In diesem Fall kann man sich fragen, was eigentlich schlimmer ist: ungeschützte Netgear Router beim US-Militär oder der Diebstahl von Militärgeheimnissen.
Das Problem mit den Netgear Routern wurde schon Anfang 2016 von ein paar Sicherheitsforschern öffentlich gemacht: Diese Router hatten eine Sicherheitslücke, die sie anfällig machten für bösartige Angriffe über Fernzugriffsfunktionen. Insbesondere dann, wenn dessen Standard-FTP-Authentifizierungsdaten nicht aktualisiert wurden. Netgear informierte damals die Anwender, wie diese Sicherheitslücke geschlossen werden konnte. Das war im Prinzip ein simpler Vorgang. Doch gab es zwei Jahre später immer noch über 4.000 ungeschützte Netgear Router weltweit entdeckt, allein 1.430 davon in den USA.
Und ein kleiner Hacker ist genauso vorgegangen wie die Sicherheitsforscher, die die ungeschützten Netgear Router im Netz aufspüren konnten. Möglich ist das über eine spezielle Suchmaschine namens Shodan. Mit Shodan kann das Internet durchsucht werden. Es ist zwar anmelde- und kostenpflichtig für eine umfangreichere Suche, aber im Prinzip jeder kann Shodan nutzen. Gesucht werden kann nach ungeschützten Geräten oder Diensten wie Webcams, Router, Server etc. aber auch nach Steuerungssystemen von Ampeln, Stromnetzwerken und sogar Kraftwerken. Die Suche ist bei Shodan sogar einschränkbar auf Stadt, Land, Geodaten, Hostname, OS, Port usw. Die Suchmaschine wird überwiegend von Forschern und IT-Sicherheitsforschern verwendet – und auch von Nutzern mit böser Absicht.
Die Insikt Group von Recorded Future, ein Bedrohungsanalyse Service, stieß am 1. Juni 2018 auf Aktivitäten, die sie zum näheren Hinschauen veranlassten. Im Deep und Dark Web versuchte jemand höchst sensible militärische Dokumente zu verkaufen. Nein, dieses Mal war es kein russischer Akteur, sondern ein Hacker einer englischsprachigen Hackertruppe. Dies stellte sich heraus, nachdem die Sicherheitsforscher in einem Hackerforum Kontakt zu dem Verkäufer aufgenommen hatten. Dieser bot unter anderem ein Schulungshandbuch für die US-Militärdrohne MQ-9 Reaper und ein Wartungshandbuch für den Abrams-Panzer an. Auf Nachfrage gab er an, Zugang erhalten zu haben zu den brisanten Dokumenten über Netgear-Router, die den Standard-Port 21 verwendeten. Diese Router hätte er mittels der Suchmaschine Shodan herausgefiltert. Er lud die Dokumente herunter und bot sie innerhalb einer Woche im Dark Web zum Verkauf an.
Diese Router wurden von der US-Armee in Kalifornien genutzt für zwei verschiedene Computer. Der eine gehörte einem Captain der 432d Luftfahrtzeug Instandhaltungsstaffel Reaper AMU OIC, der Creech Airforce Base in Nevada. Die MQ-9 Reaper Drohne wird von General Atomics hergestellt. Sie gilt als eine der derzeit fortschrittlichsten und tödlichsten Militärtechnologien. Die US-Luftwaffe, US-Marine, CIA, NASA, der US-Zoll- und Grenzschutz und die Streitkräfte mehrerer anderer Staaten setzen diese Drohne ein. Alle Daten zu dieser Technik fallen natürlich unter die Exportbeschränkungen.
Der Hacker konnte Wartungshandbücher und auch die Liste der auf der Basis eingesetzten Piloten des Drohnenprogramms herunterladen. Interessant ist es, wie einfach es war, an die Dokumente zu gelangen. Russische Hacker hatten schon seit 2015 versucht, an genau solche Dokumente zu gelangen. Es heißt, Mitarbeiter des Herstellers General Atomics werden seit drei Jahren mit speziellen Phishing-E-Mails gezielt angriffen. Die russischen Hacker haben wohl an der falschen Stelle angesetzt. Laut den Sicherheitsforschern war die Aufgabe über die Router simpel und der Hacker war nicht einmal sonderlich begabt gewesen.
Wo die Dokumente des M1 Abrams-Panzers herstammen, ist noch nicht klar. Sie scheinen wohl Teil einer größeren Menge militärischer Dokumente zu sein, die von einem Computer eines anderen US-Armeeoffiziers gestohlen wurden. Nach ihrem Inhalt zu urteilen, könnten sie aus dem Pentagon selbst stammen. Obwohl nicht klassifiziert, sind diese Daten dennoch sensibel genug, dass sie unter Verschluss gehalten werden. Gestohlen wurden Unterlagen über Trainingskurse für Panzerzüge, Berichte über Migitationstaktiken für improvisierte Sprengsätze und einen Überlebenskurs für die Panzerbesatzung.
Neben diesen gestohlenen Dokumenten bot der Hacker auch kostenlosen Zugriff auf Full-Motion-Video-Streams an. Laut den Sicherheitsforschern konnte er nicht nur direkt auf Live-Bildmaterial der Drohnen zugreifen, sondern auch auf Überwachungskameras an der südlichen Grenzen der USA. Wenn Drogenkartelle und Menschenhändler von dieser Quelle Gebrauch machen würden, wäre das für sie sicherlich von unschätzbarem Wert.
Recht beunruhigend ist hier, dass ein einfacher Hacker militäreigene Computer oder Computer mit militärischen Daten identifizieren und auf sie zugreifen konnte. Auch die Sache mit dem ungeschützten Router wird sicher noch ein Nachspiel haben.
Das US-Militär Programm „Cyber Awareness Challenge“ gibt es für Angestellte des Verteidigungsministeriums und des US-Geheimdienstes. Die etwa einstündige(!) Schulung muss jedes Jahr online durchgeführt und besteht aus verschiedenen Modulen.
Folgende Themen werden abgehandelt:
- Computernutzung: Identitätsverwaltung, E-Mail, Wechselmedien
- Soziale Netzwerke: mobile Systeme
- Sensible / geheime Informationen: Schutz von Daten des höchsten Geheimhaltungsgrads, Insiderbedrohung
- Webseitennutzung: Verwendung von Heimcomputern.
Jeder Teilnehmer erhält am Ende ein entsprechendes Zertifikat.
Fragt sich, wie effektive dieser Kurs überhaupt ist. Der Captain, von dessen Computer die Dokumente gestohlen wurden, hatte kürzlich genau diesen Kurs (erfolgreich) absolviert. Ihm hätten die Risiken und die nötigen Schutzmaßnahmen bewusst sein müssen.
Artikel von recordedfuture.com, 10.07.2018: Military Reaper Drone Documents Leaked on the Dark Web
Artikel von darkreading.com, 11.07.2018: Hacker Exploits 2-Year Old Router Issue To Steal Sensitive US Military Data
Artikel von arstechnica.com, 12.07.2018: Year-old router bug exploited to steal sensitive DOD drone, tank documents
Artikel von theregister.co.uk, 11.07.2018: US military manuals hawked on dark web after files left rattling in insecure FTP server
Artikel von cyberscoop.com, 11.07.2018: Stolen U.S. drone documents found for sale on dark web
Artikel von nextgov.com, 11.07.2018: Hacker Caught Selling Maintenance Manuals for Military Drones
Urheberrechte Beitragsbild: media.defense.gov
