Ransom-Attacke auf Colonial Pipeline

Ransom bedeutet übersetzt Lösegeld und tatsächlich gibt es Hackende, die Daten „entführen“. Dabei werden diese verschlüsselt und erst nach Erhalt der Forderungen der Erpressenden wieder freigegeben. Eine weitere Komponente dieses Verbrechens ist die Drohung, die sensiblen Daten der Opfer zu veröffentlichen, falls nicht kooperiert und bezahlt wird.

Ein aktueller Fall aus den USA erregt internationales Aufsehen, er wirft soziale als auch politische Fragen auf und macht deutlich, wie professionell Cyberkriminelle ihre Machenschaften aufziehen.

Im Mai dieses Jahres hat eine Ransom-Attacke die Treibstoffversorgung an der Ostküste der USA unterbrochen. Zwar war nicht die Informationssicherheit für den Betrieb der Pipeline selbst betroffen, dennoch legte das Unternehmen diese am 07.05.2021 lahm.

Colonial Pipeline ist für 45 % des verbrauchten Treibstoffs in der Region verantwortlich und befördert täglich 2,5 Millionen Barrel (400 Millionen Liter) an Benzin, Diesel und Kerosin durch die Rohrleitungen.

Während des sechstägigen Stillstands der Pipeline und darüber hinaus war die Stimmung in der Bevölkerung höchst angespannt. Die Unterbrechung in der Versorgungskette sorgte dafür, dass laut dem Preisvergleichsportal „Gasbuddy“ über 12.500 Tankstellen der Treibstoff ausging.

Besonders schwer von der Knappheit betroffen war die Hauptstadt Washington: zeitweise ging 88 % der örtlichen Tankstellen der Sprit aus. Dies führte vielerorts zu panischen Hamsterkäufen und es spielten sich teils groteske Szenen ab: Menschen, wie sie versuchen das knappe Benzin zu horten und es in Plastiktüten füllen, Pick-up-Trucks, deren Ladefläche mit Planen ausgelegt wurden, um Treibstoff zu transportieren.¹ Wie gefährlich dieses Verhalten ist, verstanden die Leute in ihrer Verzweiflung nicht und der Verkehrsminister Pete Buttigieg musste die Warnung aussprechen, dass Treibstoff nur direkt in den Tank oder in zugelassene Behälter gefüllt werden darf. Selbst als das Öl wieder floss, dauerte es eine ganze Weile, bis sich die Lage beruhigte. Es kam mitunter zu gewalttätigen Auseinandersetzungen an den Zapfsäulen. Währenddessen stieg der Preis für eine Gallone Benzin auf über drei USD: ein Wert, der flächendeckend zum ersten Mal seit 7 Jahren auftrat. Auch große Unternehmen, wie American Airlines, litten unter dem Treibstoffmangel.² So musste die Fluggesellschaft Reiserouten ändern, um der Situation Herr zu werden. Die Regierung verhängte einen regionalen Notstand.

Wie kam es zu dieser verheerenden Situation? Die Rekonstruktion der Ereignisse gibt Aufschluss über die Machenschaften von Cyberkriminellen und deren Motive.

Hackende konnten sich bereits am 29. April Zugriff auf das Netzwerk von Colonial Pipeline verschaffen, durch einen „virtual private network account“. Dieser ermöglicht den Angestellten von Colonial von außerhalb auf die Systeme zuzugreifen, etwa im Home-Office. Der Account, der von den Hackenden genutzt wurde, war zum Zeitpunkt des Angriffs zwar außer Betrieb, konnte jedoch weiterhin verwendet werden, um Zugriff auf das Netzwerk zu bekommen. Das Passwort dieses Accounts wurde mittlerweile in einem Bündel geleakter Dokumente im Darknet entdeckt.³ Das deutet darauf hin, dass ein:e Mitarbeiter:in von Colonial das gleiche Passwort für einen anderen Account nutzte, welches zuvor gehackt wurde.

Der Angriff macht deutlich, wie wichtig ein starkes Passwort ist und wie unerlässlich das periodische Ändern eines solchen. Lesen Sie dazu mehr in unserem Blogartikel die Erstellung sicherer Passwörter.

