Am 1863. Januar XNUMX wurde Pierre De Coubertin geboren, der Mann, dem wir die Wiedereinführung der Olympischen Spiele zu verdanken haben. Seine edlen Absichten und Werte sind die Essenz des Sports, aber leider wurden und werden sie auch heute noch immer wieder verraten.
Warum faszinieren uns die Olympischen Spiele nach so vielen Jahren immer noch so sehr?
Die Olympischen Spiele machen nicht nur alle Sportarten sichtbar und symbolisieren die Verbindung zwischen den Völkern in schwierigen Zeiten, sie stehen auch für die Kontinuität mit unseren Ursprüngen. Tatsächlich werden die fünf Kreise als roter Faden wahrgenommen, der vom antiken Griechenland bis ins XNUMX. Jahrhundert reicht. Ein Berührungspunkt zwischen uns und unseren Wurzeln. Nationen ändern sich, Währungen, Gewohnheiten und Bräuche ändern sich, aber der Mensch bleibt immer der Protagonist.
Da sich die Welt des Sports zunehmend an wirtschaftlichen Interessen auf Kosten der Leidenschaft orientiert, ist es kein Wunder, dass in jüngster Zeit eine Geschichte aufgetaucht ist, die erzählt, dass in unserer Zeit nichts mehr als sicher gelten kann und alles ein Ziel für diejenigen darstellen kann, die zunehmend von verschiedenen Staaten angeheuert und finanziert werden und Turbulenzen erzeugen, um soziale, politische und wirtschaftliche Veränderungen herbeizuführen, die sie begünstigen können.
Basierend auf Andy Greenbergs Buch Sandworm zeichnet dieser Artikel die Geschichte des Cyberangriffs nach, der am Vorabend der Olympischen Winterspiele 2018 stattfand; eine Geschichte, die im Stillen weitergegeben wurde und von der nur sehr wenig bekannt ist, die aber eines der eindrucksvollsten Beispiele dafür darstellt Cyberwar der Geschichte.
Kurz vor 20:00 Uhr am 9. Februar 2018 wurde Sang-jin Oh in den nordöstlichen Bergen Südkoreas ruhig sitzend auf einem Stuhl ein paar Dutzend Reihen über dem Boden des weitläufigen fünfeckigen Olympiastadions von Pyeongchang gefunden. Er trug eine offizielle Olympia-Jacke in Grau und Rot, die ihn trotz des fast eiskalten Wetters warm hielt, und sein Platz hinter dem Pressebereich war perfekt, um eine klare und volle Sicht auf die erhöhte, kreisförmige Bühne ein paar hundert Meter vor ihm zu haben. Die Eröffnungsfeier der Olympischen Winterspiele 2018 stand vor der Tür.
Als sich die Lichter um die nicht überdachte Stadionstruktur schlängelten, war die Vorfreude in der Begeisterung von über 35.000 Menschen zu spüren und das Spektakel war fantastisch. Es war offensichtlich, dass nur wenige Menschen das Warten intensiver erlebten als er. Der 47-jährige Beamte war mehr als drei Jahre lang für die technische Infrastruktur des Organisationskomitees der Olympischen Spiele in Pyeongchang verantwortlich. Er hatte den Aufbau einer Gaming-IT-Infrastruktur beaufsichtigt, die mehr als 10.000 PCs, 20.000 mobile Geräte, 6.300 WLAN-Router und 300 Server in zwei Rechenzentren in Seoul umfasste.
Diese Infrastruktur funktionierte perfekt oder zumindest schien es bis dahin so. Tatsächlich hatte er eine halbe Stunde zuvor von einem quälenden Fehler erfahren. Die Ursache dieses Problems war ein IT-Unternehmen, das für die Olympischen Spiele weitere XNUMX Server angemietet hatte. Und es war klar, dass diese Nachricht eine halbe Stunde vor der Amtseinführung etwas Unerträgliches war, vor allem wenn man bedenkt, dass die ganze Welt auf ihn gerichtet war.
Die Rechenzentren in Seoul hingegen meldeten keinerlei Störungen und Ohs Team glaubte, die Probleme seien beherrschbar. Er wusste noch nicht, dass Stadionkarten nicht ausgedruckt werden konnten. So hatte er es sich auf seinem Platz gemütlich gemacht und war bereit, dieses Ereignis zu genießen, das sicherlich den wichtigsten Moment seiner Karriere darstellte.
Zehn Sekunden vor 20 Uhr begannen die Countdown-Zahlen nacheinander zu erscheinen, während ein Chor aus Kinderstimmen den Countdown auf Koreanisch skandierte:
„Schluck! ... Gu! ... Mann! ... Chil!
