevorstehenden US-Wahlen zu tun. Angegriffen werden aber politische Ziele in Europa wie die Europäische Volkspartei und politische Parteien im Vereinigten Königreich. In den USA werden Berater der Republikaner und Demokraten, Think Tanks wie der German Marshall Fund, Interessenvertretungen sowie nationale und bundesstaatliche Parteien in den Vereinigten Staaten angegriffen. Interessanterweise hat Strontium seine Angriffe nun auch auf die Unterhaltungsindustrie, das Gastgewerbe, Herstellungsbetriebe, Finanzdienstleister und Sicherheitsdienste ausgeweitet.

Seit 2016 hat Strontium seine Angriffsmethoden stark weiterentwickelt. Laut Microsoft werden ganz neue Reconnaissance Tools und neue Techniken zur Verschleierung ihrer Angriffe verwendet. 2016 nutzten die russischen Hacker meistens Spear-Phishing-Angriffe. Neuerdings sind es eher Brute-Force- und Password-Spraying-Angriffe. Strontium tarnt seine Angriffe nun auch besser. Sie laufen über mehr als 1.000 ständig rotierende IP-Adressen. Viele davon werden über einen Tor-Dienst geleitet. Inzwischen hat Strontium auch seine eigene Infrastruktur weiterentwickelt. Diese Aktivitäten sind für IT-Forensiker allerdings trotzdem sehr leicht zu entdecken. Die Hacker fügen daher täglich etwa neue 20 IPs hinzu oder entfernen sie, um ihre Aktivitäten weiter zu verschleiern.

Microsoft schreibt, dass es mit seinen Kunden zusammenarbeiten würde, um sie bei der proaktiven Suche nach solchen Bedrohungen zu unterstützen. Außerdem stellt Microsoft ihnen regelmäßig zusätzliche Details und Anleitungen zu den Strontium-Aktivitäten zur Verfügung.

Ausblick auf die zukünftige Bedrohungslage im US-Wahlkampf

Ein Mitarbeiter des amerikanischen Department of Homeland Security hatte sich beschwert, dass er Informationen über die nationalen Sicherheitsbedrohungen Russlands herunterspielen sollte. Stattdessen sollte er sich auf iranische und chinesische Hackergruppen konzentrieren. Das würde besser zum politischen Fokus der Trump-Regierung passen, hieß es als Erklärung. Präsident Trump hatte schon vor seiner Wahl öffentlich Zweifel an Berichten über russische Hackerangriffe geäußert. Er sah nie Beweise gegeben für deren Einmischung in die Wahlen 2016.

Der Direktor von FireEye, John Hultquist, sieht das aber völlig anders. Er warnte davor, dass die Amerikaner nicht glauben sollten, dass diese drei Hackergruppen ein gleichhohes Risiko für die amerikanische Demokratie darstellen. Er sagte:

„APT28 ist die Bedrohung, die hier wirklich wichtig ist. Sie haben die historischen Hintergründe, die Motivation und die Mittel, um sich tatsächlich einzumischen.“

Artikel von blogs.microsoft.com, 10.09.2020: New cyberattacks targeting U.S. elections 
Artikel von wired.com, 09.10.2020: Russia’s Fancy Bear Hackers Are Hitting US Campaign Targets Again
Artikel von threatpost.com, 10.09.2020: Microsoft Warns of Cyberattacks on Trump, Biden Election Campaigns
Artikel von zdnet.com, 10.09.2020: Microsoft confirms Chinese, Iranian, and Russian cyber-attacks on Biden and Trump campaigns

Beitragsbild: Public Domain, Creative Commons CC0, Brett Sayles von pexels.com