Colonial Pipeline, Microsoft, Krypto Crackdowns: Feds zeigen auf kritische Cyber-Momente

Cyber Security News

Die erste stellvertretende US-Staatsanwältin Tracy Wilkison kündigt für 2018 Anklagen gegen einen nordkoreanischen Staatsangehörigen im Zusammenhang mit einer Reihe von Cyberangriffen an. Das vergangene Jahr hat den Strafverfolgungsbehörden eine Reihe neuer Kopfschmerzen in Form von Ransomware, Kryptowährungswäsche und Debatten über rechtliche Befugnisse bereitet. (Mario Tama/Getty Images)

Es war ein wildes Jahr für die Cybersicherheit, eines, in dem Ransomware von einem kriminellen Unternehmen zu einer echten nationalen Sicherheitsbedrohung wurde, die regelmäßig vom Präsidenten der Vereinigten Staaten diskutiert wurde, in dem Software(unsicherheit) weiterhin die Welt eroberte und in dem eine Reihe von schädlichen Hacks in der Lieferkette den öffentlichen und privaten Sektor gleichermaßen schockierte.

Auf einer Veranstaltung der Armed Forces Communications and Electronics Association am 26. Mai sprachen drei Vertreter der US-Strafverfolgungsbehörden über die Vorfälle oder Entwicklungen des vergangenen Jahres, die ihrer Meinung nach den größten Einfluss auf die künftige Cybersicherheitslandschaft haben werden.

Es überrascht nicht, dass der Ransomware-Angriff auf die Colonial Pipeline und seine Folgen mehreren Beamten noch im Gedächtnis sind. Sean Newell, stellvertretender Leiter der Abteilung für Spionageabwehr und Exportkontrolle im Justizministerium, nannte es einen seltenen Fall, in dem ein lange schwelendes Problem praktisch über Nacht zum Thema des amerikanischen Mainstream-Diskurses wurde. In diesem Fall war es die Bedrohung, die Ransomware für kritische Infrastrukturen und die Gesellschaft im Allgemeinen darstellen kann, etwas, vor dem Strafverfolgungs- und Cybersicherheitsbeamte seit Jahren gewarnt haben.

“Als das passierte, dachte ich: ‘Das ist sehr auffällig, der normale Amerikaner wird die Auswirkungen von Ransomware sehen können, nicht nur der Geschäftsmann, der betroffen sein könnte'”, sagte Newell.

Darüber hinaus hat der Vorfall das Problem der Ransomware aus der siloartigen Bürokratie des FBI und anderer Behörden herausgehoben und zwingt eine ganzheitlichere Reaktion der gesamten US-Regierung, um das Problem aggressiver anzugehen.

“Ich denke, Sie haben gesehen, dass seit [the Colonial attack] aufgetreten ist, sehen Sie den Präsidenten das Podium nehmen, um es zu diskutieren und von einer ressortübergreifenden Perspektive. Es ist eine Art, das Gespräch aus verschiedenen unabhängigen Agenturen und Abteilungen innerhalb der Regierung zu nehmen und irgendwie in diese ganze Regierung Gespräch gebracht,” sagte Newell. “Hoffentlich werden wir in den kommenden Monaten und Jahren einige Vorteile daraus ziehen.”

Michael Christman, stellvertretender Direktor der Criminal Justice Information Services Division beim FBI, nannte auch den Angriff auf die Colonial Pipeline als den wichtigsten, aber aus anderen Gründen. Für Christman “verkörpert” der Angriff sowohl die zweideutige Beziehung, die Gruppen wie DarkSide mit ihren Heimatregierungen wie Russland haben, als auch die breitere Verlagerung der Cyberkriminalität hin zu “crime-as-a-service”, wie z. B. das Aufkommen von Initial Access Brokern und Ransomware-Gruppen und anderen Akteuren, die ihre Malware an andere Parteien im Austausch für einen Teil des Lösegelds lizenzieren.

Wie SC Media Anfang des Jahres berichtete, sind Initial Access Broker (kriminelle Hacker, die sich darauf spezialisiert haben, Exploits oder direkten Zugang zu Opfernetzwerken zu erlangen und dann zu verkaufen) zu einem festen Bestandteil vieler Ransomware-Kampagnen geworden. Der Colonial-Angriff hat gezeigt, wie verwundbar die amerikanische Gesellschaft ist, insbesondere in einer Welt nach der Pandemie, in der jeder Mitarbeiter, der sich am Arbeitsplatz anmeldet, ein potenzieller Vektor für den nächsten Angriff ist.