Mitten im Countdown leuchtete plötzlich Ohs Telefon auf. Er schaute nach unten und sah eine Nachricht darauf KakaoTalk, eine beliebte koreanische Messaging-App. Die Nachricht stellte die schlechteste Nachricht dar, die Oh zu diesem Zeitpunkt hätte erhalten können: „Da hat etwas oder jemand alles abgeschaltet.“ Domänencontroller in den Rechenzentren von Seoul vorhanden, d. h. auf den Servern, die das Rückgrat der IT-Infrastruktur der Olympischen Spiele bildeten.“
Als die Eröffnungszeremonie begann, explodierten Tausende von Feuerwerkskörpern rund um das Stadion und Dutzende koreanische Puppen und Tänzer betraten die Bühne. Oh, aber er hat nichts davon gesehen. Tatsächlich schrieb er wütend mit seinen Mitarbeitern SMS, während diese hilflos zusehen mussten, wie ihre gesamte IT-Infrastruktur unaufhaltsam heruntergefahren wurde. Schnell wurde ihm klar, dass es sich bei dem, was das Partnerunternehmen gemeldet hatte, nicht um einen einfachen Fehler handelte. Es war das erste Anzeichen dafür, dass ein Angriff im Gange war. Es war inzwischen klar, dass er sein technologisches Operationszentrum erreichen musste.
Als Oh aus dem Pressebereich den Stadionausgang erreichte, begannen sich die Reporter um ihn herum bereits über das fehlerhafte WLAN zu beschweren. Tausende mit dem Internet verbundene Fernseher, die die Zeremonie rund um das Stadion und in zwölf anderen olympischen Einrichtungen zeigten, waren schwarz geworden. Alle RFID-basierten Sicherheitstore, die den Zugang zu den einzelnen Olympiagebäuden ermöglichten, waren inaktiv. Auch die offizielle Olympia-App inklusive der digitalen Ticketing-Funktion war außer Betrieb.
Das Organisationskomitee von Pyeongchang hatte sich jedoch auf ähnliche Situationen vorbereitet. Die Cybersicherheitsgruppe traf sich seit 20 2015 Mal. Bereits im Sommer des Vorjahres hatten sie Übungen durchgeführt und dabei Katastrophen wie Cyberangriffe, Brände und Erdbeben simuliert. Aber jetzt, da sich eines dieser albtraumhaften Szenarios abspielte, war das Gefühl für Oh sowohl wahnsinnig als auch surreal. „Es ist tatsächlich passiert“, dachte Oh, als wollte er das Gefühl abschütteln, dass es nur ein böser Traum war.
Nachdem Oh sich einen Weg durch die Menge gebahnt hatte, rannte er zum Stadionausgang und wurde draußen in der kalten Nachtluft von zwei anderen IT-Mitarbeitern begleitet. Sie sprangen in einen Hyundai-SUV und begannen die längste 45-minütige Fahrt ihres Lebens in die Küstenstadt Gangneung, wo sich das Technologiezentrum der Olympischen Spiele befand.
Vom Auto aus rief Oh die im Stadion anwesenden Mitarbeiter an und forderte sie auf, WLAN-Hotspots an Reporter zu verteilen und den Sicherheitsdienst anzuweisen, die Ausweise manuell zu überprüfen, da alle RFID-Systeme außer Betrieb seien. Aber das war ihre geringste Sorge. Oh wusste, dass die Eröffnungszeremonie in etwa zwei Stunden vorbei sein würde und Zehntausende Athleten, Besucher und Zuschauer feststellen würden, dass sie keine WLAN-Verbindung und keinen Zugriff auf die Olympia-App voller Zeitpläne, Hotelinformationen und Karten hatten. Das Ergebnis wäre demütigend gewesen. Wenn es ihnen nicht gelingen würde, die Server bis zum nächsten Morgen wieder in Betrieb zu nehmen, wäre das gesamte IT-Backend des Organisationskomitees, das für alles von Mahlzeiten über Hotelreservierungen bis hin zum Event-Ticketing verantwortlich ist, offline, während die Spiele in vollem Gange wären. In einem der technologisch fortschrittlichsten Länder der Welt zeichnete sich das größte technologische Fiasko der Geschichte ab.
Oh kam um 21 Uhr, mitten in der Eröffnungszeremonie, im Gangneung Technology Operations Center an. Das Zentrum bestand aus einem großen offenen Raum mit Schreibtischen und Computern für 150 Mitarbeiter; Eine ganze Wand war mit Fliegengittern bedeckt. Als er eintrat, standen mehrere Mitarbeiter zusammengedrängt da und diskutierten ängstlich, wie sie sich wehren könnten. Das Problem wurde auch dadurch verschärft, dass grundlegende Dienste wie E-Mail und Messaging offline waren.
