USA, EU, NATO, Microsoft & Co. beschuldigen China für Hafnium Exchange-Hack

Sicherheit (Pexels, allgemeine Nutzung)[English]Ende Februar, Anfang März 2021 kam es zu einem massiven Angriff auf Microsoft Exchange Server (siehe Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!), bei dem weltweit viele Tausend Instanzen gehackt wurden. Bereits damals wurden die Angriffe der chinesischen Hackergruppe Hafnium zugeschrieben. Jetzt beschuldigen die USA zusammen mit ihren Alliierten (Großbritannien, NATO) sowie die EU China für diesen Angriff verantwortlich zu sein. Die USA haben zudem vier chinesische Staatsbürger als Verantwortliche ausgemacht.


Anzeige

Es war ein gewaltiger Cyber-Angriff auf Microsofts On-Premises Exchange Server, der bereits lief, bevor Microsoft entsprechende Patches zum Schließen der ProxyLogon-Schwachstelle ausrollen konnte. Ich hatte den Ablauf im Blog-Beitrag Anatomie des ProxyLogon Hafinum-Exchange Server Hacks nachgezeichnet. In der Folge waren zahlreiche US-Behörden, Firmen und Organisationen betroffen. Aber der Massenhack hatte auch weltweit Folgen, waren doch zahlreiche Exchange-Instanzen kompromittiert. Vom BSI wurde bekannt, dass sechs Bundesbehörden, darunter das Bundesumweltamt, betroffen waren (siehe auch Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe).

Bereits zu Beginn der Angriffe wurde die chinesische Hackergruppe Hafnium von Microsoft für diese Angriffe verantwortlich gemacht. Und da in China nichts ohne die KP läuft, war die chinesische Regierung eingebunden. Es hat lange gedauert, aber jetzt scheinen die US-Behörden genügend Anhaltspunkte zu haben, um konkret chinesische Staatsbürger anzuklagen und die chinesische Regierung für den Angriff verantwortlich zu machen.

Gemeinsame Erklärung der Betroffenen

Das Weiße Haus hat am 19. Juli 2021 eine offizielle Erklärung mit dem Titel The United States, Joined by Allies and Partners, Attributes Malicious Cyber Activity and Irresponsible State Behavior to the People's Republic of China herausgegeben, die von den Alliierten getragen wird. Die Erklärung der NATO findet sich hier, ähnliche Erklärungen gibt es von der EU und weiteren Staaten wie Australien, Großbritannien Kanada, Japan und Neuseeland. Der Inhalt der Erklärung zusammengefasst:

  • Die Feststellung: Der Cyberangriff auf Microsoft Exchange Server durch chinesische staatlich unterstützte Gruppen war ein rücksichtsloses, aber bekanntes Verhaltensmuster.
  • Die Forderung: Die chinesische Regierung muss diese systematische Cyber-Sabotage beenden und kann damit rechnen, zur Rechenschaft gezogen zu werden, wenn sie dies nicht tut.

Der Angriff ermöglichte mit hoher Wahrscheinlichkeit Spionage im großen Stil, einschließlich der Erlangung von personenbezogenen Daten und geistigem Eigentum. Mit dem Angriff wurde wohl eine Grenze überschritten, wo sich die USA mit ihren Alliierten über Konsequenzen abstimmen.

Axion fasst das hier ebenfalls zusammen. Die US-CERT-CISA hat hier eine Zusammenfassung des Sachverhalts und diverser Hilfestellungen veröffentlicht.

Merkwürdige Zurückhaltung

In der Stellungnahme der NATO heißt es beispielsweise, dass man mit zunehmender Sorge beobachtet, dass Cyber-Bedrohungen für die Sicherheit des Bündnisses komplex, zerstörerisch und zwanghaft sind und immer häufiger auftreten. Dies sei in jüngster Zeit durch Ransomware-Vorfälle und andere böswillige Cyber-Aktivitäten deutlich geworden, die auf die kritische Infrastruktur und demokratischen Institutionen abzielen und Schwachstellen in den Hardware- und Software-Lieferketten ausnutzen.

Die NATO verurteilt solche böswilligen Cyber-Aktivitäten, die darauf abzielen, die euro-atlantische Sicherheit zu destabilisieren und zu schädigen und das tägliche Leben der betroffenen Bürger zu stören. Die NATO erklärt sich solidarisch mit all jenen, die von den jüngsten böswilligen Cyber-Aktivitäten betroffen sind, einschließlich der Kompromittierung von Microsoft Exchange Server. Solche böswilligen Cyber-Aktivitäten untergraben aus Sicht der NATO und der restlichen Beteiligten die Sicherheit, das Vertrauen und die Stabilität im Cyber-Raum.

