US-Präsident Biden sagte am Montag, dass die Vereinigten Staaten eine kriminelle Bande von Hackern namens DarkSide „aufhalten und strafrechtlich verfolgen“ würden, die das F.B.I. offiziell für einen riesigen Ransomware-Angriff verantwortlich gemacht hat, der fast der Hälfte der Treibstoffversorgung an die Ostküste unterbrochen hat.
Die Pipeline blieb am Montag für einen vierten Tag offline, um die Malware, die die Computernetzwerke des Unternehmens infiziert hat, vorsorglich zu schützen.
Nach Angaben von Geheimdienstmitarbeitern deuten alle Anzeichen darauf hin, dass es sich lediglich um einen Erpressungsakt der Gruppe handelte, die im August letzten Jahres erstmals mit der Bereitstellung solcher Ransomware begann und vermutlich von Osteuropa aus, möglicherweise von Russland aus, operiert. Selbst in den eigenen Aussagen der Gruppe am Montag gab es Hinweise darauf, dass die Gruppe lediglich beabsichtigt hatte, Geld von der Firma zu erpressen, und war überrascht, dass die Hauptversorgung mit Benzin und Düsentreibstoff für die Ostküste unterbrochen wurde. Ransomware kann sich schnell ausbreiten und auch andere Ziele treffen als die eigentlich anvisierten. Damit triggern Hacker prinzipiell Gesetze zur Nationalen Sicherheit und genau in dieser Sphäre gibt es einen großen Interpretationsspielraum. Durch Aktionen wie den Pipeline-Hack werden Hacker quasi prinzipiell zu Terroristen.
In diesem Fall richtete sich die Ransomware nicht an die Kontrollsysteme der Pipeline, sagten Bundesbeamte und private Ermittler, sondern an die Backoffice-Operationen der Colonial Pipeline.
Biden, von dem erwartet wird, dass er in den kommenden Tagen eine Exekutivverordnung zur Stärkung der amerikanischen Cyberabwehr bekannt gibt, sagte, es gebe keine Beweise dafür, dass die russische Regierung hinter dem Angriff stecke. Aber er sagte, er habe vor, sich bald mit Präsident Wladimir V. Putin aus Russland zu treffen – die beiden Männer werden voraussichtlich nächsten Monat ihren ersten Gipfel abhalten – und er schlug vor, dass Moskau eine gewisse Verantwortung trage, da DarkSide vermutlich Wurzeln in Russland hat und das Land als ein Paradies für Cyberkriminelle gilt.
Während der Trump-Administration gab das Department of Homeland Security Warnungen vor russischer Malware im amerikanischen Stromnetz heraus, und die Vereinigten Staaten unternahmen nicht ganz geheime Anstrengungen, um selbst Malware als Warnung in das russische Stromnetz aufzunehmen.
In vielen Simulationen, die von Regierungsbehörden und Elektrizitätsversorgern durchgeführt wurden, testete man einen Angriff gegen den amerikanischen Energiesektor – eine Mischung aus Cyber- und physischen Angriffen. Am Montag argumentierte DarkSide, dass es nicht im Auftrag eines Nationalstaates operiere, vielleicht um sich von Russland zu distanzieren.
„Wir sind unpolitisch, wir beteiligen uns nicht an der Geopolitik, müssen uns nicht an eine definierte Regierung binden und nach unseren Motiven suchen“, heißt es in einer Erklärung auf der Website. „Unser Ziel ist es, Geld zu verdienen und keine Probleme für die Gesellschaft zu schaffen.“
Ein Hinweis auf die Ursprünge von DarkSide liegt in seinem Code. Private Forscher stellen fest, dass die Ransomware von DarkSide die Computer der Opfer nach ihrer Standardeinstellung für die Sprache fragt. Wenn es sich um Russisch handelt, wechselt die Gruppe zu anderen Opfern. Es scheint auch Opfer zu vermeiden, die Ukrainisch, Georgisch und Weißrussisch sprechen.