Alle neun Domänencontroller, die die Authentifizierung regelten, waren irgendwie deaktiviert, sodass auf keine Ressource zugegriffen werden konnte. Die Mitarbeiter hatten sich für eine vorübergehende Lösung entschieden, nämlich die sogenannten toten Gatekeeper-Maschinen zu umgehen, indem sie einen direkten Zugriff auf alle verbleibenden Server einrichten, die einige grundlegende Dienste wie WLAN und mit dem Internet verbundene Fernseher betreiben. Auf diese Weise konnten sie diese Dienste nur wenige Minuten vor Ende der Zeremonie wieder online schalten.
Während sie in den nächsten zwei Stunden versuchten, die Domänencontroller neu aufzubauen, um ein besseres und sichereres Netzwerk zu schaffen, stellten die Techniker fest, dass die Dienste wie im Maulwurfsspiel viel schneller ausfielen, als sie sie wiederherstellen konnten. Eindeutiges Zeichen für die Anwesenheit einer Person im Netzwerk.
Wenige Minuten vor Mitternacht entschieden sich Oh und seine Systemadministratoren widerstrebend für eine verzweifelte Maßnahme: Sie würden das gesamte Netzwerk vom Internet trennen, um es vor Angreifern zu isolieren, da klar war, dass Angreifer dank der von ihnen eingerichteten Befehls- und Kontrollkanäle eindringen konnten. Das bedeutete natürlich die Schließung aller Dienste, sogar der öffentlichen Olympia-Website. Andererseits wäre es die einzige Möglichkeit gewesen, eine Infektion auszurotten.
Den Rest der Nacht arbeiteten Oh und seine Mitarbeiter fieberhaft daran, das „digitale Nervensystem“ der Olympischen Spiele wieder aufzubauen. Um 5 Uhr morgens war es einem koreanischen Sicherheitspartner, AhnLab, gelungen, eine Antivirensignatur zu erstellen, die den Mitarbeitern von Oh dabei helfen konnte, Malware auf den Tausenden infizierten PCs und Servern im Netzwerk zu blockieren.
Um 6:30 Uhr morgens setzten Systemadministratoren die Passwörter der Mitarbeiter zurück, in der Hoffnung, Hackern den Zugriff zu verwehren. Kurz vor 8 Uhr morgens, fast genau 12 Stunden nach Beginn des Olympia-Hacks, beendeten Oh und seine schlaflosen Mitarbeiter die Wiederherstellung ihrer Server anhand von Backups und begannen mit dem Neustart der Dienste.
Überraschenderweise funktionierte alles und alles in allem war die Störung minimal. Ein Reporter aus Boston Globenannte die Spiele später „tadellos organisiert“. Tausende Sportler und Millionen Zuschauer wussten nicht, dass das olympische Personal die Nacht damit verbracht hatte, gegen einen unsichtbaren Feind zu kämpfen, der drohte, die gesamte Veranstaltung ins Chaos zu stürzen.
Doch bereits wenige Stunden nach dem Angriff kursierten in der Cybersicherheits-Community Gerüchte über Probleme, die während der Eröffnungszeremonie zum Ausfall der Olympia-Website, der WLAN-Infrastruktur und verschiedener Anwendungen führten. Zwei Tage nach der Zeremonie bestätigte das Organisationskomitee von Pyeongchang, dass es Ziel eines Cyberangriffs gewesen sei, wollte sich jedoch nicht dazu äußern, wer hinter dem Angriff stecken könnte.
Der Vorfall wurde sofort zu einem internationalen Fall. Wer hätte den Mut, einen Cyberangriff auf die digitale Infrastruktur der Olympischen Spiele durchzuführen?
Der Cyberangriff von Pyeongchang sollte sich als die betrügerischste Hacking-Operation der Geschichte erweisen, bei der forensische Analysten mit den raffiniertesten Mitteln, die es je gab, bei ihrer Suche nach den Schuldigen verwirrt wurden.
Die Schwierigkeit, die Quelle eines Angriffs nachzuweisen, das sogenannte Attributionsproblem, belastet die Computersicherheit seit den Anfängen des Internets. Geschickte Hacker können ihre Verbindungen herstellen, indem sie hinterhältige Routen ausnutzen und Sackgassen in die Routen selbst einfügen, wodurch es nahezu unmöglich wird, sie zu verfolgen. Forensische Analysten haben jedoch gelernt, die Identität von Hackern auf andere Weise zu ermitteln, indem sie nach Hinweisen im Code, in Infrastrukturverbindungen und politischen Beweggründen suchen.
