{"id":255823,"date":"2021-07-20T10:30:55","date_gmt":"2021-07-20T08:30:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255823"},"modified":"2023-04-25T21:54:42","modified_gmt":"2023-04-25T19:54:42","slug":"usa-eu-nato-microsoft-co-beschuldigen-china-fr-hafnium-exchange-hack","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/20\/usa-eu-nato-microsoft-co-beschuldigen-china-fr-hafnium-exchange-hack\/","title":{"rendered":"USA, EU, NATO, Microsoft &amp; Co. beschuldigen China f&uuml;r Hafnium Exchange-Hack"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/07\/20\/usa-eu-nato-microsoft-co-beschuldigen-china-fr-hafnium-exchange-hack\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Ende Februar, Anfang M\u00e4rz 2021 kam es zu einem massiven Angriff auf Microsoft Exchange Server (siehe <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a>), bei dem weltweit viele Tausend Instanzen gehackt wurden. Bereits damals wurden die Angriffe der chinesischen Hackergruppe Hafnium zugeschrieben. Jetzt beschuldigen die USA zusammen mit ihren Alliierten (Gro\u00dfbritannien, NATO) sowie die EU China f\u00fcr diesen Angriff verantwortlich zu sein. Die USA haben zudem vier chinesische Staatsb\u00fcrger als Verantwortliche ausgemacht.<\/p>\n<p><!--more--><\/p>\n<p>Es war ein gewaltiger Cyber-Angriff auf Microsofts On-Premises Exchange Server, der bereits lief, bevor Microsoft entsprechende Patches zum Schlie\u00dfen der ProxyLogon-Schwachstelle ausrollen konnte. Ich hatte den Ablauf im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a> nachgezeichnet. In der Folge waren zahlreiche US-Beh\u00f6rden, Firmen und Organisationen betroffen. Aber der Massenhack hatte auch weltweit Folgen, waren doch zahlreiche Exchange-Instanzen kompromittiert. Vom BSI wurde bekannt, dass sechs Bundesbeh\u00f6rden, darunter das Bundesumweltamt, betroffen waren (siehe auch <a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a>).<\/p>\n<p>Bereits zu Beginn der Angriffe wurde die chinesische Hackergruppe Hafnium von Microsoft f\u00fcr diese Angriffe verantwortlich gemacht. Und da in China nichts ohne die KP l\u00e4uft, war die chinesische Regierung eingebunden. Es hat lange gedauert, aber jetzt scheinen die US-Beh\u00f6rden gen\u00fcgend Anhaltspunkte zu haben, um konkret chinesische Staatsb\u00fcrger anzuklagen und die chinesische Regierung f\u00fcr den Angriff verantwortlich zu machen.<\/p>\n<h2>Gemeinsame Erkl\u00e4rung der Betroffenen<\/h2>\n<p>Das Wei\u00dfe Haus hat am 19. Juli 2021 eine offizielle Erkl\u00e4rung mit dem Titel <a href=\"https:\/\/www.whitehouse.gov\/briefing-room\/statements-releases\/2021\/07\/19\/the-united-states-joined-by-allies-and-partners-attributes-malicious-cyber-activity-and-irresponsible-state-behavior-to-the-peoples-republic-of-china\/\" target=\"_blank\" rel=\"noopener\">The United States, Joined by Allies and Partners, Attributes Malicious Cyber Activity and Irresponsible State Behavior to the People's Republic of China<\/a> herausgegeben, die von den Alliierten getragen wird. Die Erkl\u00e4rung der NATO findet sich <a href=\"https:\/\/web.archive.org\/web\/20230404185353\/https:\/\/www.nato.int\/cps\/en\/natohq\/news_185863.htm\" target=\"_blank\" rel=\"noopener\">hier<\/a>, \u00e4hnliche Erkl\u00e4rungen gibt es von der <a href=\"https:\/\/web.archive.org\/web\/20230313193237\/https:\/\/www.consilium.europa.eu\/en\/press\/press-releases\/2021\/07\/19\/declaration-by-the-high-representative-on-behalf-of-the-eu-urging-china-to-take-action-against-malicious-cyber-activities-undertaken-from-its-territory\/\" target=\"_blank\" rel=\"noopener\">EU<\/a> und weiteren Staaten wie Australien, <a href=\"https:\/\/www.gov.uk\/government\/news\/uk-and-allies-hold-chinese-state-responsible-for-a-pervasive-pattern-of-hacking\" target=\"_blank\" rel=\"noopener\">Gro\u00dfbritannien<\/a> Kanada, Japan und Neuseeland. Der Inhalt der Erkl\u00e4rung zusammengefasst:<\/p>\n<ul>\n<li><strong>Die Feststellung:<\/strong> Der Cyberangriff auf Microsoft Exchange Server durch chinesische staatlich unterst\u00fctzte Gruppen war ein r\u00fccksichtsloses, aber bekanntes Verhaltensmuster.