5 minute read
“Wir haben die Hacker gehackt”
FBI und Polizeipräsidium Reutlingen zerschlagen HIVE-Ransomware
(BS/Benjamin Hilbricht) Das FBI infiltrierte das Netzwerk der Verbrecher, erbeutete Entschlüsselungscodes und schaltete schließlich die HIVEServer ab. Dabei stammten die entscheidenden Hinweise aus Ermittlungen der Staatsanwaltschaft Stuttgart und dem Polizeipräsidium Reutlingen. Doch die Methoden, die die Amerikaner anwandten, wären in Deutschland teilweise nicht erlaubt.
“Letzte Nacht hat das Justizministerium ein internationales Ransomware-Netzwerk zerschlagen”, verkündete der US-Justizminister Merrick B. Garland. “HIVE” habe Opfer in den Vereinigten Staaten und auf der ganzen Welt um hunderte Millionen Dollar erpresst oder versucht zu erpressen. HIVE bot Ransomware-as-a-Service (RaaS) an. Im Auftrag anderer verschlüsselte HIVE die ComputerSysteme ihrer Opfer und machte sie so unbrauchbar. An der Aktion waren Strafverfolgungsbehörden aus der ganzen Welt beteiligt. Das FBI drang nach Angaben des USJustizministeriums im Juli 2022 in das Computer-Netzwerk der CyberKriminellen ein. Dort beobachteten sie die Kampagnen der Gruppe. Sie erbeuteten Entschlüsselungscodes und gaben sie an die Opfer weiter. Dadurch sind nach Angaben von Europol rund 120 Millionen Euro Schaden verhindert worden.
Entscheidender Hinweis
Die Ermittlungen nahmen ihren Ursprung in einem Verfahren der Staatsanwaltschaft Stuttgart und des Polizeipräsidiums Reutlingen. Die Cyber-Spezialkräfte der Kriminalpolizei Esslingen verfolgten einen Cyber-Angriff gegen ein Unternehmen im Landkreis. Sie drangen in die IT-Infrastruktur der Täter ein und folgten der Spur bis zu HIVE. Nach eigenen Angaben waren sie es, die den amerikanischen Behörden dann den entscheidenden Hinweis gaben. Der Direktor des FBI, Christopher Wray, hob die “gute Polizeiarbeit” des Polizeipräsidiums
“Dies wird ein HIVE-Mitglied sehen, wenn es heute morgen versucht, auf die Darknet-Webseite zu gelangen”, sagte der amerikanische Justizminister Merrick B. Garland. Damit verkündete er den Schlag gegen die Ransomware-Gruppierung HIVE. Foto: BS/Polizeipräsidium Reutlingen
Reutlingen hervor. Schulter an Schulter hätten das FBI und ihre internationalen Partner dieselben Daten untersucht. Der Schlag gegen HIVE sei nur gemeinsam mit den Partnern möglich gewesen. An den Ermittlungen waren auch das Bundeskriminalamt, Europol und weitere Behörden aus Europa und Kanada beteiligt. “Es hat sich wieder einmal gezeigt, dass eine intensive und von gegenseitigem Vertrauen geprägte Zusammenarbeit über Landesgrenzen und Kontinente hinweg der Schlüssel zur schlagkräftigen Bekämpfung der schweren Cyber-Kriminalität ist”, sagte der Reutlinger Polizeipräsident Udo Vogel. “Im letzten Juli gewann das FBI einen geheimen, dauerhaften Zu- gang zum HIVE-Control Panel”, berichtet FBI-Direktor Wray. Über diesen habe das FBI HIVEs Opfer identifiziert. Rund 1.300 Opfern habe die amerikanische Bundespolizei die Schlüssel für die Ransomware zur Verfügung stellen können. In mehreren Fällen hätte die Verschlüsselungssoftware Krankenhaus-IT befallen. “Wahrscheinlich haben wir so Leben gerettet”, sagt Wray Danach gingen die Strafverfolger zu Phase zwei der “Operation Dawnbreak” über. Sie schalteten Front- und Backend der HIVERansomware ab. “Heute ist nur der Anfang”, erklärte FBI-Direktor Wray. Mit dem Zugang würden die internationalen Strafverfolgungsbehörden nun ermitteln. “Wir wer-
Potsdam bleibt offline
IT-Probleme der Landeshauptstadt nicht behoben
(BS/Paul Schubert/Benjamin Hilbricht) Die Freude war doch kürzer als gedacht: Anders als geplant, muss die Stadt Potsdam die Wiederinbetriebnahme ihrer Online-Dienstleistungen wieder verschieben. Der Grund dafür seien “auffällige Kommunikationsversuche” aus dem internen Netz, heißt es von der Stadt.