In den letzten Jahren experimentierten Cyberspione und staatlich geförderte Saboteure jedoch zunehmend mit einem anderen Trick: dem Setzen sogenannter „falscher Flaggen“. Diese Handlungen, die darauf abzielen, Sicherheitsanalysten und -techniker gleichermaßen zu täuschen, haben zu fantasievollen Narrativen über Hackeridentitäten geführt, die schwer zu löschen sind, selbst nachdem Regierungen die offiziellen Erkenntnisse ihrer Geheimdienste bekannt gegeben haben. Natürlich hilft es nicht, dass diese offiziellen Ergebnisse oft Wochen oder sogar Monate nach dem Angriff vorliegen, aber sei es so.
Zum Beispiel, als nordkoreanische Hacker das hackten Sony Pictures Um die Veröffentlichung von „The Interview“ zu verhindern, gründeten sie 2014 eine „Hacktivisten“-Gruppe namens „Guardians of the Peace“ und versuchten, Ermittler mit einer vagen Lösegeldforderung in die Irre zu führen. Auch nachdem das FBI Nordkorea für verantwortlich erklärte und das Weiße Haus als Vergeltung neue Sanktionen gegen das Kim-Regime verhängte, behaupteten mehrere Sicherheitsfirmen weiterhin, dass der Angriff von innen gekommen sein müsse.
Als staatlich geförderte russische Hacker 2016 die E-Mails des Demokratischen Nationalkomitees und des Wahlkampfs von Hillary Clinton stahlen und veröffentlichten, wissen wir jetzt, dass auch der Kreml Geschichten erfunden hat, um diesen Hack zu vertuschen und die Schuld auf andere abzuwälzen. Er machte einen einzigen rumänischen Hacker namens Guccifer 2.0 für den Angriff verantwortlich und verbreitete Gerüchte, dass ein ermordeter demokratischer Mitarbeiter namens Seth Rich für die Veröffentlichung der gestohlenen E-Mails und die Verbreitung von Dokumenten über eine gefälschte Website namens DCLeaks verantwortlich sei. Diese falschen Nachrichten oder Täuschungen, wenn Sie so wollen, wurden zu Verschwörungstheorien, die von Anhängern der Rechten und vom Präsidentschaftskandidaten Donald Trump genutzt und ausgenutzt wurden.
Dadurch entstand ein Klima des Misstrauens in den Institutionen und der Glaubwürdigkeit derjenigen, die die falschen Thesen vertraten, und die Skeptiker wiesen auch eindeutige Hinweise zurück, die auf eine Verantwortung des Kremls hindeuteten, so sehr, dass selbst eine vier Monate später erfolgte gemeinsame Erklärung der US-Geheimdienste, die die Verantwortung für den Anschlag Russland zuschrieb, nichts mehr an der Einstellung der einfachen Bevölkerung zu dem Vorfall ändern konnte. Und selbst heute zeigt eine Umfrage des Economist, dass nur etwa die Hälfte der Amerikaner angab, dass sie glaubten, dass Russland sich in die Wahlen einmischte.
Mit der Verbreitung von Schadsoftware bei den Olympischen Spielen in Pyeongchang hat die Kunst der digitalen Täuschung große Fortschritte gemacht. Die Ermittler hätten in dem Schadcode nicht nur einen einzigen gefunden falsche Flagge aber mehrere andere falsche Hinweise deuten auf mehrere potenzielle Schuldige hin. Und einige dieser Hinweise waren so tief verborgen, dass so etwas noch nie zuvor passiert ist.
Von Anfang an waren die geopolitischen Beweggründe hinter den Olympia-Sabotagen alles andere als klar. Es ist bekannt, dass jeder Cyberangriff in Südkorea natürlich Nordkorea angelastet wird. Das sogenannte „Einsiedlerkönigreich“ plagt seine kapitalistischen Nachbarn seit Jahren mit militärischen Provokationen auf niedriger Ebene und Cyberkriegen. Am Vorabend der Olympischen Spiele sagten Analysten des Computersicherheitsunternehmens McAfee hatte davor gewarnt, dass koreanischsprachige Hacker die Organisatoren der Olympischen Spiele in Pyeongchang mit Phishing-E-Mails ins Visier genommen hätten und dass Nordkorea für die Entwicklung einer Ad-hoc-Malware verantwortlich sei, mit der es auf die digitale Infrastruktur der Olympischen Spiele abzielte.
