FBI und Staatsanwaltschaft suchen iranische Hacker wegen Attacken auf Banken und Staudamm

Die USA suchen sieben Hacker, die sich im Iran aufhalten. Sie sollen im Auftrag der iranischen Regierung gehandelt haben.

Die USA suchen sieben Hacker, die sich im Iran aufhalten. Sie sollen im Auftrag der iranischen Regierung gehandelt haben.

Die USA suchen sieben iranische Hacker, die in Verbindung mit der iranischen Regierung stehen. Sie sollen die Webseiten von Banken über einen längeren Zeitraum attackiert und so Millionenschäden verursacht haben. Außerdem wurde auf das Computersystem einer Talsperre zugegriffen. Dies melden das Federal Bureau of Investigation (FBI) und die Washington Post.

DDoS-Angriffe auf Banken

46 Finanzinstitute betroffen

Laut Anklageschrift sollen die sieben Iraner von 2011 bis 2013 regelmäßig Cyber-Angriffe auf 46 US-Finanzinstitute durchgeführt haben. Die Angriffe fanden an mindestens 176 Tagen statt. Hundertausende konnten deshalb kein Online-Banking nutzen, was einen Schaden in Millionenhöhe verursachte.

Unter den betroffenen Unternehmen sind die Bank of America, die New York Stock Exchange und AT&T.

DoS-Methode

Laut Staatsanwaltschaft und FBI haben die Hacker die Banken mit einer DoS-Methode angegeriffen.

DoS steht für Denial of Service (engl. für ”Dienstverweigerung”). Das bedeutet, dass ein Dienst der normalerweise verfügbar ist, nicht funktioniert. Eine DoS-Attacke will genau dieses Nichtfunktionieren künstlich herbeizuführen.

Ein DoS-Angriff wird häufig so durchgeführt, dass an einen als Angriffsziel ausgesuchten Server eine solche Vielzahl von Anfragen gesendet wird, dass dieser überlastet ist. Anfragen von regulären Benutzern können dann nicht oder nur mit großer Verzögerung bearbeitet werden. Der Dienst ist damit im Ergebnis nicht mehr verfügbar.

Botnetz - eine Armee fremdgesteuerter Computer

Um eine solche Vielzahl von Anfragen zu erzeugen, verwenden Hacker dabei nicht selten sog. Botnetze. Bei dieser Methode bringen die Angreifer etliche fremde Computer unter ihre Kontrolle, indem sie Sicherheitslücken (z.B. das Fehlen einer Firewall oder ein veraltetes Betriebssystem mit bekannten Sicherheitslücken) ausnutzen.

Haben sie erst ein solches “Botnetz” mit infizierten Rechnern unter Kontrolle, können sie diese dahingehend steuern, die Anfragen an einen als Angriffsziel auserkorenen Server zu richten.

DDoS-Variante

Eine Spielart des DoS-Angriffs ist die DDoS-Attacke. DDoS steht für Distributed Denial of Service (engl. für “verteilte Dienstverweigerung”). Das bedeutet, dass eine Vielzahl von Systemen gezielt überlastet wird.

Da im Fall der iranischen Hacker eine größere Zahl von Banken attackiert wurde, handelte es sich um einen solchen DDoS-Angriff. Dabei nutzten sie ein Botnetz aus, wie es oben beschrieben wurde. FBI und das US-Justizministerium haben es mittlerweile geschafft, mit Hilfe von Sicherheits- und IT-Experten aus der Privatwirtschaft eine Großzahl der infizierten Systeme unschädlich zu machen.

Handelten die Hacker im Auftrag des iranischen Staates?

Verbindungen zur Regierung

Die sieben Männer standen alle in Lohn und Brot zweier Sicherheitsfirmen mit Sitz im Iran, ITSec Team und Mersad Co. Die Unternehmen stehen in direkter Verbindung zum iranischen Staat und den Revolutionsgarden, einer Organisation zum Schutz des Regimes.

“There’s no such thing as a freelance hacker in Iran. They’re all connected to the state.” (James Lewis, Experte für Internetsicherheit, via Washington Post)

Die Antwort des Irans auf Sanktionen?

Die Aktion wurde noch zu einer Zeit durchgeführt, als der Iran unter verschärften wirtschaftlichen Sanktionen litt. Sie könnte eine Retourkutsche gewesen sein. Eine Annäherung zwischen den USA und dem Iran gab es erst in jüngster Zeit.

