US-Atomaufsichtsbehörde in den letzten drei Jahren dreimal gehackt

Die US-Atomaufsichtsbehörde wurde in den vergangenen drei Jahren dreimal Opfer von erfolgreichen Hackerangriffen. Zwei Hacks erfolgten aus anderen Ländern, während der dritte Angreifer nicht identifiziert werden konnte. Das geht aus einem Bericht über interne Ermittlungen hervor, den Nextgov unter Berufung auf das Informationsfreiheitsgesetz FOIA (Freedom of Information Act) anforderte.

Die Nuclear Regulatory Commission (NRC) ist für die Sicherheit kommerzieller Kernkraftwerke, die Verwendung nuklearer Materialien sowie die Entsorgung radioaktiven Abfalls verantwortlich. Sie führt Datenbanken über Nukleareaktoren, die auch Details über ihren Zustand enthalten. Anlagen, die mit waffenfähigem Nuklearmaterial umgehen, müssen ihre Lagerbestände in ein System der Aufsichtsbehörde einpflegen.

Bei einem Zwischenfall erhielten rund 215 NRC-Mitarbeiter E-Mails, in denen sie aufgefordert wurden, ihre Konten durch den Klick auf einen Link und das Einloggen zu verifizieren. Der Link führte sie tatsächlich zu einer „cloudbasierten Google-Tabelle“ – und ein Dutzend Behördenmitarbeiter ließ sich darauf ein. Die Ermittler konnten den Ersteller der Tabelle einem anderen Land zuordnen, das sie in ihrem Bericht aber nicht nannten.

Ein weiterer Angriff gelang durch Spearphishing-Mails, die eigens für die jeweiligen Empfänger formuliert waren. Eine eingebettete URL in diesen E-Mails verwies zu Malware, die auf Microsofts Cloudspeicherdienst SkyDrive – inzwischen umbenannt in OneDrive – gehostet wurde. Die behördlichen Ermittler führten auch diesen Hack auf einen ausländischen Angreifer zurück, ohne das Land zu identifizieren.

In einem weiteren Fall wurde das persönliche E-Mail-Konto eines NRC-Mitarbeiters kompromittiert und anschließend Malware an 16 Kollegen in seiner Kontaktliste versandt. Einer von ihnen öffnete die angehängte PDF-Datei, was zur Infektion seines Systems durch Ausnutzung einer JavaScript-Schwachstelle führte. Die Spur des Angreifers verlor sich, da der Internet Service Provider die fraglichen Aufzeichnungen bereits gelöscht hatte.

Die Angriffe gelangen, obwohl alle Mitarbeiter der Atomaufsichtsbehörde verpflichtet sind, jährlich ein vollständiges „Cyber-Training“ zu absolvieren. Dieser Kurs klärt sie über Phishing, Spearphishing und weitere Methoden auf, mit denen Angreifer Zugang zum Behördennetzwerk erlangen könnten. „Die NRC-Abteilung für Computersicherheit erkennt und wehrt die allermeisten Versuche dieser Art ab“, versicherte Behördensprecher David McIntyre. Ihm zufolge wurden „die wenigem im Bericht der Cybercrime-Einheit dokumentierten Versuche, bei denen Angreifer in gewissem Maße Zugang zu NRC-Netzwerken bekamen, erkannt und daraufhin entsprechende Maßnahmen eingeleitet“.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de