Allerdings gab es aus der Öffentlichkeit widersprüchliche Signale. Als die Olympischen Spiele begannen, schien Nordkorea mit einem freundlicheren Ansatz zu experimentieren. Der nordkoreanische Diktator Kim Jong-un hatte seine Schwester als diplomatische Gesandte zu den Spielen geschickt und den südkoreanischen Präsidenten Moon Jae-in zu einem Besuch in der nordkoreanischen Hauptstadt Pjöngjang eingeladen. Die beiden Länder hatten sogar die Idee ins Spiel gebracht, mit einer einzigen Frauen-Eishockeymannschaft an den Spielen teilzunehmen. Warum sollte Nordkorea also mitten in den Spielen einen verheerenden Cyberangriff starten?
Dann war da noch Russland. Der Kreml hatte sein eigenes Motiv für einen Angriff auf Pyeongchang. Ermittlungen wegen Dopings russischer Athleten hatten im Vorfeld der Olympischen Spiele 2018 zu einem demütigenden Ergebnis geführt: Die Athleten des Landes durften an Wettkämpfen teilnehmen, durften jedoch keine russischen Farben tragen oder im Namen ihres Landes Medaillen entgegennehmen. Jahrelang vor diesem Urteil hatte sich ein staatlich gefördertes russisches Hackerteam namens „Fancy Bear“ gewehrt, Daten über Dopingpraktiken gestohlen und durchsickern lassen. Der Ausschluss Russlands von den Spielen war genau die Art Druckmittel, die den Kreml zu einem Störangriff während der Eröffnungszeremonie inspirieren könnte. Wenn die russische Regierung die Olympischen Spiele nicht genießen könnte, dann würde es niemand tun.
Aber auch hier waren die Dinge nicht so klar. Wenige Tage vor der Eröffnungsfeier hatte Russland jegliche Hackeraktivitäten im Zusammenhang mit den Olympischen Spielen dementiert. „Wir wissen, dass westliche Medien Pseudo-Untersuchungen zum Thema ‚russische Fingerabdrücke‘ bei Hackerangriffen auf IT-Ressourcen im Zusammenhang mit der Ausrichtung der Olympischen Winterspiele in der Republik Korea planen“, sagte das russische Außenministerium gegenüber Reuters. „Natürlich gibt es dafür keine Beweise.“
Tatsächlich hätte es viele Beweise gegeben, die dazu führen könnten, dass Russland dafür verantwortlich gemacht wird. Das eigentliche Problem besteht darin, dass es viele andere gab, die nach einem klassischen Täuschungsspiel das Gegenteil anzeigten.
Drei Tage nach der Eröffnungszeremonie gab die Talos-Sicherheitsabteilung von Cisco bekannt, dass sie eine Kopie der für die Olympischen Spiele erstellten Malware erhalten und diese analysiert und analysiert hatte. Jemand vom Organisationskomitee der Olympischen Spiele oder vielleicht die koreanische Sicherheitsfirma AhnLab hatte den Schadcode tatsächlich auf VirusTotal hochgeladen. Das Unternehmen veröffentlichte die Ergebnisse der Analyse später in einem Blogbeitrag und gab der Malware den Namen Olympic Destroyer.
Im Prinzip ähnelte die Anatomie des Olympic Destroyer zwei früheren russischen Cyberangriffen – NotPetya und Bad Rabbit. Wie bei den vorangegangenen Angriffen nutzte Olympic Destroyer auch ein Tool zum „Anmeldedatendiebstahl“ in Kombination mit den Fernzugriffsfunktionen von Windows, das dank Schwachstellen, die aufgrund fehlender Updates aufgedeckt wurden, eine Ausbreitung auf die verschiedenen Computer im Netzwerk ermöglichte. Schließlich wurde eine Datenvernichtungskomponente verwendet, um die Startkonfiguration infizierter Computer zu löschen, bevor alle Windows-Dienste deaktiviert und die Computer heruntergefahren wurden, sodass sie nicht neu gestartet werden konnten. Berichten zufolge haben Analysten des Sicherheitsunternehmens CrowdStrike weiteren Code gefunden, der sich auf Russland bezog; Elemente, die einer russischen Ransomware namens XData ähnelten.
Es bestand jedoch keine Klarheit, da es hinsichtlich des Codes offenbar keine eindeutige Übereinstimmung zwischen Olympic Destroyer und den früheren NotPetya- oder Bad Rabbit-Würmern gab, obwohl sie ähnliche Eigenschaften aufwiesen. Offenbar und höchstwahrscheinlich wurden sie von Grund auf neu erstellt oder aus anderen Quellen kopiert.
Eine noch tiefergehende Analyse ergab, dass der Datenlöschungsteil von Olympic Destroyer dieselben Eigenschaften aufwies wie der Datenlöschungscode, der nicht von Russland, sondern von der nordkoreanischen Hackergruppe Lazarus verwendet wurde. Als Cisco-Forscher die logischen Strukturen der Datenlöschkomponenten nebeneinander stapelten, schienen sie tatsächlich, wenn auch ungefähr, übereinzustimmen. Beide Dateien werden auf die gleiche Weise zerstört: Löschen Sie nur die ersten 4.096 Bytes.