Nachdem am 29. Dezember 2022 die brandenburgische Landeshauptstadt den Betrieb der ITSysteme komplett abgeschaltet hatte (siehe Behörden SpiegelAusgabe Januar 2023 auf Seite 29 ) und zwischenzeitlich ihre Services am 17. Januar langsam wieder in Betrieb nahm, musste die Stadt einen Rückzieher bei der kompletten Wiederaufnahme der Systeme machen. Die Stadt hatte für den Wiederbetrieb neue Virenscanner installiert. Diese stellten “eine hohe Anzahl automatisierter Kommunikationsversuche aus dem internen Netz der Landeshauptstadt Potsdam an externe Server” fest, heißt es auf der Homepage der Stadt. Dies könnte in Zusammenhang mit Schadsoftware stehen.
Oberbürgermeister Mike Schubert (SPD) teilte mit, dass die Behörden Hinweise auf eine Cyber-Attacke erhalten haben: “Wir haben uns entschieden, aus Sicherheitsgründen unsere Systeme wieder offline
Rund 31,4 Bitcoins
Was im Wallet des Bundes ist (BS/sp) Im Besitz des Bundes befinden sich aktuell 31,41954211 Bitcoins (BTC). Dies entspricht nach derzeitigem Wechselkurs einem Betrag von ca. 545.000 Euro. Dies geht aus einer Antwort der Bundesregierung auf eine kleine Anfrage der AfD-Fraktion im Bundestag hervor. Kryptowährung hat der Bund bisher aber nicht gespendet.
zu stellen.” Der Kommunalpolitiker bat bei der Klärung der Vorfälle um Geduld.
Die erste Abschaltung der Systeme Ende Dezember bewertete Schubert als richtig: “Mit dem Abschalten der Systeme haben wir Szenarien wie in anderen deutschen Städten oder Landkreisen nach Cyber-Attacken verhindert.” Potsdam habe keinen Mangel an Cyber-Sicherheit. Das Bedrohungsszenario sei zu groß gewesen. “Diese Lage ließ uns keine andere Wahl”, sagt Schubert. Laut einer Mitteilung der Stadt wurde Potsdam mit einer Brute Force-Attacke angegriffen. Dabei gibt ein Computerprogramm automatisiert Wörter und Zahlen in ein Log In ein und versucht, sich so den Zugang zu erzwingen. Solche Attacken sind besonders gefährlich, wenn die Passwörter nicht “stark” genug sind. Als stark gelten willkürliche Kombinationen aus Zahlen, Buchstaben und Sonderzeichen.
Da die Internetverbindung der Verwaltung getrennt und alle aktivierten Systeme wieder heruntergefahren wurden, sei derzeit keine E-Mail-Kommunikation mit den Verwaltungsmitarbeitenden möglich. Die Stadt teilte allerdings mit, dass die Kontaktaufnahme mittels Telefon oder Fax problemlos möglich wäre.
Des Weiteren seien die Bürgerservices vor Ort stark eingeschränkt. Anträge wie Wohngeld, Elterngeld und andere Sozialleistungen seien ausschließlich postalisch möglich, heißt es auf der Seite der Stadt. Die Beantragung von Personalausweis, Reisepass und Bewohnerparkausweis sei zwar möglich, allerdings könnten die Daten derzeit nicht übermittelt werden, da auch der Kontakt zur Bundesdruckerei nicht hergestellt werden könne.
Viel Hilfe den unsere Karte der Entwickler, Administratoren und Anwender von HIVE ausbauen und diese Menschen verhaften”, versprach der Ermittler.
