Ausländische Hacker mischen sich in US-Wahlkampf ein

Tom Burt, Corporate Vice President for Customer Security & Trust bestätigte heute, dass chinesische, iranische und russische staatlich geförderte Hacker versucht hätten, E-Mail-Konten von Personen zu knacken, die mit den Wahlkampagnen von Biden und Trump in Verbindung stehen. Die „Mehrheit dieser Angriffe“ sei entdeckt und blockiert worden. Burt enthüllte  weitere Angriffe und bestätigte auch einen Bericht des Director of National Intelligence vom August, der behauptete, dass chinesische und iranische Hacker auch den US-Wahlprozess im Visier hätten.

Laut Microsoft wurden die von russischen Hackern durchgeführten Angriffe auf eine Gruppe zurückgeführt, die das Unternehmen unter dem Namen Strontium und die Cyber-Sicherheitsindustrie als APT28 oder Fancy Bear verfolgt. Microsoft sagt, diese Gruppe sei besonders aktiv gewesen und habe zwischen September 2019 und heute mehr als 200 Organisationen auf der ganzen Welt ins Visier genommen, darunter als Opfer auch deutsche Parteien:

In den USA ansässige Berater im Dienste von Republikanern und Demokraten;

Think Tanks wie der German Marshall Fund of the United States und Interessenverbände;

Nationale und staatliche Parteiorganisationen in den USA

Die Europäische Volkspartei (EVP) einschließlich der CDU/CSU und politische Parteien im Vereinigten Königreich

Microsoft sagte, dass Strontium zwar normalerweise Spear-Phishing-E-Mail-Angriffe durchführte, in den letzten Monaten jedoch Brute-Force- und Passwortsprühtechniken als ergänzende Methode zum Eindringen in Konten eingesetzt habe. Da diese Angriffe sehr laut und leicht aufzuspüren sind, sagte Microsoft, dass Strontium seine Anmeldedaten durch „mehr als 1.000 ständig rotierende IP-Adressen, von denen viele mit dem Anonymisierungsdienst Tor in Verbindung stehen“ und durch „Hinzufügen und Entfernen von etwa 20 IPs pro Tag, um seine Aktivität noch weiter zu verschleiern“, massenhaft gesammelt habe.

Auf der anderen Seite stammten die Angriffe iranischer Hacker von einer Gruppe, die als Phosphor (APT35, Charming Kitten und das Ajax-Sicherheitsteam) verfolgt wurde. Diese Angriffe sind die Fortsetzung einer Kampagne, die im vergangenen Jahr begann und die Microsoft im Oktober 2019 aufdeckte und vor der Microsoft im Oktober 2019 warnte. Durch einige Open-Source-Detektivarbeit verbanden später mehrere Mitglieder der Sicherheitsgemeinschaft die Angriffe mit der Trump-Kampagne. Heute bestätigte Microsoft, dass die Angriffe tatsächlich auf die Trump-Kampagne abzielten, offenbarte aber auch neue Aktivitäten im Zusammenhang mit der Gruppe. „Zwischen Mai und Juni 2020 versuchte Phosphorus erfolglos, sich in die Konten von Verwaltungsbeamten und Donald J. Trump für das Personal der Trump-Kampagne einzuloggen“, sagte Burt.

Darüber hinaus fügte Burt hinzu, dass Microsoft, nachdem es im März 2019 gerichtliche Anordnungen zur Übernahme der Kontrolle über 99 Phosphorus-Domains genutzt hatte, die gleiche Taktik erneut anwandte, um im vergangenen Monat weitere 25 Domains zu übernehmen, wodurch sich die Gesamtzahl des Unternehmens auf 155 Domains erhöhte, die zuvor im Besitz von Phosphorus waren.

Es wurden aber auch Angriffe von chinesischen Gruppen festgestellt. Während es derzeit Dutzende von Hacker-Gruppen gibt, von denen angenommen wird, dass sie auf Anweisung und unter dem Schutz der chinesischen Regierung operieren, sagte Microsoft, dass die Angriffe, die auf US-Kampagnen abzielten, von einer Gruppe namens Zirkonium (APT31) stammten, der gleichen Gruppe, die Google Anfang Juni dieses Jahres im Juni entdeckt hatte.

Microsoft sagt, es habe zwischen März 2020 und September 2020 Tausende von dieser Gruppe organisierte Angriffe entdeckt, wobei die Hacker in diesem Zeitraum Zugang zu fast 150 Konten erhielten.

Die Ziele dieser Angriffe lassen sich gewöhnlich in zwei Kategorien einteilen:

Personen, die eng mit dem US-Präsidentschaftswahlkampf und den Kandidaten in Verbindung stehen.

Prominente Personen in der Gemeinschaft für internationale Angelegenheiten,

Akademiker in internationalen Angelegenheiten.

In der ersten Kategorie führte Microsoft die Biden-Kampagne (über E-Mail-Konten, die nicht zur Kampagne gehörten, sondern Personen, die mit der Kampagne in Verbindung standen) und Angriffe gegen mindestens eine Person auf, die früher mit der Trump-Administration in Verbindung stand.

Microsoft setzt zur Abwehr und Überwachung dieser Angriffe unter anderem  AccountGuard Threat Monitoring sowie Microsoft 365 for Campaigns und Election Security Advisors ein und weist darauf hin, dass die Cyberabwehr vor allem in einzelnen Bundesstaaten noch lückenhaft sei und zusätzliche Mittel erforderlich sind.