Die US-Regierung ist sich sicher, dass Hacker aus Russland im Zuge des US-Wahlkampfs einen "Cyber-Angriff" auf die Dachorganisation der Demokratischen Partei (DNC) ausgeführt haben, um diese zu schädigen und die Wahl zugunsten von Donald Trump zu manipulieren. Als Reaktion beschlossene Sanktionen, wie das Ausweisen russischer Diplomaten, wurden bereits eingeleitet. Außerdem hatten die Heimatschutzbehörde DHS und das FBI zum Jahresende einen Bericht vorgelegt, der technische Details zu dem Hack unter dem Codenamen Grizzly Steppe enthält. Allerdings fehlen in dem Bericht handfeste Beweise, die einen Eingriff russischer Hacker einwandfrei belegen. Dass die russische Regierung direkt involviert war, kann der Bericht ebenfalls nicht eindeutig zeigen.

Verwirrung statt Aufklärung

Laut der begleitenden Veröffentlichung zum sogenannten Joint Analysis Report (JAR) 16-20296, hat der Bericht vor allem das Ziel, Betreibern von Computernetzen die Möglichkeit zu geben, sich gegen Angriffe wie den DNC-Hack verteidigen zu können. Dazu sammelt der Bericht Erkenntnisse von Organisationen und Firmen aus dem Privatsektor sowie solche der US-Regierung und ihrer Geheimdienste. Es ist denkbar, dass der Fehlalarm eines vermuteten russischen Hackerangriffs auf das US-Stromnetz ausgelöst wurde, weil nach IP-Adressen gescannt wurde, die in dem JAR als mutmaßlich schädlich klassifiziert wurden. Dann stellte sich heraus, dass die den Alarm auslösende IP-Adresse wohl nicht durchgehend von bösartigen Akteuren verwendet wird.

Hier zeigt sich ein grundlegendes Problem mit dem Bericht der US-Regierung, auf das auch Sicherheitsforscher Robert M. Lee hinweist: Der Bericht beschränkt sich nicht darauf, technische Indizien des Hackerangriffs auf die DNC zu beleuchten. Er versucht eben auch explizit zu beweisen, dass die Angriffe von Hackergruppen (APT28 und APT29, beziehungsweise CozyBear und Sofacy) ausgeführt wurden, die den russischen Geheimdiensten nahe stehen. Das führt zu Verwirrung bei der Öffentlichkeit, an die der Report gerichtet ist und der er helfen soll.

Schlecht aufbereitete technische Details

Handfeste Belege, dass hinter den Angriffen tatsächlich APT28 und APT29 stecken und dass diese von der russischen Regierung beauftragt wurden, sucht man in dem Bericht vergebens. Auch ist der JAR auf eine Art aufbereitet, die das Vertrauen in die Daten stark erschüttert. Hier werden Bezeichnungen für Hackergruppen wie APT28 mit Angriffstechniken wie SYNful Knock und ganze Angriffskategorien wie "Powershell Backdoor" im selben Kontext wild durcheinander geworfen.

Eine in dem Bericht prominent zitierte Einbruchsspur (Indicator of Compromise, IOC) ist eine beliebte PHP-Webshell, die allem Anschein nach von hunderten oder gar tausenden Hackern aus Russland, Weißrussland und der Ukraine verwendet wird. Dabei handelt es sich sowohl um Script Kiddies und Kleinkriminelle wie auch Gruppen, von denen Sicherheitsfirmen vermuten, dass sie staatlich gesponsert werden (wie etwa APT28 und APT29).

Geheimer Bericht mit mehr Details

Laut Robert M. Lee und anderen Beobachtern sollen die Mitglieder des Kongresses in den USA einen geheimen Bericht vorgelegt bekommen, der eindeutig beweist, dass der Wahlkampf-Hack direkt von der russischen Regierung veranlasst wurde und der die beschlossenen Sanktionen rechtfertigt. Dieser Bericht soll demnach von der NSA verfasst werden und unter Umständen später der Öffentlichkeit zugänglich gemacht werden (wahrscheinlich in zensierter Form). Sicherheitsforscher vermuten, dass die NSA im Rahmen ihrer umfassenden Internet-Überwachung Daten gesammelt haben könnte, welche den Einfluss russischer Geheimdienste belegen.

Bis ein weiterer Bericht vorliegt wird die Öffentlichkeit zwangsläufig weiter darüber spekulieren, ob die Grizzly-Steppe-Angreifer wirklich aus Russland kamen und ob sie tatsächlich im Auftrag der Regierung handelten. Auch Donald Trump und seinen Unterstützern wird der Regierungsbericht wohl kaum den Wind aus den Segeln nehmen, wenn sie das aktuelle Vorgehen der Obama-Regierung gegen Russland kritisieren. (fab)