“Wir sehen, dass unsere kritische Infrastruktur wahrscheinlich verwundbarer ist, als wir glauben wollen. Ich denke, bei der Pandemie haben viele von uns Erfolge mit Telearbeit oder Remote-Arbeit erzielt. Aber was wir hier sehen, im Zusammenhang mit Ransomware, wo Mitarbeiter, die sich per Fernzugriff einklinken, sozusagen eine Schwachstelle oder eine Seitentür schaffen können”, sagte Christman.

Natürlich wurden praktisch alle Lösegelder, die im letzten Jahr ausgezahlt wurden, über pseudo-anonyme und schwer zu verfolgende Kryptowährungen wie Bitcoin ausgezahlt. Trotz des großen Hypes und des Marketings rund um die Technologie sind die Strafverfolgungsbehörden seit Jahren in der Lage, sich an privatwirtschaftliche Unternehmen wie Chainalysis zu wenden, um den Schleier der Anonymität hinter einigen der beliebtesten Währungen zu durchdringen.

Dennoch scheinen sich die politischen Entscheidungsträger in den USA zu einem größeren Vorstoß zusammenzuschließen, um den Kryptowährungsmarkt strenger zu regulieren, um die Börsen zu zwingen, mehr darüber zu wissen, wer ihre Plattform nutzt, und den Hauptweg abzuschneiden, über den Ransomware-Gruppen ihr erpresstes Geld erhalten und waschen. Jarod Koopman, Leiter der Abteilung für Cyberkriminalität bei der IRS Criminal Investigation Division, sagte, dass er und andere Behörden die nächsten Jahre damit verbringen werden, die verschiedenen Wege zu kartieren, auf denen Cyberkriminelle ihre unrechtmäßig erworbenen Gewinne verstecken und verschleiern. “Die Kriminellen sind so raffiniert, dass sie diese Technologien auf einzigartige Weise einsetzen, was es für die Strafverfolgungsbehörden sehr viel schwieriger macht, eine Zuordnung zu finden und vorzunehmen, sei es durch die Verwendung dieser speziellen Krypto-Zuordnungsmethoden wie Mixer, Tumblers … Cross-Chain-Transaktionen. Es ist wirklich diese Art von Aktivität, die wir wirklich versuchen, vor zu bleiben,” sagte Koopman.

Der Microsoft Exchange-Hack und die anschließende FBI-Operation zur Entfernung bösartiger Webshells von Hunderten von US-Computern, auf denen Vor-Ort-Versionen von Microsoft Exchange liefen, wurde ebenfalls als kritischer Moment vermerkt. Obwohl das FBI eine gerichtliche Anordnung dazu beantragte und erhielt, warf der Vorfall dennoch Fragen zu den zugrundeliegenden rechtlichen Befugnissen auf, auf die sich das FBI und andere Regierungsbehörden stützten, um in Angelegenheiten der Cybersicherheit im privaten Sektor einzugreifen, und wo die Grenze zu ziehen ist.

Newell verteidigte die Entscheidung des FBI, indem er sagte, dass sie die Computer nicht durchsucht oder die Dateien der Endbenutzer durchwühlt haben, noch haben sie die ursprüngliche, zugrundeliegende Schwachstelle gepatcht, wie einige zu der Zeit berichteten. Sie veröffentlichten auch den Befehl, den sie zum Löschen der Shells verwendeten. Er beschrieb die Aktion als eine natürliche Fortsetzung früherer Takedowns durch US-Strafverfolgungsbehörden, wie z. B. die Operationen gegen die Botnets Trickbot und Emotet.

Natürlich besteht ein großer Unterschied zwischen der Beschlagnahmung von Eigentum und Infrastruktur bekannter Cyberkrimineller durch die Regierung, die Gegenstand strafrechtlicher Ermittlungen oder Anklagen sind, und dem Treffen von Cybersicherheitsentscheidungen für die Privatwirtschaft. Newell sagte, dass er die Überprüfung begrüße, aber argumentierte, dass sie im Einklang mit früheren Bemühungen der USA und des FBI stehe, ausländische und kriminelle Hacking-Operationen zu finden und zu stören, insbesondere solche mit weitreichenden gesellschaftlichen Auswirkungen wie die Microsoft Exchange-Angriffe.

“Ich denke, es hat eine Menge Aufmerksamkeit erregt, und das zu Recht, weshalb wir sehr transparent über die Operation sind,” sagte er. “Aber ich denke, es ist wichtig, dies in den Kontext der nun über 10 Jahre andauernden Bemühungen des Justizministeriums und des FBI zu stellen, diese Art von Schritten zu unternehmen, um Hacker und ihre Aktivitäten zu stören und ihre Netzwerke ins Visier zu nehmen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com