Ob sich die Hackenden tatsächlich über das veraltete und veröffentlichte Passwort Zugang zu den Systemen von Colonial verschafften, bleibt unklar.

Am 7. Mai um circa 5 Uhr morgens Ortszeit tauchte auf einem der Computer im Kontrollraum von Colonial eine Lösegeldforderung auf.

Die Hackenden forderten 75 Bitcoins, eine der populärsten Kryptowährungen, welche zu damaligem Kurs einen Wert von knapp 5 Millionen Dollar hatten. Im Gegenzug sollten die Daten wieder entschlüsselt und nutzbar gemacht werden. Nach dieser Hiobsbotschaft wurde das gesamte Leitungsnetz von Colonial Pipeline zum ersten Mal in seiner 57-jährigen Geschichte heruntergefahren. Das millionenschwere Lösegeld floss am 8. Mai, dabei völlig umsonst – ein Rückgriff auf Backups war schneller als die Entschlüsselung der Verbrechenden. Joseph Blount, Chef der größten US-Benzin-Pipeline autorisierte die Transaktion. Er äußerte sich gegenüber dem Wall Street Journal mit der Einschätzung, seine Entscheidung sei hochkontrovers gewesen und sie sei ihm nicht leichtgefallen.

Bis die Systeme am 12.05.21 wieder hochgefahren wurden, wurden rund 50.000 Kilometer Pipeline nach sichtbaren Schäden untersucht und die Betriebssysteme mithilfe von Erkennungstools nach weiteren Zugriffen der Hackenden durchsucht. Dennoch konnten keine Tatbegehenden nach dieser intensiven Fahndung ausfindig gemacht werden.

Fest stand jedoch schnell, die kriminelle Organisation „DarkSide“ steckt hinter dem Angriff. Sie stahlen 100 Gigabyte sensibler Daten, mit deren Veröffentlichung die Hackenden drohten, falls das Lösegeld nicht bezahlt würde.

Mehrere Indizien deuten auf eine osteuropäische Herkunft hin. Zum einen verschont die DarkSide-Malware jene Computer, die in russischer Sprache eingestellt sind. Geografisch liegen die Angriffe nie in der ehemaligen Sowjetunion und bei früheren Angriffen konnten Cybersicherheitsexpert:innen IP-Adressen in Russland feststellen. Die Nationalität der Hackenden spielt insofern eine Rolle, als dass sie zu außenpolitischen Turbulenzen beiträgt. Das Weiße Haus glaubt nicht an eine Beteiligung an der Ransom-Attacke auf Colonial Pipeline seitens der russischen Regierung. Dennoch: in einem Telefonat zwischen den Regierungschefs der Supermächte Anfang Juli 2021 forderte Biden Putin auf, Verantwortung zu übernehmen. Ansonsten würden die Vereinigten Staaten „jede notwendige Maßnahme ergreifen, um ihre Bevölkerung und ihre kritische Infrastruktur angesichts dieser anhaltenden Herausforderung zu schützen“. Putin entgegnete mit der Warnung, das Thema nicht zu politisieren.

Doch das ist längst geschehen, zumindest innerpolitisch. Der Diskurs zwischen Republikanern und Demokraten wurde erneut angeheizt. Präsident Biden wurde von der republikanischen Opposition mit Jimmy Carter verglichen, dem amtierenden Präsidenten während der Ölkrise 1979. Aber auch auf Twitter wurden zivile Stimmen laut, die Präsident Bidens Politik für die hohen Benzinpreise verantwortlich machten. Unter dem Hashtag #BidensAmerica machten viele ihrem Ärger Luft.

Doch welche Methoden stehen hinter dem Angriff mit weitgreifenden Folgen für Bevölkerung und internationaler Politik? Welche Motive verfolgt DarkSide?