Es werden auch Vermutungen geäußert, dass dem Kreml nahestehende russische Hacker bei der Aktion geholfen haben könnten.

Staatsanwaltschaft und FBI beschuldigen 7 iranische Hacker, die Angriffe durchgeführt zu haben.

Hacker stand kurz davor einen Damm fernzusteuern

Wartungsarbeiten verhinderten Schlimmeres

Zur Bestürzung vieler Amerikaner hatte ein Angeklagter sogar auf das Computersystem des “Bowman Avenue Dam” im Bundesstaat New York Zugriff. Dabei handelt es sich genauer gesagt um eine Talsperre, die die Anwohner vor Kellerüberflutungen durch einen Bach schützt.

Der Hacker konnte die Talsperre aber zum Glück nicht öffnen, da der Überflutungsschutz wegen Wartungsarbeiten vom System getrennt war. Dies wusste der Hacker offenbar nicht.

Ein beunruhigendes Detail: Der Hacker konnte durch eine einfache Google-Recherche Sicherheitslücken aufspüren und so in das Computersystem eindringen. Dieses gezielte Ausnutzen der Suchmaschine für solche Zwecke wird auch “Google Dorking” genannt. “Dorking” leitet sich von “dorky” ab, was übersetzt so viel wie “idiotisch” bedeutet.

Wieso richtete sich der Angriff auf einen vergleichsweise kleinen Damm?

Wieso suchten sich die Hacker ausgerechnet diesen kleinen Damm aus? Das Angriffsziel ist geradezu eine Miniatur im Vergleich zur riesigen Hoover Talsperre (landläufig auch als “Hoover Damm” bezeichnet).

“It’s ridiculous how little that dam is, how insignificant in the grand scheme of things”, Paul Rosenberg, Bürgermeister der betroffenden Ortschaft, via New York Times

Derzeit gibt es zwei Theorien, wie die New York Times berichtet:

Zufällige Namensverwechslung...

Entweder verwechselten die Hacker den Bowman Dam in New York versehentlich mit einem viel größeren Bowman Dam in Oregon, der eigentlich “Arthur R. Bowman Dam” heißt. Letzterer ist tatsächlich sehr groß mit einer Länge von beinahe 250 Metern und einer Höhe von mehr als 70 Metern. Würde dieser von Staatsfeinden gezielt manipuliert könnte das zu einer großen Katastrophe führen.

Oder Vorbereitung für Großangriff?

Die zweite Theorie lautet, dass die Fremdsteuerung der kleinen Talsperre keine Verwechslung war. Sie könnte ein gezielter Testlauf für einen Angriff auf einen großen Damm oder eine andere Infrastruktureinrichtung von nationaler Bedeutung gewesen sein.

Prozess unwahrscheinlich

Laut FBI und Staatsanwaltschaft werden mit einer “Wanted”-Meldung gesucht: Ahmad Fathi, Hamid Firoozi, Amin Shokohi, Sadegh Ahmadzadegan, Omid Ghaffarinia, Sina Keissar und Nader Seidi.

Alle Angeklagten sollen sich derzeit im Iran aufhalten. Wozu also das Ganze, wenn die Wahrscheinlichkeit, dass die Täter belangt werden können scheinbar gleich Null ist? Die amerikanische Regierung will offenbar ein Zeichen setzen und deutlich machen, dass die Hacker sich nie sicher sein können, dass sie letzten Endes nicht doch noch erwischt und zur Rechenschaft gezogen werden:

“The world is small, and our memories are long. No matter where hackers are in the world and no matter how hard they try to conceal their identities, we will find ways to pierce that shield and identify them. That is the message of this case.” (FBI Director James Comey)

Fazit

Iranische Hacker haben es geschafft, die Webseiten von Banken wiederholt lahm zu legen. Dies verursachte Millionenschäden. Wirklich besorgniserregend ist aber, dass es einem Angreifer gelang, das Computersystem einer staatlichen Infrastruktureinrichtung zu infiltrieren. Es ist ein Warnzeichen an alle westlichen Staaten. Sie müssen dringend sicherheitsrelevante Computersysteme vor staatsnahen Hackern feindlich gesinnter Staaten geschützt werden, um eine größere Katastrophe zu verhindern.