Könnte man also sagen, dass Nordkorea hinter dem Angriff steckte?
Es gab aber auch andere Gleise, die in ganz andere Richtungen führten. Das Sicherheitsunternehmen Intezer stellte fest, dass ein Code zum Stehlen von Anmeldeinformationen und Passwörtern mit genau denselben Tools abgeglichen wurde, die von einer Hackergruppe namens APT3 verwendet wurden, einer Gruppe, die mehrere Cybersicherheitsfirmen mit der chinesischen Regierung in Verbindung gebracht haben. Dem Unternehmen war es außerdem gelungen, eine Komponente zu identifizieren, die Olympic Destroyer zur Generierung von Verschlüsselungsschlüsseln verwendet hatte, und sie einer anderen Gruppe, APT10, zuzuordnen, die ebenfalls mit China verbunden war. Intezer wies darauf hin, dass die Verschlüsselungskomponente noch nie zuvor von anderen Hackerteams verwendet worden sei. Russland? Nord Korea? China? Je weiter wir mit der Analyse der Schadsoftware voranschritten, desto mehr Akteure tauchten am Horizont auf und alles wirkte auch äußerst widersprüchlich.
Tatsächlich schienen all diese Hinweise, wie erwähnt, sehr oft widersprüchlich, nicht dazu gedacht zu sein, die Analysten zu einer einzigen Antwort zu führen, sondern Verwirrung zu stiften und die Lösung des Rätsels äußerst schwierig zu machen. Das Rätsel stellte die Ermittler auf die Probe und löste enorme Zweifel aus. „Es war wirklich eine psychologische Kriegsführung, die sich gegen Analysten richtete“, sagte Silas Cutler, ein Sicherheitsforscher, der damals für CrowdStrike arbeitete.
Dieser Zweifel schien ebenso wie die Auswirkungen der Sabotage bei den Olympischen Spielen das eigentliche Ziel der Malware gewesen zu sein, sagte Craig Williams, ein Cisco-Forscher. „Selbst wenn ein solcher Angriff seine Mission erfüllt, ist die eigentliche Botschaft, die an die Sicherheitsgemeinschaft gesendet wird, klar“, sagte Williams. „Bei der Analyse eines Cyber-Angriffs ist es sehr schwierig, die Verantwortung zuzuordnen, da man immer in die Irre geführt werden kann.“ Und das ist tatsächlich eine tiefe Wahrheit.
Es stellte sich heraus, dass das olympische Organisationskomitee nicht das einzige Opfer des Olympic Destroyer war. Nach Angaben des russischen Sicherheitsunternehmens Kaspersky betraf der Cyberangriff auch andere olympische Ziele, darunter Atos, einen IT-Dienstleister in Frankreich, der die Veranstaltung unterstützt hatte, und zwei Skigebiete in Pyeongchang. Eines dieser Skigebiete war so stark infiziert, dass die Skilifte vorübergehend gesperrt wurden.
In den Tagen nach dem Angriff während der Eröffnungsfeier der Spiele gelang es Kasperskys „Global Research and Analysis Team“, eine Kopie der Olympic Destroyer-Malware aus einem der Skigebiete zu beschaffen und begann, diese anders zu analysieren als Cisco und Intezer. Es hatte seinen „Header“ analysiert, einen Teil der Metadaten der Datei, der Hinweise darauf enthält, welche Arten von Programmiertools zum Schreiben der Datei verwendet wurden. Beim Vergleich dieses Headers mit anderen Malware-Beispielen fanden sie eine perfekte Übereinstimmung mit der vom nordkoreanischen Hacker Lazarus verwendeten Datenlöschmethode, die auch Cisco bereits angegeben hatte. Die nordkoreanische Theorie schien bestätigt.
Doch ein leitender Kaspersky-Forscher namens Igor Soumenkov beschloss, etwas anderes zu tun. Soumenkov galt als Wunderkind auf dem Gebiet des ethischen Hackens und wurde schon in jungen Jahren in das Forschungsteam von Kaspersky aufgenommen, da er über ein außerordentlich tiefes Verständnis von Datei-Headern verfügte. Deshalb beschloss er, die Erkenntnisse seiner Kollegen noch einmal zu überprüfen.
Soumenkov untersuchte den Code und stellte fest, dass die Header-Metadaten keinerlei Bezug zum Malware-Code hatten; Die Malware wurde nicht mit den Programmiertools geschrieben, die normalerweise mit dem Header verbunden sind. Letztlich handelte es sich bei den Metadaten um eine Fälschung.