DarkSide bietet Ransomware unter anderem als eine Dienstleistung an, im Fachjargon RaaS genannt (Ransom as a Service), was auch bei Colonial Pipeline, allem Anschein nach der Fall war.⁴ Sie agieren dabei äußert professionell und bieten einen Kundschaftsservice und individualisierten Code. Die Gruppe fokussiert sich auf finanzstarke Opfer. Ihre Methoden sind ausgeklügelt: die Gruppe versucht über TOR einen Windows-Computer zu infiltrieren. Ist das gelungen, wird der Zugriff auf das System verschleiert, indem Login-Daten gelöscht werden und somit nie oder erst spät nachvollzogen werden kann, dass sich unerlaubt Zugriff verschafft wurde. Anschließend werden weitere Computer im System infiziert und Dateiberechtigungen so geändert, dass mehr Benutzende Lese- und Schreibrechte haben, um den Hackenden den Zugriff auf möglichst alle Dateien zu eröffnen. Nun werden Backups gelöscht und ausgewählte Dateien verschlüsselt. Deren Freigabe geschieht nach bezahlter Lösegeldforderung. Falls sich das Opfer weigert, wird damit gedroht, die Dateien zu veröffentlichen.

Trotz dieser profitorientierten kriminellen Energie, folgt DarkSide nach eigenen Aussagen einem moralischen Kompass und attackiert keine kritische Infrastruktur, wie zum Beispiel Krankenhäuser oder Schulen. Dass ihr jüngster Angriff weitgreifende soziale und politische Folgen hat, erkannten die Hackenden hinter DarkSide und gaben ein Statement ab, das sich beinahe wie eine Entschuldigung liest.⁵ Darin bezeichnen sie sich als unpolitisch; es sei müßig sie einer Regierung zuordnen zu wollen. Außerdem deuteten sie an, nicht im Bilde über den Angriff auf Colonial gewesen zu sein. Sie verkündeten, ab sofort Mäßigkeit an den Tag zu legen und jedes Unternehmen, welches von ihrer Kundschaft verschlüsselt werden soll, genau zu prüfen, um soziale Konsequenzen in der Zukunft zu vermeiden. Ihre Kernaussage lautete: „Unser Ziel ist, Geld zu machen und nicht Probleme für die Gesellschaft“ – Im Gegenteil, DarkSide hatte wiederholt versucht, einen Teil ihres Profits an gemeinnützige Organisationen zu spenden. Ob dahinter wirklich Großzügigkeit steckt, oder ob sich die Gruppe als moderner Robin Hood inszenieren möchte, bleibt Spekulation. Jedenfalls weigerte sich die Mehrzahl der Organisationen, die fragwürdige Spende anzunehmen.

Im Fall von Colonial Pipeline ist mittlerweile ein großer Sieg für die Strafverfolgung zu verzeichnen. Dem FBI gelang es, 63.7 Bitcoins nachzuverfolgen und zu beschlagnahmen.⁶ Dass Kryptowährung anonym sei, ist ein weitverbreiteter Irrglaube. Tatsächlich sind alle Transaktionen in der Blockchain öffentlich und das FBI konnte mit einer Explorer-Software feststellen, welche Wege das Lösegeld nahm. Dabei fanden sie heraus, dass versucht wurde, die Bitcoins zu „waschen“, indem sie an viele verschiedene Wallets (dem Äquivalent von Bankkonten) übertragen und anschließend weiter transferiert wurden. Dennoch konnten umgerechnet 2.3 Millionen USD auf einem einzigen Wallet gefunden und sichergestellt werden.⁷ Dies gelang den Beamt:innen, indem Sie sich Zugriff auf den privaten Schlüssel des Wallet verschafften und mit einem Beschlagnahmungsbefehl eines Federal Courts das Einverständnis der Justiz einholten. Ob der Verbleib des restlichen Lösegeldes ausfindig gemacht werden kann, bleibt abzuwarten.

_{¹ kurier.at/politik/ausland/usa-gewalt-und-hamsterkaeufe-an-den-zapfsaeulen/401380910
² www.businessinsider.com/fbi-used-hackers-bitcoin-password-to-recover-colonial-pipeline-ransom-2021-6
³ www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside
⁴www.handelsblatt.com/unternehmen/energie/hackerangriff-auf-colonial-pipeline-hacker-statement-nach-angriff-auf-us-pipeline-american-airlines-spuert-erste-auswirkungen-/27178694.html
⁵ edition.cnn.com/2021/06/07/politics/colonial-pipeline-ransomware-recovered/index.html
⁶ www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password
⁷ www.bbc.com/news/business-57050690}