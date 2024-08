Am Freitag hat eine Hacker-Gruppe eine Sicherheitslücke ausgenutzt, um Internetanbieter, Datenzentren und verschiedene Websites außer Gefecht zu setzen. Das Angriffsziel waren offenbar Russland und der Iran. Die Angreifer hinterließen auf den betroffenen Geräten eine Abbildung der US-Flagge in ASCII-Optik sowie die Botschaft: “Mischt euch nicht in unsere Wahlen ein.”

Die IT-Sicherheitsfirma Kaspersky schrieb am Freitag in einem Blogpost, die Hacker hätten eine Schwachstelle in der Software Cisco Smart Install Client ausgenutzt. Einen Tag zuvor hatten die Sicherheitsexperten von Talos, die selbst für Cisco arbeiten, bekannt gegeben, dass 168.000 Systeme möglicherweise von der Sicherheitslücke betroffen seien.

Talos schrieb außerdem, dass die Schwachstelle bereits ausgenutzt worden sei. Dabei nahmen sie Bezug auf Hacking-Angriffe aus dem März, die laut Einschätzung der zuständigen US-Behörde von Hackern der russischen Regierung durchgeführt worden sein sollen. Möglicherweise ist die jüngste Hacking-Aktion eine Reaktion darauf.

Dieser Screenshot zeigt die Nachricht, die die Hacker auf den betroffenen Geräten hinterließen | Screenshot: Twitter

Der Cisco-Hack: Simpel aber effektiv

Der Hacking-Angriff auf Russland und Iran wirkt nicht gerade raffiniert. Er scheint einer ähnlichen Methode zu folgen, die beispielsweise auch das Tool eines anonymen Sicherheitsforschers, AutoSploit, verwendet: Es sucht über die Suchmaschine Shodan nach schlecht gesicherten, mit dem Internet verbundenen Geräten – und es erkennt automatisch, wie sich diese Lücken ausnutzen lassen. Das gelingt mithilfe von Metasploit, einem Programm, das eigentlich für Penetrationstests eingesetzt wird.

Trotz der simplen Vorgehensweise war die Attacke effektiv. Laut Kaspersky richtete sich der Angriff vor allem gegen den russischsprachigen Teil des Internets. Das iranische IT-Ministerium meldete, dass weltweit 200.000 Router-Switches betroffen seien, 3.500 davon im Iran. Laut Reuters hat der iranische IT-Minister Mohammad Javad Azari-Jahromi gesagt, der Angriff habe hauptsächlich Europa, Indien und die USA betroffen.

“Wir hatten die Hacking-Angriffe auf die USA satt”

Motherboard hat mit einer Person gesprochen, die nach eigenen Angaben am Angriff beteiligt war. Sie steckt hinter der E-Mail-Adresse, die auf den gehackten Computern erschien. “Wir wollten einfach eine Botschaft übermitteln”, sagte sie. “Wir hatten die von Regierungsseite gestützten Hacking-Angriffe auf die USA und andere Länder satt.”

Angeblich suchten die Hacker in vielen Ländern nach verwundbaren Systemen, attackierten jedoch nur Geräte in Russland und dem Iran. Außerdem behaupten die Hacker, dass sie die Cisco-Sicherheitslücke auf Geräten in den USA und Großbritannien geschlossen hätten, sodass “fast keine gefährdeten Geräte” in diesen Ländern mehr übrig seien.

Einige Zahlen sprechen jedoch dagegen: Wie eine Suche über Shodan am Samstag zeigte, war die Zahl der gefährdeten Geräte zu diesem Zeitpunkt gerade mal auf 166.000 von ursprünglich 168.000 gesunken. 46.500 dieser Maschinen befanden sich in den USA. In ihrem Blogpost beschreibt Talos, wie Systemadministratoren ihre Systeme überprüfen und gegen die Schwachstelle schützen können.