Dies war anders als jede andere Fehlleitung, die die Forscher bisher gefunden hatten. Tatsächlich konnte bis dahin niemand mit Sicherheit sagen, welche Hinweise echt waren und welche nicht. Aber als Soumenkov nun in die wahren Zusammenhänge von Code und Metadaten eintauchte, hatte er eines gefunden falsche Flagge, die sogenannte wahre Täuschung. Es war nun klar, dass jemand versucht hatte, die Malware nach Nordkorea zurückzuverfolgen, was beinahe gelungen wäre, aber dank der sorgfältigen Dreifachprüfung durch Kaspersky war die Täuschung ans Licht gekommen.
Andererseits war auch klar, dass der Code nicht China zuzuordnen war, da der chinesische Code in der Regel sehr gut erkennbar ist und dieser grundlegend anders war.
So? Wenn nicht China, wenn nicht Nordkorea, wer dann?
Ein paar Monate später, als Soumenkov in einem Kaspersky-Konferenzraum mit dieser Frage konfrontiert wurde, holte er einen Satz Würfel aus einem kleinen schwarzen Stoffbeutel. Auf jeder Seite der kleinen schwarzen Würfel standen Wörter wie „Anonym“, „Cyberkriminelle“, „Hacktivisten“, „USA“, „China“, „Russland“, „Ukraine“, „Cyberterroristen“, „Iran“. Dies waren die berühmten Zuschreibungswürfel.
Kaspersky wendet, wie viele andere Sicherheitsunternehmen auch, eine strenge Richtlinie an, die sich nur auf die Möglichkeit konzentriert, Hackerangriffe zu blockieren, ohne jemals das Land oder die Regierung zu nennen, hinter der der Angriff möglicherweise steckt. Aber der sogenannte Attributionswürfel, den Soumenkov in der Hand hielt, stellte natürlich die Verschärfung des Problems der Attribution selbst dar, nämlich dass „kein Cyberangriff jemals wirklich auf seine Quelle zurückgeführt werden kann und jeder, der es versucht, nur eine Vermutung ist.“
Michael Matonis arbeitete von zu Hause aus, als er begann, die Fäden in der Hand zu halten, die das Geheimnis des Olympic Destroyer lüften sollten. Der 28-Jährige, ein ehemaliger Punk-Anarchist, der zum Sicherheitsforscher wurde, hatte immer noch keinen Schreibtisch im Büro von FireEye. Als er begann, die Malware zu untersuchen, die Pyeongchang ins Visier genommen hatte, saß Matonis an seinem provisorischen Arbeitsplatz: einem klappbaren Metallstuhl, auf dem sein Laptop auf einem Plastiktisch stand.
Aus einer Laune heraus beschloss Matonis, einen völlig anderen Ansatz zu wählen als diejenigen, die ihn bisher analysiert hatten. Er suchte nicht nach Hinweisen im Malware-Code, sondern begann mit der Untersuchung eines viel banaleren Elements der Operation: eines böswilligen, gefälschten Word-Dokuments, das als erster Schritt in der beinahe katastrophalen Kampagne zur Sabotage der Eröffnungszeremonie gedient hatte.
Das Dokument, das offenbar eine Liste der VIP-Delegierten der Spiele enthielt, war wahrscheinlich als Anhang per E-Mail an das Olympia-Personal geschickt worden. Wenn jemand diesen Anhang geöffnet hätte, wäre ein bösartiges Skript ausgeführt worden, das eine Hintertür auf seinem PC installiert hätte und Hackern den ersten Zugang zum Zielnetzwerk ermöglicht hätte. Als Matonis das Dokument von VirusTotal abrufte, sah er, dass der Lockvogel wahrscheinlich Ende November 2017, mehr als zwei Monate vor Beginn der Spiele, an das Olympiapersonal geschickt worden war. Die Hacker waren demnach einige Monate zuvor in das Olympic-Netzwerk eingedrungen, um einen eigenen Angriff auszulösen.
Matonis versuchte, dieses Codebeispiel abzugleichen, indem er Dokumente in VirusTotal und den FireEye-Datenbanken analysierte. Bei einem ersten Scan fand er nichts, aber Matonis bemerkte, dass einige Dutzend mit Malware infizierte und in den Archiven vorhandene Dokumente in etwa den Merkmalen seiner Datei entsprachen: Word-Makros, die zum Starten von Powershell-Befehlen erstellt wurden. Als Matonis die Analyse fortsetzte, stellte er schließlich fest, dass der Versuch, die verschlüsselten Dateien eindeutig zu machen, diese Dateien stattdessen zu einer eindeutig erkennbaren Gruppe gemacht hatte. Bald entdeckte er, dass hinter der Generierung dieser schädlichen Dateien ein leicht online verfügbares Tool namens „Malicious Macro Generator“ steckte.
