Russland hat nach Angaben der USA und Grossbritanniens eine grossflächige Cyberattacke verübt. Im Visier seien sowohl Regierungen, Infrastruktureinrichtungen wie auch Privatpersonen.

Der "bösartige" Angriff solle unter anderem der Spionage dienen, hiess es in einer in London veröffentlichten gemeinsamen Erklärung von britischen und US-Sicherheitsbehörden. Grundlage ist ein "Technical Alert", den Homeland Security, FBI und das britische National Cyber Security Centre (NCSC) via US-Cert publiziert haben.

Von der Regierung in Moskau unterstützte Gruppen hätten global Devices infiziert, erklärten US-amerikanische und britische Behörden. Ciaran Martin vom NCSC sagte, es seien "Millionen von Maschinen" ins Visier genommen worden. Die Angriffe würden seit 2015 beobachtet.

Zu den konkreten Zielscheiben der Attacken gehören den Angaben zufolge Router, Switches und Firewalls. "Das FBI ist überzeugt, dass russische, staatlich finanzierte Cyber-Akteure kompromittierte Router einsetzen, um Man-in-the-Middle-Angriffe durchzuführen, Spionage zu unterstützen, geistiges Eigentum zu extrahieren, einen dauerhaften Zugang zu Netzwerken zu etablieren und möglicherweise die Grundlage für künftige Offensivoperationen zu legen", heisst es im Alert.

Als Einfallstore genannt werden Netzwerk-Geräte, welche Generic Routing Encapsulation (GRE), Cisco Smart Install (SMI), und Simple Network Management Protocol (SNMP) nutzen. Dabei kommen weder Zero-Day-Exploits, noch Malware zum Einsatz. Vielmehr seien im Visier der Hacker Geräte mit unverschlüsselten Protokollen, keiner Authentifizierung, aber auch solche, die vor der Installation ungenügend gehärtet wurden sowie End-of-Life-Devices, die nicht mehr gepatcht werden können.

"Wer die Routing-Infrastruktur eines Netzwerks steuert, steuert im Wesentlichen die Daten, die durch das Netzwerk fliessen", heisst es in dem Advisory. Ziel der Cyberattacken sei es, die Arbeit anderer Regierungen zu stören und geschäftliche Aktivitäten zu destabilisieren, erklärte ein Sprecher der britischen Regierung.

Die Warnung nennt auch Gründe, warum löchrige Netzwerk-Devices nicht nur gut auffindbar, sondern auch sonst interessant sind: Sie stehen weniger unter Beobachtung als Server, Sicherheits-Tools sind selten und viele werden schon löchrig ausgeliefert.

Bei einigen Devices können selbst sensible Security-Verantwortliche die Standardeinstellungen nicht ändern, keine Sicherheitshärtung durchführen oder das regelmässige Patchen nicht übernehmen. Und "ISPs ersetzen oft Hardware nicht, die nicht mehr vom Hersteller unterstützt wird. Und Netzwerkgeräte werden bei Cyber Intrusion-Untersuchungen oft übersehen", schreibt 'The Register'.

Bei kritischen Infrastrukturen könnten Denial of Service, Informationsmanipulation oder physische Zerstörung möglich werden, kann man sich nach der Lektüre ausmalen.

Ein Sprecher der britischen Regierung nannte die Angriffe ein weiteres Beispiel für Russlands "Missachtung von internationalen Normen und der globalen Ordnung". Der Experte der US-Bundespolizei FBI, Howard Marshall, betonte, die neue Attacken fügten sich in ein Muster von "bösartigen" Cyber-Aktivitäten der russischen Regierung ein.

Warum die Behörden zwischen der Entdeckung 2015 und der nun erfolgten Publikation eines gemeinsamen Alerts schwiegen, wurde bislang nicht erklärt.

Die USA und Grossbritannien machen Russland für den NotPetya-Cyberangriff 2017 verantwortlich. Dabei entstanden Milliardenschäden. Zudem gehen US-Geheimdienste davon aus, dass Russland versucht hat, sich in die US-Präsidentenwahl 2016 einzumischen.

Diese plausibel wirkende Cyberattacke könnte die ohnehin stark angespannten Beziehungen zwischen Russland und dem Westen weiter belasten. Russland seinerseits hat alle Vorwürfe immer bestritten. Präsidialamtssprecher Dmitri Peskow sagte zu Journalisten, er wisse nicht, worauf diese Vorwürfe beruhten. Weder die USA noch Grossbritannien hätten irgendwelche Beweise vorgelegt. (Marcel Gamma / sda)

(Der Artikel wurde um das Statement Russlands ergänzt.)