<\/li>\n<li><strong>Die Forderung:<\/strong> Die chinesische Regierung muss diese systematische Cyber-Sabotage beenden und kann damit rechnen, zur Rechenschaft gezogen zu werden, wenn sie dies nicht tut.<\/li>\n<\/ul>\n<p>Der Angriff erm\u00f6glichte mit hoher Wahrscheinlichkeit Spionage im gro\u00dfen Stil, einschlie\u00dflich der Erlangung von personenbezogenen Daten und geistigem Eigentum. Mit dem Angriff wurde wohl eine Grenze \u00fcberschritten, wo sich die USA mit ihren Alliierten \u00fcber Konsequenzen abstimmen.<\/p>\n<blockquote><p>Axion fasst das <a href=\"https:\/\/web.archive.org\/web\/20220331234249\/https:\/\/www.axios.com\/china-cyberattacks-nato-181e71d2-7414-45f3-9463-c8b1d46392c1.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> ebenfalls zusammen. Die US-CERT-CISA hat <a href=\"https:\/\/us-cert.cisa.gov\/ncas\/current-activity\/2021\/07\/19\/us-government-releases-indictment-and-several-advisories-detailing\" target=\"_blank\" rel=\"noopener\">hier eine Zusammenfassung<\/a> des Sachverhalts und diverser Hilfestellungen ver\u00f6ffentlicht.<\/p><\/blockquote>\n<h2>Merkw\u00fcrdige Zur\u00fcckhaltung<\/h2>\n<p>In der Stellungnahme der NATO hei\u00dft es beispielsweise, dass man mit zunehmender Sorge beobachtet, dass Cyber-Bedrohungen f\u00fcr die Sicherheit des B\u00fcndnisses komplex, zerst\u00f6rerisch und zwanghaft sind und immer h\u00e4ufiger auftreten. Dies sei in j\u00fcngster Zeit durch Ransomware-Vorf\u00e4lle und andere b\u00f6swillige Cyber-Aktivit\u00e4ten deutlich geworden, die auf die kritische Infrastruktur und demokratischen Institutionen abzielen und Schwachstellen in den Hardware- und Software-Lieferketten ausnutzen.<\/p>\n<p>Die NATO verurteilt solche b\u00f6swilligen Cyber-Aktivit\u00e4ten, die darauf abzielen, die euro-atlantische Sicherheit zu destabilisieren und zu sch\u00e4digen und das t\u00e4gliche Leben der betroffenen B\u00fcrger zu st\u00f6ren. Die NATO erkl\u00e4rt sich solidarisch mit all jenen, die von den j\u00fcngsten b\u00f6swilligen Cyber-Aktivit\u00e4ten betroffen sind, einschlie\u00dflich der Kompromittierung von Microsoft Exchange Server. Solche b\u00f6swilligen Cyber-Aktivit\u00e4ten untergraben aus Sicht der NATO und der restlichen Beteiligten die Sicherheit, das Vertrauen und die Stabilit\u00e4t im Cyber-Raum.<\/p>\n<p>Die NATO nimmt die nationalen Erkl\u00e4rungen von B\u00fcndnispartnern wie Kanada, dem Vereinigten K\u00f6nigreich und den Vereinigten Staaten zur Kenntnis, in denen der Volksrepublik China die Verantwortung f\u00fcr die Kompromittierung des Microsoft Exchange Server zugeschrieben wird. Im Einklang mit dem j\u00fcngsten Kommuniqu\u00e9 des Br\u00fcsseler Gipfels ruft die NATO in ihrem Statement alle Staaten, einschlie\u00dflich China, dazu auf, ihre internationalen Zusagen und Verpflichtungen einzuhalten und im internationalen System, auch im Cyberspace, verantwortungsvoll zu handeln.<\/p>\n<p>Die NATO bekr\u00e4ftigt dabei unsere Bereitschaft, mit China einen konstruktiven Dialog auf der Grundlage der Interessen der NATO, \u00fcber Bereiche, die f\u00fcr das B\u00fcndnis von Bedeutung sind, wie Cyber-Bedrohungen, und \u00fcber gemeinsame Herausforderungen zu f\u00fchren. Was Berichterstattern auff\u00e4llt, ist die Zur\u00fcckhaltung von US-Pr\u00e4sident Biden in der Causa China. W\u00e4hrend im Fall von Russland sofort harte Schritte und Sanktionen eingeleitet wurden, die m\u00f6glicherweise auf eine Kooperation der russischen Regierung mit westlichen Staaten hinauslaufen, erkl\u00e4rt Joe Biden:<\/p>\n<blockquote><p>Ich gehe davon aus, dass die chinesische Regierung, nicht anders als die russische Regierung, dies [die Angriffe] nicht selbst ausf\u00fchren, aber diejenigen sch\u00fctzt, die es tun. Und [die Angreifer] sogar in die Lage versetzt, diese Angriffe auszuf\u00fchren.