USA: Cyberwaffen der NSA richten Schaden in Milliardenhöhe an

Für fast drei Wochen hat Baltimore mit einem Cyberattack durch digitale Erpresser gekämpft, der Tausende von Computern eingefroren hat, E-Mails heruntergefahren und den Verkauf von Immobilien, Wasserrechnungen, Gesundheitswarnungen und viele andere Dienstleistungen unterbrochen hat.

Aber hier ist, was frustrierte Stadtangestellte und Bewohner nicht wissen: Eine Schlüsselkomponente der Malware, die von Cyberkriminellen bei dem Angriff verwendet wurde, wurde auf Kosten des Steuerzahlers entwickelt, eine kurze Fahrt über den Baltimore-Washington Parkway bei der National Security Agency, so Sicherheitsexperten, die über den Fall informiert wurden.

Seit 2017, als die NSA die Kontrolle über das Tool EternalBlue verlor, wurde es von staatlichen Hackern in Nordkorea, Russland und in jüngster Zeit auch in China aufgegriffen, um einen Weg der Zerstörung rund um die Welt zu beschreiten und Milliarden von Dollar Schaden zu verursachen. Aber im vergangenen Jahr hat die Cyberwaffe einen Bumerang zurückgelegt und taucht nun im eigenen Hinterhof der NSA auf.

Es ist nicht nur in Baltimore. Sicherheitsexperten sagen, dass die EternalBlue-Angriffe einen Höhepunkt erreicht haben, und Cyberkriminelle konzentrieren sich auf gefährdete amerikanische Städte, von Pennsylvania bis Texas, lähmen die lokalen Regierungen und treiben die Kosten in die Höhe.

Die Verbindung der NSA zu den Angriffen auf amerikanische Städte wurde bisher nicht gemeldet, auch weil sich die Agentur geweigert hat, den Verlust ihrer Cyberwaffe zu diskutieren oder gar anzuerkennen, die im April 2017 von einer noch nicht identifizierten Gruppe, die sich Shadow Brokers nennt, online entsorgt wurde. Jahre später wissen die Agentur und das Federal Bureau of Investigation immer noch nicht, ob es sich bei den Shadow Brokers um ausländische Spione oder verärgerte Insider handelt.

Thomas Rid, ein Cybersicherheitsexperte an der Johns Hopkins University, nannte die Shadow Brokers-Episode "den zerstörerischsten und teuersten N.S.A. Bruch in der Geschichte", schädlicher als das bekanntere Leck im Jahr 2013 von Edward Snowden, dem ehemaligen N.S.A. Auftragnehmer.

"Die Regierung hat sich geweigert, Verantwortung zu übernehmen oder sogar die grundlegendsten Fragen zu beantworten", sagte Herr Rid. "Die Kongressaufsicht scheint zu scheitern. Das amerikanische Volk verdient eine Antwort." Die N.S.A. und das F.B.I. lehnten eine Stellungnahme ab.

Seitdem verbreiten ausländische Geheimdienste und Schurkenakteure mit EternalBlue Malware, die Krankenhäuser, Flughäfen, Bahn- und Schifffahrtsunternehmen, A.T.M.s. und Fabriken, die kritische Impfstoffe herstellen, lahmgelegt hat. Jetzt trifft das Instrument die Vereinigten Staaten, wo es am verwundbarsten ist, in lokalen Regierungen mit alternder digitaler Infrastruktur und weniger Ressourcen, um sich selbst zu verteidigen.

Bevor es auslief, war EternalBlue eine der nützlichsten Heldentaten im Cyberarsenal der NSA. Laut drei ehemaligen N.S.A. Betreibern, die unter der Bedingung der Anonymität sprachen, verbrachten Analysten fast ein Jahr damit, einen Fehler in der Microsoft-Software zu finden und den Code zu schreiben, um ihn gezielt einzusetzen. Zuerst bezeichneten sie es als EternalBluescreen, weil es oft Computer abstürzte - ein Risiko, das ihre Ziele ablenken könnte. Aber es entwickelte sich zu einem zuverlässigen Werkzeug, das bei unzähligen Missionen zur Sammlung von Informationen und zur Terrorismusbekämpfung eingesetzt wird.

EternalBlue war so wertvoll, sagten ehemalige N.S.A. Mitarbeiter, dass die Agentur nie ernsthaft daran dachte, Microsoft über die Schwachstellen zu informieren, und daran mehr als fünf Jahre lang festhielt, bevor der Verstoß seine Hand erzwang.

