Das FBI bricht in Firmencomputer ein, um schädlichen Code zu entfernen: Cyberabwehr oder Übergriffigkeit?

Bildnachweis: Unsplash/CC0 Public Domain

Das FBI hat derzeit die Befugnis, ohne das Wissen oder die Zustimmung der Eigentümer auf private Computer zuzugreifen und Software zu löschen. Es ist Teil der Bemühungen der Regierung, die anhaltenden Angriffe auf Unternehmensnetzwerke mit Microsoft Exchange-Software einzudämmen, und es ist ein beispielloser Eingriff, der rechtliche Fragen darüber aufwirft, wie weit die Regierung gehen kann.

Am 9. April genehmigte das Bezirksgericht der Vereinigten Staaten für den südlichen Bezirk von Texas einen Durchsuchungsbefehl, der es dem US-Justizministerium erlaubte, die Operation durchzuführen.

Die Software, die das FBI löscht, ist bösartiger Code, der von Hackern installiert wurde, um die Kontrolle über den Computer eines Opfers zu übernehmen. Hacker haben den Code verwendet, um auf große Mengen privater E-Mail-Nachrichten zuzugreifen und Ransomware-Angriffe zu starten. Die Autorität, auf die sich das Justizministerium stützte, und die Art und Weise, wie das FBI die Operation durchführte, schufen wichtige Präzedenzfälle. Sie werfen auch Fragen zur Befugnis von Gerichten auf, die Cybersicherheit ohne die Zustimmung der Eigentümer der Zielcomputer zu regulieren.

Als Experte für Cybersicherheit habe ich diese Art von Cybersicherheit, die als aktive Verteidigung bezeichnet wird, untersucht und untersucht, wie sich der öffentliche und der private Sektor bei der Cybersicherheit seit Jahren aufeinander verlassen. Die öffentlich-private Zusammenarbeit ist entscheidend für die Bewältigung des breiten Spektrums von Cyber-Bedrohungen, denen die USA ausgesetzt sind. Sie stellt jedoch Herausforderungen dar, einschließlich der Bestimmung, wie weit die Regierung im Namen der nationalen Sicherheit gehen kann. Es ist auch wichtig, dass der Kongress und die Gerichte diesen Balanceakt überwachen.

Exchange-Server hacken

Mindestens seit Januar 2021 verwenden Hackergruppen Zero-Day-Exploits, die zuvor unbekannte Schwachstellen in Microsoft Exchange ausnutzen, um auf E-Mail-Konten zuzugreifen. Die Hacker nutzten diesen Zugang, um Web-Shells einzufügen, Software, mit der sie die kompromittierten Systeme und Netzwerke fernsteuern können. Zehntausende E-Mail-Benutzer und -Organisationen sind betroffen. Ein Ergebnis war eine Reihe von Ransomware-Angriffen, die die Dateien der Opfer verschlüsseln und die Schlüssel besitzen, um sie gegen Lösegeld zu entschlüsseln.

Am 2. März 2021 gab Microsoft bekannt, dass eine Hacking-Gruppe namens Hafnium mehrere Zero-Day-Exploits verwendet hat, um Web-Shells mit eindeutigen Dateinamen und Pfaden zu installieren. Dies macht es für Administratoren schwierig, den bösartigen Code zu entfernen, selbst mit den Tools und Patches, die Microsoft und Cybersicherheitsfirmen veröffentlicht haben, um den Opfern zu helfen.

Das FBI greift auf Hunderte dieser Mailserver in Firmennetzwerken zu. Der Durchsuchungsbefehl erlaubt dem FBI, auf die Web-Shells zuzugreifen, das zuvor entdeckte Passwort für eine Web-Shell einzugeben, eine Kopie als Beweis anzufertigen und dann die Web-Shell zu löschen. Das FBI war jedoch nicht berechtigt, andere Malware zu entfernen, die Hacker möglicherweise während der Verletzung installiert hatten, oder anderweitig auf die Inhalte der Server zuzugreifen.

Was diesen Fall einzigartig macht, ist sowohl der Umfang der Maßnahmen des FBI zur Entfernung der Web-Shells als auch das beispiellose Eindringen in private Computer ohne Zustimmung der Eigentümer. Das FBI führte die Operation aufgrund der großen Anzahl ungeschützter Systeme in den US-Netzwerken und der Dringlichkeit der Bedrohung ohne Zustimmung durch.

Die Aktion zeige das Engagement des Justizministeriums, „alle unsere Rechtsinstrumente“ einzusetzen, sagte der stellvertretende Generalstaatsanwalt John Demers in einer Erklärung.

Die Gesamtzahl der kompromittierten Firmen bleibt unklar, da die Zahl in den Gerichtsdokumenten redigiert ist, aber es könnten bis zu 68.000 Exchange-Server sein, die möglicherweise Millionen von E-Mail-Benutzern betreffen würden. Es tauchen weiterhin neue Malware-Angriffe auf Microsoft Exchange-Server auf, und das FBI ergreift weiterhin gerichtlich genehmigte Maßnahmen, um den bösartigen Code zu entfernen.