<\/p><\/blockquote>\n<p>Es erfolgt also keine direkte Beschuldigung der chinesischen Regierung, aber diese wird f\u00fcr die Angriffe verantwortlich gemacht. Die Sprecherin des Wei\u00dfen Hauses, Jen Psaki, wurde sp\u00e4ter bei ihrem t\u00e4glichen Briefing gefragt, warum Biden in seiner Antwort auf die Frage eines Reporters die chinesische Regierung nicht direkt beschuldigt habe. Deren Antwort war:<\/p>\n<blockquote><p>Das war nicht die Absicht, die er zu projizieren versucht hat. Er nimmt b\u00f6sartige Cyber-Aktivit\u00e4ten unglaublich ernst.<\/p><\/blockquote>\n<p>Reuters <a href=\"https:\/\/www.reuters.com\/technology\/us-allies-accuse-china-global-cyber-hacking-campaign-2021-07-19\/\" target=\"_blank\" rel=\"noopener\">schreibt hier<\/a>, dass sich Cyber-Experten wundern, dass neben der Flut von Erkl\u00e4rungen der westlichen M\u00e4chte, die breite Allianz repr\u00e4sentieren, jegliche Konsequenzen f\u00fcr China (\u00fcber die US-Anklage hinaus) fehlen und finden das auff\u00e4llig. Noch vor einem Monat hatte der Gipfel von G7 und NATO China gewarnt, dass die Cyber-Angriffe eine Bedrohung f\u00fcr die internationale Ordnung darstellen.<\/p>\n<p>Adam Segal, ein Cybersecurity-Experte beim Council on Foreign Relations in New York, wird von Reuters so zitiert, dass die Ank\u00fcndigung vom Montag einen \"erfolgreichen Versuch darstelle, Freunde und Verb\u00fcndete dazu zu bringen, die Aktion Peking zuzuschreiben, aber nicht sehr n\u00fctzlich ohne konkrete Folgema\u00dfnahmen.\"<\/p>\n<blockquote><p>K\u00fcrzlich hatte das Wei\u00dfe Haus unter Pr\u00e4sident Joe Biden eine Belohnung von 10 Millionen US-Dollar f\u00fcr Hinweise, die zur Identifizierung der Hinterm\u00e4nner von Ransomware-Angriffe ausgelobt f\u00fchren, ausgelobt. AP hat die Details in <a href=\"https:\/\/apnews.com\/article\/technology-joe-biden-europe-business-government-and-politics-cd21d84b5fd070421f871610b40e91d0\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> ver\u00f6ffentlicht.<\/p><\/blockquote>\n<h2>China weist die Vorw\u00fcrfe zur\u00fcck<\/h2>\n<p>Ein Sprecher der chinesischen Botschaft in Washington, Liu Pengyu, nannte die Vorw\u00fcrfe gegen China \"unverantwortlich\". Die chinesische Regierung und das zust\u00e4ndige Personal beteiligen sich niemals an Cyber-Angriffen oder Cyber-Diebstahl\", zitiert Reuters Liu.<\/p>\n<h2>Vier Chinesen angeklagt<\/h2>\n<p>Vom US-Justizministerium (Department of Justice) gibt es <a href=\"https:\/\/www.justice.gov\/opa\/pr\/four-chinese-nationals-working-ministry-state-security-charged-global-computer-intrusion\" target=\"_blank\" rel=\"noopener\">diese Erkl\u00e4rung<\/a>, in der vier chinesische Staatsangeh\u00f6rige, die Mitglieder der APT40-Hackergruppe sind und mit dem Ministerium f\u00fcr Staatssicherheit zusammenarbeiten, wegen einer globalen Kampagne zum Eindringen in Computer angeklagt werden.\u00a0 Es handelt sich aber um Anschuldigungen, die nichts mit den Hafnium-Angriffen zu tun haben, sondern es geht um das Hacken der Computersysteme von Dutzenden von Opferunternehmen, Universit\u00e4ten und Regierungsstellen in den USA und im Ausland zwischen 2011 und 2018. The Record hat in <a href=\"https:\/\/therecord.media\/us-indicts-four-members-of-chinese-hacking-group-apt40\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> die Details aufbereitet.<\/p>\n<blockquote><p>Als au\u00dfenstehender Beobachter ist es schwierig, den Spreu vom Weizen zu trennen. Es deutet sich an, dass die China zugesprochenen Cyber-Angriffe (\u00e4hnlich wie in Russland) nicht mehr so hingenommen werden. Aber man zieht aktuell noch keine Konsequenzen in Form von Handelssanktionen. Da China aber vor allem im Pazifik gegen\u00fcber Drittstaaten, auch Taiwan, milit\u00e4risch aggressiver auftritt, d\u00fcrfte das Thema Cyber-Angriffe nicht vom Tisch sein. Bez\u00fcglich Russland und dem Verschwinden der REvil Ransomware-Gruppe habe ich gestern \u00fcbrigens eine <a href=\"https:\/\/www.rnd.de\/politik\/russland-und-usa-russischer-hacker-sollen-besser-bekaempft-werden-EVU65VJLVVFKVO2OM7Q65ASDMM.html\" target=\"_blank\" rel=\"noopener\">interessante Analyse auf RND<\/a> gelesen. Es ist zwar vieles Spekulation, aber dort scheint das Fass wohl zum \u00dcberlaufen gekommen zu sein.