Der Angriff von Baltimore am 7. Mai war ein klassischer Ransomware-Angriff. Die Bildschirme der Stadtarbeiter wurden plötzlich gesperrt, und eine Nachricht in fehlerhaftem Englisch forderte etwa 100.000 Dollar in Bitcoin, um ihre Dateien freizugeben: "Wir beobachten dich seit Tagen", sagte die Botschaft, die von The Baltimore Sun erhalten wurde. "Wir werden nicht mehr reden, alles, was wir wissen, ist GELD! Beeil dich!"

Heute ist Baltimore nach wie vor behindert, da sich die Stadtbeamten weigern zu zahlen, obwohl die Umgehungsmöglichkeiten einige Dienstleistungen wiederhergestellt haben. Ohne EternalBlue wäre der Schaden nicht so groß gewesen, sagten Experten. Das Tool nutzt eine Schwachstelle in nicht gepatchtem Software, die es Hackern ermöglicht, ihre Malware schneller und weiter zu verbreiten, als sie es sonst könnte.

Nordkorea war die erste Nation, die das Instrument für einen Angriff im Jahr 2017 - WannaCry genannt - einsetzte, der das britische Gesundheitssystem, die deutschen Eisenbahnen und rund 200.000 Organisationen auf der ganzen Welt lahm legte. Als nächstes kam Russland, das die Waffe bei einem Angriff - genannt NotPetya - einsetzte, der auf die Ukraine abzielte, sich aber über große Unternehmen ausbreitete, die in dem Land Geschäfte machten. Der Angriff kostete FedEx mehr als 400 Millionen Dollar und Merck, den Pharmariesen, 670 Millionen Dollar.

Der Schaden war noch nicht vorbei. Im vergangenen Jahr nutzten dieselben russischen Hacker, die die amerikanischen Präsidentschaftswahlen 2016 ins Visier nahmen, EternalBlue, um Hotel- Wi-Fi-Netzwerke zu kompromittieren. Iranische Hacker haben es benutzt, um Ransomware und Hack-Airlines im Mittleren Osten zu verbreiten, so Forscher der Sicherheitsfirmen Symantec und FireEye.

"Es ist unglaublich, dass ein Tool, das von Geheimdiensten verwendet wurde, jetzt öffentlich zugänglich und so weit verbreitet ist", sagte Vikram Thakur, Director of Security Response bei Symantec.

Einen Monat, bevor die Shadow Brokers 2017 begannen, die Tools der Agentur online zu stellen, wurde die N.S.A. - Kenntnis von der Verletzung - kontaktiert Microsoft und andere Technologieunternehmen, um sie über ihre Softwarefehler zu informieren. Microsoft hat einen Patch veröffentlicht, aber Hunderttausende von Computern weltweit bleiben ungeschützt.

Hacker scheinen in Baltimore, Allentown, Pa., San Antonio und anderen lokalen, amerikanischen Regierungen einen Sweet Spot gefunden zu haben, wo öffentliche Angestellte verworrene Netzwerke überwachen, die oft veraltete Software verwenden. Im vergangenen Juli gab das Ministerium für Heimatschutz eine dringende Warnung heraus, dass Staats- und Kommunalverwaltungen von besonders destruktiver Malware betroffen waren, die sich nun, so sagen Sicherheitsforscher, auf die Verbreitung von EternalBlue verlassen hat.

Microsoft, das die Verwendung von EternalBlue verfolgt, würde die betroffenen Städte und Gemeinden nicht unter Berufung auf den Datenschutz nennen. Aber andere Experten, die über die Angriffe in Baltimore, Allentown und San Antonio informiert wurden, bestätigten, dass die Hacker EternalBlue verwendeten. Sicherheitsbeauftragte sagten, dass sie fast jeden Tag sehen, wie EternalBlue bei Angriffen auftaucht.

Amit Serper, Leiter der Sicherheitsforschung bei Cybereason, sagte, dass sein Unternehmen auf EternalBlue-Angriffe an drei verschiedenen amerikanischen Universitäten reagiert habe und gefährdete Server in Großstädten wie Dallas, Los Angeles und New York gefunden habe.

Die Kosten können für die lokalen Regierungen schwer zu tragen sein. Der Allentown-Angriff im Februar letzten Jahres unterbrach die Stadtverwaltung für Wochen und kostete etwa 1 Million Dollar, um Abhilfe zu schaffen - plus weitere 420.000 Dollar pro Jahr für neue Verteidigungsmaßnahmen, sagte Matthew Leibert, der Chief Information Officer der Stadt.