Die NATO nimmt die nationalen Erklärungen von Bündnispartnern wie Kanada, dem Vereinigten Königreich und den Vereinigten Staaten zur Kenntnis, in denen der Volksrepublik China die Verantwortung für die Kompromittierung des Microsoft Exchange Server zugeschrieben wird. Im Einklang mit dem jüngsten Kommuniqué des Brüsseler Gipfels ruft die NATO in ihrem Statement alle Staaten, einschließlich China, dazu auf, ihre internationalen Zusagen und Verpflichtungen einzuhalten und im internationalen System, auch im Cyberspace, verantwortungsvoll zu handeln.

Die NATO bekräftigt dabei unsere Bereitschaft, mit China einen konstruktiven Dialog auf der Grundlage der Interessen der NATO, über Bereiche, die für das Bündnis von Bedeutung sind, wie Cyber-Bedrohungen, und über gemeinsame Herausforderungen zu führen. Was Berichterstattern auffällt, ist die Zurückhaltung von US-Präsident Biden in der Causa China. Während im Fall von Russland sofort harte Schritte und Sanktionen eingeleitet wurden, die möglicherweise auf eine Kooperation der russischen Regierung mit westlichen Staaten hinauslaufen, erklärt Joe Biden:


Anzeige

Ich gehe davon aus, dass die chinesische Regierung, nicht anders als die russische Regierung, dies [die Angriffe] nicht selbst ausführen, aber diejenigen schützt, die es tun. Und [die Angreifer] sogar in die Lage versetzt, diese Angriffe auszuführen.

Es erfolgt also keine direkte Beschuldigung der chinesischen Regierung, aber diese wird für die Angriffe verantwortlich gemacht. Die Sprecherin des Weißen Hauses, Jen Psaki, wurde später bei ihrem täglichen Briefing gefragt, warum Biden in seiner Antwort auf die Frage eines Reporters die chinesische Regierung nicht direkt beschuldigt habe. Deren Antwort war:

Das war nicht die Absicht, die er zu projizieren versucht hat. Er nimmt bösartige Cyber-Aktivitäten unglaublich ernst.

Reuters schreibt hier, dass sich Cyber-Experten wundern, dass neben der Flut von Erklärungen der westlichen Mächte, die breite Allianz repräsentieren, jegliche Konsequenzen für China (über die US-Anklage hinaus) fehlen und finden das auffällig. Noch vor einem Monat hatte der Gipfel von G7 und NATO China gewarnt, dass die Cyber-Angriffe eine Bedrohung für die internationale Ordnung darstellen.

Adam Segal, ein Cybersecurity-Experte beim Council on Foreign Relations in New York, wird von Reuters so zitiert, dass die Ankündigung vom Montag einen "erfolgreichen Versuch darstelle, Freunde und Verbündete dazu zu bringen, die Aktion Peking zuzuschreiben, aber nicht sehr nützlich ohne konkrete Folgemaßnahmen."

Kürzlich hatte das Weiße Haus unter Präsident Joe Biden eine Belohnung von 10 Millionen US-Dollar für Hinweise, die zur Identifizierung der Hintermänner von Ransomware-Angriffe ausgelobt führen, ausgelobt. AP hat die Details in diesem Beitrag veröffentlicht.

China weist die Vorwürfe zurück

Ein Sprecher der chinesischen Botschaft in Washington, Liu Pengyu, nannte die Vorwürfe gegen China "unverantwortlich". Die chinesische Regierung und das zuständige Personal beteiligen sich niemals an Cyber-Angriffen oder Cyber-Diebstahl", zitiert Reuters Liu.

Vier Chinesen angeklagt

Vom US-Justizministerium (Department of Justice) gibt es diese Erklärung, in der vier chinesische Staatsangehörige, die Mitglieder der APT40-Hackergruppe sind und mit dem Ministerium für Staatssicherheit zusammenarbeiten, wegen einer globalen Kampagne zum Eindringen in Computer angeklagt werden.  Es handelt sich aber um Anschuldigungen, die nichts mit den Hafnium-Angriffen zu tun haben, sondern es geht um das Hacken der Computersysteme von Dutzenden von Opferunternehmen, Universitäten und Regierungsstellen in den USA und im Ausland zwischen 2011 und 2018. The Record hat in diesem Artikel die Details aufbereitet.