Um die Herausforderung zu bewältigen, beauftragte die Stadt IT-Sicherheitsunternehmen und IT-Forensiker. Diese sollen die eigenen IT-Spezialisten unterstützen. Inzwischen sind laut Medienberichten auch Spezialistinnen und Spezialisten des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor Ort. Auf Twitter lobte die Stadt die Zusammenarbeit mit den Sicherheitsbehörden und den IT-Abteilungen der städtischen Unternehmen. Die Stadtwerke Potsdam hatten ebenfalls ihre Systeme vom Netz nehmen müssen. Dabei war auch der Ticketverkauf für den ÖPNV zwischenzeitlich unterbrochen.
Amerikaner hacken zurück Obwohl das ein großer Erfolg für die Sicherheitsbehörden ist, bleibt eine Tatsache bestehen. Die deutschen Behörden wären nicht befugt gewesen, den Eingriff des FBIs so auszuführen. Das amerikanische Rechtssystem gibt den Strafverfolgungsbehörden mehr Eingriffsmöglichkeiten.
Im Jahr 2019 gaben sich die USA eine Strategie gegen Ransomware. “Wir haben klar gemacht, dass wir mit allen Mitteln zurückschlagen werden gegen Cyber Crime. Und der heutige Sieg spiegelt diese Strategie wider”, sagte die stellvertretende US-Justizministerin Lisa O. Monaco. “Wir haben die Hacker gehackt, wobei wir legale Mittel gebrauchten“, führte sie aus. Zwar ging sie nicht ins technische Detail, aber ihre Wortwahl verrät, dass das FBI intrusive Maßnahmen anwandte. So nennen Cyber-Sicherheitsforscherinnen und -forscher das Eindringen in fremde Computer-Systeme, insbesondere um diese abzuschalten.
Im Gegensatz zu den USA sind diese intrusiven Maßnahmen in Deutschland nicht vom Gesetz abgedeckt. Sie tauchen aber immer wieder in der politischen Diskussion auf. So sprach sich die Bundesinnenministerin Nancy Faeser (SPD) im letzten Jahr mehrfach dafür aus, die Server von Angreifern “abzuschalten”
Die Bundesregierung teilte mit, dass sie zum ersten Mal im Jahr 2015 Bitcoins angekauft habe. Zuletzt wurde die Kryptowährung 2021 erworben. Des Weiteren besitzen die Bundesbehörden ca. 38,66 BTS, welche im Zuge von Strafverfahren beschlagnahmt wurden. Das entspricht einen Betrag von über 670.000 Euro. Neben BTS hält die Bundesregierung auch andere beschlagnahmte Kryptowerte, z. B. von Monero, Ethereum und ETC. Diese Währungen sind allerdings im Wert geringer und überschreiten aktuell jeweils nicht die Höhe von 25.000 Euro. Keine Krypto-Spenden an die Ukraine
Zudem geht aus der Antwort hervor, dass die Bundesregierung sich nicht an Krypto-
Spenden an die Ukraine beteiligt hat. Der ukrainische Präsident Wolodymyr Selenskyj hat nach dem Beginn des russischen Angriffskrieges in der Ukraine zu Spenden in Kryptowährungen aufgerufen. Um die Spenden abwickeln zu können, kooperierte die ukrainische Regierung mit Krypto-Firmen. Unter anderem war dabei die mittlerweile insolvente Krypto-Börse FTX beteiligt. Nach Angaben des ukrainischen Digitalministers Mykhailo Fedorov auf Twitter wurden im August der Großteil des gespendeten Kryptogeldes bereits umgesetzt. Das Geld soll zum Kauf von Militärequipment, Schutzkleidung, Medizin und Fahrzeugen eingesetzt worden sein. Diese Angaben sind allerdings schwer nachweisbar.
Kryptogeld, als durch den Staat selbst angekauft wurde. Foto: BS/jaydeep, pixabay.com
Trusted and Extremely Fast
P Ala Din
Autarke und vollständig eingerichtete mobile Labore für zahlreiche Anwendungen: Schlagkräftige und nachhaltige Cybercrime-Bekämpfung, Abwehr von Angriffen auf KRITIS-Unternehmen, Aufklärung von Ransomware-Erpressungen und Hacking-Attacken uvm. direkt vor Ort!
