Die USA und Großbritannien haben gestern abend vor großflächigen Cyber-Attacken mutmaßlich russischen Ursprungs gewarnt, die sich insbesondere auf die Netzwerk-Infrastrukturen beziehen sollen. Laut Meldungen geht es den Angreifern darum massenhaft Router, Firewall und andere Hardware zu infiltrieren, mit deren Hilfe sich Netzwerke beeinflussen, Datenverkehr mitlesen oder manipulieren ließe oder ggf. sogar abschalten lassen. Tatsächlich beziehen sich die Warnungen nicht auf akute Vorfälle sondern sind von Behörden der beiden Staaten (lt. Pressemeldungen) bereits seit Monaten, teilweise sogar seit 2015 beobachtet worden (exempl. im Guardian / lokale Kopie). Die Original-Pressemeldung des US-Certs formuliert es folgendermaßen:
This joint Technical Alert (TA) is the result of analytic efforts between the Department of Homeland Security (DHS), the Federal Bureau of Investigation (FBI), and the United Kingdom’s National Cyber Security Centre (NCSC). This TA provides information on the worldwide cyber exploitation of network infrastructure devices (e.g., router, switch, firewall, Network-based Intrusion Detection System (NIDS) devices) by Russian state-sponsored cyber actors. Targets are primarily government and private-sector organizations, critical infrastructure providers, and the Internet service providers (ISPs) supporting these sectors. This report contains technical details on the tactics, techniques, and procedures (TTPs) used by Russian state-sponsored cyber actors to compromise victims. Victims were identified through a coordinated series of actions between U.S. and international partners. This report builds on previous DHS reporting and advisories from the United Kingdom, Australia, and the European Union. [1-5] This report contains indicators of compromise (IOCs) and contextual information regarding observed behaviors on the networks of compromised victims. FBI has high confidence that Russian state-sponsored cyber actors are using compromised routers to conduct man-in-the-middle attacks to support espionage, extract intellectual property, maintain persistent access to victim networks, and potentially lay a foundation for future offensive operations.
Hier die Meldung des US-Certs im Volltext und als lokale Kopie.
Update (17.04.2018, 22:00): Mittlerweile gibt es auch vom deutschen BSI eine Stellungnahme zu den Vorfällen, die wie bereits an anderen Medien vermerkt darauf hinweist, dass die Anschuldigungen möglicherweise aus politischer Sicht relevant, aus technischer Sicht jedoch kaum neu sind:
Es ist grundsätzlich bekannt, dass Komponenten wie Router, Switches und Firewalls wesentliche Bausteine für den Betrieb von vernetzten Infrastrukturen sind und daher grundsätzlich auch im Fokus von Cyber-Angreifern stehen. Die in der Erklärung beschriebenen Schwachstellen und IOCs sind bereits mehrere Jahre alt und grundsätzlich bekannt. (Q: BSI / lokale Kopie)
Das wirft die Frage auf, warum in welchem außenpolitischen Kontext die Warnungen (und Anschuldigungen Russlands) stehen. Laut den im obigen Guardian-Artikel verlinkten Aussagen in der Pressekonferenz sollen sie explizit nicht im Kontext des Syrien-Konflikts liegen.
Update.2 (18.04.2018): Mittlerweile gibt es eine Reaktion der russischen Regierung auf die Vorwürfe. Laut Meldung beim Deutschlandfunk sagte der russische Regierungssprecher Peskow, dass „er [nicht] wisse (..), worauf diese Vorwürfe beruhten. Weder die USA noch Großbritannien hätten irgendwelche Beweise vorgelegt“ (Q: DLF24.de / lokale Kopie)
Update.3 (19.04.2018): Nach dem BSI gibt es jetzt auch eine formelle Stellungnahme des Bundestages der sich dem Bild des BSI anschließt, wonach keine neuen Cyberattacken laufen. Die Meldung hier im Original1 und hier als lokale Kopie.