Matonis vermutete, dass die Hacker das Programm ausgewählt hatten, um sich mit anderen Malware-Autoren zu vermischen, am Ende aber den gegenteiligen Effekt erzielt hatten. Darüber hinaus fiel ihm auf, dass die Gruppe der schädlichen Makros durch die aus den Metadaten extrahierten Namen der Autoren vereint wurde. Die meisten davon wurden von jemandem namens „AV“, „BD“ oder „John“ geschrieben.
Unter den analysierten Dateien fand Matonis zwei weitere Täuschungsdokumente aus dem Jahr 2017, die offenbar auf ukrainische LGBT-Aktivistengruppen abzielten und infizierte Dateien von gefälschten Organisationen verwendeten, die für die Rechte von Homosexuellen kämpfen. Andere wiederum richteten sich gegen ukrainische Unternehmen und Regierungsbehörden.
Für Matonis war dies vertrautes Terrain: Mehr als zwei Jahre lang hatte er beobachtet, wie Russland eine Reihe zerstörerischer Hacking-Operationen gegen die Ukraine startete, einen unerbittlichen Cyberkrieg, der die russische Invasion nach der prowestlichen Revolution 2014 begleitete.
Während dieser physische Krieg 13.000 Menschen in der Ukraine getötet und Millionen vertrieben hatte, führte eine Gruppe russischer Hacker, bekannt als „Sandwürmer“, einen ausgewachsenen Cyberkrieg gegen die Ukraine: Sie schlossen ukrainische Unternehmen, Regierungsbehörden, Eisenbahnen und Flughäfen mit Einbruchswellen, die riesige Datenmengen zerstörten, darunter zwei beispiellose Verstöße gegen ukrainische Energieversorger in den Jahren 2015 und 2016, die zu Stromausfällen bei Hunderttausenden Menschen führten. Diese Angriffe gipfelten in NotPetya, einer Malware, die sich schnell über die Grenzen der Ukraine hinaus verbreitete und schließlich weltweiten Netzwerken Schaden in Höhe von 10 Milliarden US-Dollar zufügte – dem teuersten Cyberangriff in der Geschichte.
Zu diesem Zeitpunkt verschwanden in Matonis‘ Gedanken alle anderen Verdachtsmomente für den Olympic-Angriff. Matonis konnte den Angriff noch nicht einer bestimmten Hackergruppe zuordnen, aber nur ein Land hatte fast ein Jahr vor dem Pyeongchang-Angriff die Ukraine ins Visier genommen und dabei dieselbe Infrastruktur genutzt, die es später zum Hacken des Olympischen Organisationskomitees nutzen würde, und es war weder China noch Nordkorea.
Seltsamerweise schienen andere infizierte Dokumente in Matonis‘ Händen auf die russische Immobilien- und Geschäftswelt abzuzielen. Wurde ein Team russischer Hacker damit beauftragt, für ihre Geheimdienstchefs einen russischen Oligarchen auszuspionieren?
Ungeachtet dessen hatte Matonis endlich die Grenze überschritten, indem er herausfand, wer hinter dem Cyberangriff auf die Olympischen Spiele 2018 steckte: der Kreml.
„Der Fall Olympic Destroyer war das erste Mal, dass jemand davon Gebrauch machte falsche Flaggen bei einem Angriff, der für die nationale Sicherheit bedeutsam und relevant war und einen Vorgeschmack darauf gab, wie die Konflikte der Zukunft aussehen könnten.“
Es gäbe noch viel zu sagen, aber ich denke, das Beste ist, sich die Zeit zu nehmen, „Sandworm“ von Andy Greenberg zu lesen, der, wie eingangs erwähnt, die Quelle für das Schreiben dieser Geschichte war, und immer mehr zu verstehen, dass es notwendig ist, den Blick eines jeden von uns zu erweitern und Sicherheitsvorfälle bis zum Ende zu analysieren, um zu verstehen, was wirklich hinter scheinbar scheinbar unabhängigen Angriffen steckt.
Unsere Sicherheit beruht immer auf unserem Wunsch, die Ereignisse eingehend zu studieren und zu verstehen, und um einen Satz von Bernard Baruch zu zitieren: Millionen haben den Apfel fallen sehen, aber Newton war derjenige, der sich fragte, warum.
Andere Quellen: The Untold Story of Not Petya, der verheerendste Cyberangriff der Geschichte