Aktive Abwehr

Der Wechsel zu einer aktiveren US-Cybersicherheitsstrategie begann unter der Obama-Regierung mit der Gründung des US Cyber ​​Command im Jahr 2010. Der Schwerpunkt lag damals weiterhin auf der Abschreckung durch Verleugnung, was bedeutet, Computer schwerer hackbar zu machen. Dazu gehört die Verwendung einer mehrschichtigen Verteidigung, auch bekannt als Tiefenverteidigung, um das Eindringen in Netzwerke schwieriger, teurer und zeitaufwändiger zu machen.

Die Alternative besteht darin, Hacker zu verfolgen, eine Strategie, die als „Defense Forward“ bezeichnet wird. Seit 2018 hat die US-Regierung die Verteidigung verstärkt, wie die US-Aktionen gegen russische Gruppen in den Wahlzyklen 2018 und 2020 zeigten, in denen Mitarbeiter des US Cyber ​​Command russische Online-Propagandakampagnen identifizierten und störten.

Die Biden-Administration hat diesen Trend fortgesetzt, verbunden mit neuen Sanktionen gegen Russland als Reaktion auf die Spionagekampagne von SolarWinds. Dieser Angriff, den die US-Regierung Hackern zuschreibt, die mit russischen Geheimdiensten in Verbindung stehen, nutzte Schwachstellen in kommerzieller Software, um in US-Regierungsbehörden einzudringen. Diese neue FBI-Aktion geht in ähnlicher Weise an die Grenzen der aktiven Verteidigung, in diesem Fall um die Folgen von Verstößen im Inland zu beseitigen, allerdings ohne das Bewusstsein und die Zustimmung der betroffenen Organisationen.

Das Gesetz und die Gerichte

Das Gesetz über Computerbetrug und -missbrauch verbietet im Allgemeinen den unbefugten Zugriff auf einen Computer. Dieses Gesetz gilt jedoch nicht für die Regierung.

Das FBI hat die Befugnis, bösartigen Code ohne Genehmigung von privaten Computern zu entfernen, dank einer Änderung von Regel 41 der Bundesstrafprozessordnung im Jahr 2016. Diese Überarbeitung wurde teilweise entwickelt, um es der US-Regierung zu ermöglichen, Botnets leichter zu bekämpfen und andere Ermittlungen zur Cyberkriminalität in Situationen zu unterstützen, in denen die Standorte der Täter unbekannt blieben. Es erlaubt dem FBI den Zugriff auf Computer außerhalb des Zuständigkeitsbereichs eines Durchsuchungsbefehls.

Diese Aktion unterstreicht den Präzedenzfall und die Macht von Gerichten, die de facto zu Regulierungsbehörden für Cybersicherheit werden, die das Justizministerium ermächtigen können, groß angelegte Installationen von bösartigem Code, wie er beim Exchange-Hack zu sehen war, zu bereinigen. Im Jahr 2017 nutzte das FBI beispielsweise die erweiterte Regel 41, um ein globales Botnet auszuschalten, das Informationen von Opfern sammelte und ihre Computer zum Versenden von Spam-E-Mails verwendete.

Wichtige rechtliche Fragen bleiben bei der derzeitigen Tätigkeit des FBI ungelöst. Zum einen die Haftungsfrage. Was wäre zum Beispiel, wenn die privaten Computer beim Entfernen des schädlichen Codes durch das FBI beschädigt würden? Eine weitere Frage ist, wie in solchen Fällen private Eigentumsrechte gegen nationale Sicherheitsbedürfnisse abzuwägen sind. Klar ist jedoch, dass sich das FBI unter dieser Autorität nach Belieben und ohne die Notwendigkeit eines speziellen Durchsuchungsbefehls in Computer hacken könnte.

Nationale Sicherheit und Privatsektor

Rob Joyce, Cybersicherheitsdirektor der NSA, sagte, Cybersicherheit sei nationale Sicherheit. Diese Aussage mag unstrittig erscheinen. Aber es deutet auf eine grundlegende Veränderung in der Verantwortung der Regierung für die Cybersicherheit hin, die weitgehend dem Privatsektor überlassen wurde.

Ein Großteil der kritischen Infrastruktur in den USA, einschließlich Computernetzwerken, befindet sich in privater Hand. Doch Unternehmen haben nicht immer die notwendigen Investitionen getätigt, um ihre Kunden zu schützen. Dies wirft die Frage auf, ob in der Cybersicherheit ein Marktversagen vorliegt, bei dem wirtschaftliche Anreize nicht ausreichen, um zu einer angemessenen Cyberabwehr zu führen. Mit den Maßnahmen des FBI kann die Biden-Administration ein solches Marktversagen implizit anerkennen.


Leave a Comment