<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/03\/exchange-server-0-day-exploits-werden-aktiv-ausgenutzt-patchen\/\">Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/06\/wichtige-hinweise-microsofts-und-des-bsi-zum-exchange-server-sicherheitsupdate-mrz-2021\/\">Wichtige Hinweise Microsofts und des BSI zum Exchange-Server Sicherheitsupdate (M\u00e4rz 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/07\/neues-zum-exchange-hack-testtools-von-microsoft-co\/\">Neues zum Exchange-Hack \u2013 Testtools von Microsoft &amp; Co.<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/08\/microsoft-msert-hilft-bei-exchange-server-scans\/\">Microsoft MSERT hilft bei Exchange-Server-Scans<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/09\/exchange-hack-neue-patches-und-neue-erkenntnisse\/\">Exchange-Hack: Neue Patches und neue Erkenntnisse<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/anatomie-des-proxylogon-hafinum-exchange-server-hacks\/\">Anatomie des ProxyLogon Hafinum-Exchange Server Hacks<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/11\/exchange-hack-neue-opfer-neue-patches-neue-angriffe\/\">Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/12\/neues-zur-proxylogon-hafnium-exchange-problematik-12-3-2021\/\">Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/gab-es-beim-exchange-massenhack-ein-leck-bei-microsoft\/\">Gab es beim Exchange-Massenhack ein Leck bei Microsoft?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/13\/proxylogon-hack-repository-fr-betroffene-exchange-administratoren\/\">ProxyLogon-Hack: Repository f\u00fcr betroffene Exchange-Administratoren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/16\/microsoft-exchange-on-premises-one-click-mitigation-tool-eomt-freigegeben\/\">Microsoft Exchange (On-Premises) one-click Mitigation Tool (EOMT) freigegeben<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/17\/exchange-server-2013-sicherheitsupdate-fr-service-pack-1\/\">Sicherheitsupdate f\u00fcr Exchange Server 2013 Service Pack 1 \u2013 Neue CUs f\u00fcr Exchange 2019 und 2016 (16.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/19\/microsoft-defender-schliet-automatisch-cve-2021-26855-auf-exchange-server\/\">Microsoft Defender schlie\u00dft automatisch CVE-2021-26855 auf Exchange Server<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/25\/exchange-proxylogon-news-patch-stand-neue-ransomware-etc-25-3-2021\/\">Exchange ProxyLogon News: Patch-Stand, neue Ransomware etc. (25.3.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/03\/30\/exchange-hafnium-hacker-kapitulieren-vor-office-365\/\">Exchange: Hafnium-Hacker kapitulieren vor Office 365<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ende Februar, Anfang M\u00e4rz 2021 kam es zu einem massiven Angriff auf Microsoft Exchange Server (siehe Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!), bei dem weltweit viele Tausend Instanzen gehackt wurden. Bereits damals wurden die Angriffe der chinesischen Hackergruppe Hafnium zugeschrieben. &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/07\/20\/usa-eu-nato-microsoft-co-beschuldigen-china-fr-hafnium-exchange-hack\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,2564,4328],"class_list":["post-255823","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-hack","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255823","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255823"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255823\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255823"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255823"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255823"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}