Er beschrieb das Paket mit dem gefährlichen Computercode, das Allentown traf, als "Commodity-Malware", die im Dark Web verkauft und von Kriminellen verwendet wurde, die keine konkreten Ziele im Sinn haben. "Es gibt Lagerhäuser von Kindern im Ausland, die Phishing-E-Mails abfeuern", sagte Herr Leibert, wie Schläger, die militärische Waffen auf zufällige Ziele abfeuern.

Die Malware, die San Antonio im September letzten Jahres heimsuchte, infizierte einen Computer im Sheriff-Büro von Bexar County und versuchte, sich mit EternalBlue über das Netzwerk zu verbreiten, so zwei Personen, die über den Angriff informiert wurden.

In der vergangenen Woche entdeckten Forscher der Sicherheitsfirma Palo Alto Networks, dass eine chinesische Staatsgruppe, Emissary Panda, mit EternalBlue in Regierungen des Nahen Ostens gehackt hatte.

"Man kann nicht hoffen, dass die erste Welle von Angriffen, sobald sie vorbei ist, verschwinden wird", sagte Jen Miller-Osborn, stellvertretender Direktor für Bedrohungsinformationen bei Palo Alto Networks. "Wir erwarten, dass EternalBlue fast ewig verwendet wird, denn wenn Angreifer ein System finden, das nicht gepatcht ist, ist es so nützlich."

Bis vor etwa einem Jahrzehnt gehörten die mächtigsten Cyberwaffen fast ausschließlich Geheimdiensten - die Beamten der NSA benutzten den Begriff "NOBUS" für "niemand außer uns", für Schwachstellen hatte nur die Agentur die Raffinesse, die sie nutzen konnte. Aber dieser Vorteil ist enorm erodiert, nicht nur wegen der Lecks, sondern auch, weil jeder den Code einer Cyberwaffe greifen kann, sobald er in der Wildnis verwendet wird.

Einige F.B.I. und Homeland Security Beamte, die privat sprechen, sagten, dass mehr Rechenschaftspflicht bei der N.S.A. erforderlich sei. Ein ehemaliger F.B.I. Beamter verglich die Situation mit einer Regierung, die es versäumte, ein Lager für automatische Waffen zu schließen.

In einem Interview im März schlug Adm. Michael S. Rogers, der während des Lecks der Shadow Brokers Direktor der N.S.A. war, in ungewöhnlich offenen Bemerkungen vor, dass die Agentur nicht für die lange Spur des Schadens verantwortlich gemacht werden sollte.

"Wenn Toyota Pickup-LKWs herstellt und jemand einen Pickup-LKW nimmt, ein Sprengsatz auf die Vorderseite schweißt, ihn durch einen Umkreis und in eine Menschenmenge schlägt, ist das die Verantwortung von Toyota?", fragte er. "Die NSA hat einen Angriff geschrieben, der nie dazu bestimmt war, das zu tun, was getan wurde."

Im Hauptsitz von Microsoft in Redmond, Washington, wo sich Tausende von Sicherheitsexperten an vorderster Front dieser Angriffe befanden, lehnen Führungskräfte diese Analogie ab.

"Ich bin völlig anderer Meinung", sagte Tom Burt, der Corporate Vice President of Consumer Trust und betonte, dass Cyberwaffen nicht mit Pickup-Trucks verglichen werden können. "Diese Taten werden von Regierungen entwickelt und geheim gehalten, um sie als Waffen oder Spionagewerkzeuge zu benutzen. Sie sind von Natur aus gefährlich. Wenn jemand das nimmt, schnallt er keine Bombe daran. Es ist bereits eine Bombe."

Brad Smith, Microsofts Präsident, hat eine "Digitale Genfer Konvention" zur Regelung des Cyberspace gefordert, einschließlich einer Zusage der Regierungen, Schwachstellen an Anbieter zu melden, anstatt sie geheim zu halten, um sie für Spionage oder Angriffe zu nutzen.

Im vergangenen Jahr hat Microsoft zusammen mit Google und Facebook gemeinsam mit 50 Ländern einen ähnlichen Aufruf des französischen Präsidenten Emmanuel Macron - den Paris Call for Trust and Security in Cyberspace - unterzeichnet, um "bösartige Cyberaktivitäten in Friedenszeiten" zu beenden.

Bei den Unterzeichnern fehlten vor allem die aggressivsten Cyber-Akteure der Welt: China, Iran, Israel, Nordkorea, Russland - und die Vereinigten Staaten.