Als außenstehender Beobachter ist es schwierig, den Spreu vom Weizen zu trennen. Es deutet sich an, dass die China zugesprochenen Cyber-Angriffe (ähnlich wie in Russland) nicht mehr so hingenommen werden. Aber man zieht aktuell noch keine Konsequenzen in Form von Handelssanktionen. Da China aber vor allem im Pazifik gegenüber Drittstaaten, auch Taiwan, militärisch aggressiver auftritt, dürfte das Thema Cyber-Angriffe nicht vom Tisch sein. Bezüglich Russland und dem Verschwinden der REvil Ransomware-Gruppe habe ich gestern übrigens eine interessante Analyse auf RND gelesen. Es ist zwar vieles Spekulation, aber dort scheint das Fass wohl zum Überlaufen gekommen zu sein.

Ähnliche Artikel:
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (März 2021)
Neues zum Exchange-Hack – Testtools von Microsoft & Co.
Microsoft MSERT hilft bei Exchange-Server-Scans
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
Gab es beim Exchange-Massenhack ein Leck bei Microsoft?
ProxyLogon-Hack: Repository für betroffene Exchange-Administratoren
Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben
Sicherheitsupdate für Exchange Server 2013 Service Pack 1 – Neue CUs für Exchange 2019 und 2016 (16.3.2021)
Microsoft Defender schließt automatisch CVE-2021-26855 auf Exchange Server
Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)
Exchange: Hafnium-Hacker kapitulieren vor Office 365


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu USA, EU, NATO, Microsoft & Co. beschuldigen China für Hafnium Exchange-Hack

  1. PRISM sagt:

    STARKER ARTIKEL!!!

    Boar, er hat sich wie ein Krimi lesen lassen.

    Ich möchte mich auch gleich auf diesem Weg für Deine sehr gute Arbeit im Blog bedanken.
    Borncity ist ein wichtiger Baustein zur Informationseinholung in meinem jetzigen Berufleben geworden.

    Beste Grüße,
    PRISM

  2. Andreas sagt:

    Man muss sich darüber im klaren sein, dass hier ein Missetäter dem anderen Missetäter schwere Vorwürfe macht. Wer weiß schon, was die US Cyber-Einheiten so alles treiben.

    Beängstigend finde ich, dass die NATO in diesem speziellen Fall (Kompromittierung von Email-Servern des Herstellers MS) so viel Wind macht. Das wirft die Frage auf, ob es in einer hoffentlich nie eintretenden Zukunft zu einem realen Krieg aufgrund von Vorfällen im Cyber-Krieg (der schon längst in vollem Gange ist) kommt.

  3. Alex A. Kibkalo sagt:

    Wie oft noch?! Da haben wieder mal die aus RU den CN als Täter hingestellt und lachen sich weg. :)

  4. JohnRipper sagt:

    Ich sage es ja: wir werden noch alle verhungern, wenn der Krieg zw. dem Westen und Asien in die nächste Runde geht.

    Ich hatte ja eigentlich gehofft, dass es bis zu meinem Lebensende noch reicht. Sieht aber aktuell nicht danach aus.

  5. Dat Bundesferkel sagt:

    Ok, pöhses H4ck0r-China. Da gibt es nur eine einzige, adäquate Lösung: Die Chinesen habe ihre "Great Firewall" (daran könnten sich unsere Dödel doch mal ein Beispiel nehmen, um sich vor Angriffen der ach so pöhsen Chinesen zu schützen), oder aber man macht Nägel mit Köpfen: Sofortiges Kappen sämtlicher Internetverbindungen von und zu China (sowohl Kabel, als auch Funk, Satellit, wie-auch-immer).
    Sofortige Ausweisung alle Personen chinesischer Herkunft aus westlichen "Reichen".

    Ups… warum macht man das wohl nicht… :-)

    Die Chinesen spionieren / sabotieren nicht mehr oder weniger, wie jedes andere Land mit diesen technischen Möglichkeiten auch. Das muß, soll und darf man nicht gutheißen, aber sich hinzustellen und mit dem Finger drauf zu zeigen. Ernsthaft?

    Kasperle-Report anno 2021. Mal schauen, was 2022 kommt.

Schreibe einen Kommentar zu Andreas Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.