Selbst vor Jahren wusste jeder ansatzweise fähige Experte für Cybersicherheit mit etwas Berufspraxis, wie es aussieht bei Behörden, Versorgungsunternehmen und der Industrie: Veraltete Router, veraltete Betriebssysteme, Standardpasswörter wie 123456, Umgehung von Sicherheitsregeln aus Bequemlichkeit, fehlende Multifaktor-Authentifizierung und Leute klicken naiv auf irgendwelche Links oder Anhänge in E-Mails.
Die USA waren eigentlich ideal aufgestellt für die weltbeste Cybersicherheit. Man rekrutierte sogar ausgewählte Hacker, falls jene Fähigkeiten besaßen, die dem studierten Personal fehlten. Die NSA automatisierte verschiedene Methoden des Angriffs und der Identifikation von Akteuren. Das Verhalten eines normalen Users unterscheidet sich stark von dem eines Hackers. Und letztendlich ist das Internet selbst im Kern eine amerikanische Erfindung. US-Firmen entwickelten die Hardware, die jeder verwendet.
Man hatte längst genug Anlass gehabt, um jede Art von Behörde und jede relevante Firma auf eine „Zero Trust“-Architektur umzustellen: Jeder Benutzer und jedes Gerät, egal ob innerhalb oder außerhalb der Organisation, gilt zunächst als verdächtig und erhält die minimalsten Rechte und steht unter Überwachung. Vieles deutet darauf hin, dass beim US-Militär geheime Software das Benutzerverhalten analysiert und stummen Alarm auslösen kann. Der junge Soldat Bradley Manning beispielsweise dachte, er könne in einer Basis im Irak geheime Datenbanken auf CD-Datenträger kopieren, „Lady Gaga“ darauf schreiben und die Discs nach außen schmuggeln und letztendlich an Wikileaks aushändigen, ohne aufzufliegen.
Microsoft bietet Tools wie Sentinel und Purview, mit dem sich Mitarbeiter einer Firma verfolgen lassen. Algorithmen erkennen spezielles Verhalten; egal ob Faulheit oder den Versuch, an Daten zu gelangen, für die derjenige keine Berechtigung hat.
Alles stand also bereit, um die USA abzusichern, aber die Möglichkeiten wurden seltsamerweise so wenig genutzt, dass aktuell eine erhebliche Bedrohungslage existiert. Vor allem Chinesen dringen in alle möglichen Systeme ein, und weiten ihren Zugang aus, um in der Zukunft Chaos stiften zu können. Egal ob ein Wasserversorgungsunternehmen auf Hawaii, ein Hafen in Houston oder eine Öl- und Gasverarbeitungsanlage.
Ermittler des FBI fanden heraus, dass die Hacker manchmal jahrelang lauerten und regelmäßig den Zugang testeten. Auf einem Regionalflughafen stellten die Ermittler fest, dass die Hacker sich den Zugang gesichert hatten und dann alle sechs Monate zurückkehrten, um sicherzustellen, dass sie noch eindringen konnten.
Hacker verbrachten mindestens neun Monate im Netzwerk eines Wasseraufbereitungssystems. Amerikanische Sicherheitsbeamte sagten, sie seien davon überzeugt, dass die Infrastrukturangriffe – die von einer Gruppe namens Volt Typhoon durchgeführt wurden – zumindest teilweise darauf abzielen, die militärischen Versorgungslinien im Pazifik zu unterbrechen und die Reaktionsfähigkeit Amerikas auf einen zukünftigen Konflikt mit China, einschließlich einer möglichen Invasion Taiwans, anderweitig zu beeinträchtigen.
Bei den Telekommunikationsangriffen drang eine mit dem chinesischen Geheimdienst verbundene Hackergruppe namens Salt Typhoon in US-Mobilfunknetze sowie in Systeme ein, die für gerichtlich angeordnete Überwachung verwendet werden.
Einige an der Untersuchung beteiligte nationale Sicherheitsbeamte sagten, sie glauben, der Telekommunikationshack sei so schwerwiegend, dass die USA möglicherweise nie mit Sicherheit sagen können, ob sie Systeme inzwischen wirklich bereinigt sind.
Es dauerte lange, bis die Verwendung chinesischer Ausrüstung, unter anderem von den Telekommunikationsgiganten Huawei und ZTE, verboten wurde für wichtige Zwecke. US-Behörden untersuchen, ob die beliebten Heim-Internet-Router des chinesischen Unternehmens TP-Link, die mit Cyberangriffen in Verbindung gebracht wurden, ein Risiko für die nationale Sicherheit darstellen.
Meistens reicht es jedoch, einzubrechen in Systeme, die veraltete Software und Hardware benutzen.
Chinesische Hacker fanden ungepatchte Netzwerkgeräte des Sicherheitsanbieters Fortinet und kompromittierten große Netzwerkrouter von Cisco Systems. In mindestens einem Fall (angeblich AT&T) übernahmen sie die Kontrolle über ein Netzwerkverwaltungskonto auf hoher Ebene, das nicht durch Multifaktor-Authentifizierung geschützt war.
Dadurch erhielten sie Zugriff auf mehr als 100.000 Router.
Zusätzlich drangen Hacker in andere Netzwerke von Lumen Technologies und T-Mobile ein.
Senator Dan Sullivan (R., Alaska) sagte während einer Kongressanhörung im Dezember: „Es ist schockierend, wie exponiert wir sind und immer noch sind.“ Er beschrieb ein kürzlich veröffentlichtes vertrauliches Briefing zu den Telekommunikationshacks als „atemberaubend“.
In früheren Fällen konnten FBI-Agenten Hacker oft aufspüren, sobald sie die Server in den USA gefunden hatten, die sie für ihre Angriffe gemietet hatten. Später drangen die Hacker über einen Routertyp ein, der von kleinen Büros und Heimbüros verwendet wird und die Eindringlinge als legitimen US-Datenverkehr tarnte.