„Zweiwöchige Blitzaktion. Einundzwanzig große Energieunternehmen. Vom Staat gesponserte Hacker. ‚Vorab-Positionierung‘. Dies ist eindeutig ein Warnschuss, der den USA sagen soll: ‚Wir wissen, wo ihr wohnt, und wir haben einen Schlüssel zu eurem Haus.‘ Erwarten Sie, dass das nächste große Ereignis ein massiver Cyberangriff sein wird, der die amerikanische Infrastruktur lahmlegt.“ – Patrick M. Wood
Mitte Februar verschafften sich laut Recherchen, die Bloomberg News exklusiv vorliegen, Hacker Zugang zu Computern aktueller und ehemaliger Mitarbeiter von fast zwei Dutzend großen Erdgasversorgern und -exporteuren, darunter Chevron Corp., Cheniere Energy Inc. und Kinder Morgan Inc..
Die Angriffe zielten auf Unternehmen ab, die mit der Produktion von verflüssigtem Erdgas (LNG) zu tun haben, und sie waren die erste Phase eines Versuchs, einen zunehmend kritischen Sektor der Energiewirtschaft zu infiltrieren, so Gene Yoo, Geschäftsführer der in Los Angeles ansässigen Firma Resecurity Inc, die die Operation aufdeckte. Die Vorfälle ereigneten sich am Vorabend des russischen Einmarsches in der Ukraine, als die Energiemärkte bereits durch Lieferengpässe erschüttert waren.
Die Ermittlungen von Resecurity begannen letzten Monat, als die Forscher des Unternehmens eine kleine Anzahl von Hackern entdeckten, darunter einen, der mit einer Welle von Angriffen auf europäische Organisationen im Jahr 2018 in Verbindung gebracht wurde, die Microsoft Corp. Strontium zuschrieb, dem Spitznamen des Unternehmens für eine Hackergruppe, die mit dem russischen Militärgeheimdienst GRU in Verbindung steht.
Die Hacker wollten im Dark Web viel Geld für den Zugang zu PCs von Mitarbeitern großer Erdgasunternehmen in den USA zahlen, die als Hintertür in die Unternehmensnetzwerke genutzt wurden, so Yoo. Die Forscher machten die Server der Hacker ausfindig und fanden eine Schwachstelle in der Software, die es ihnen ermöglichte, Dateien von den Rechnern zu erhalten und zu sehen, was die Angreifer bereits getan hatten, so Yoo.
Einige dieser Dateien wurden Bloomberg zur Verfügung gestellt und bieten einen seltenen Einblick in eine Live-Hacking-Operation. Sie zeigen, dass sich die Angreifer im Februar in einem zweiwöchigen Blitzangriff Zugang zu mehr als 100 Computern aktueller und ehemaliger Mitarbeiter von 21 großen Energieunternehmen verschafften. In einigen Fällen infizierten die Hacker die Zielcomputer selbst, in anderen kauften sie Zugang zu bestimmten Computern, die bereits von anderen infiziert worden waren, und boten bis zu 15.000 Dollar für jeden einzelnen, so Yoo.
Das Motiv für die Operation ist nicht bekannt, aber der Zeitpunkt fällt mit den allgemeinen Veränderungen in der Energiewirtschaft zusammen, die durch den Krieg gegen Russland beschleunigt wurden. Yoo sagte, er glaube, dass der Angriff von staatlich gesponserten Hackern durchgeführt wurde, lehnte es aber ab, weiter zu spekulieren.
Yoo beschrieb das Vorgehen der Hacker als „Pre-Positioning“, d. h. als Nutzung der gehackten Rechner als Sprungbrett in geschützte Unternehmensnetzwerke. Für diese Art von Operationen können die Computer ehemaliger Mitarbeiter genauso wertvoll sein wie die der aktuellen Mitarbeiter, da viele Unternehmen zu langsam sind oder es versäumen, den Fernzugriff zu sperren, wenn jemand das Unternehmen verlässt, sagte er.
LNG ist eine Form von supergekühltem Kraftstoff, der per Tanker fast überall auf der Welt verschifft werden kann. Die Nachfrage ist in den letzten Monaten angesichts der knappen Brennstoffvorräte für den Winter und der Vorbereitung des russischen Einmarsches in der Ukraine am 24. Februar, der den Energiemarkt in Aufruhr versetzte und Deutschland und andere europäische Länder, die von russischem Gas abhängig sind, dazu veranlasste, nach Alternativen zu suchen, stark angestiegen. In den Monaten vor dem Einmarsch wurden die USA zum weltweit größten LNG-Lieferanten, und fast zwei von drei Ladungen, die von ihren Küsten ausgingen, waren für das erdgashungrige Europa bestimmt.
Deutschland, der größte Erdgasmarkt in Europa, hat als Reaktion auf den Einmarsch Russlands erklärt, dass es den Bau von zwei LNG-Importterminals beschleunigt. Dies ist eine wichtige Änderung, da Deutschland zum ersten Mal LNG importieren wird. Deutschland hat auch das Zertifizierungsverfahren für die Nord Stream 2-Pipeline gestoppt, ein System von Erdgasleitungen aus Russland, das bereits fertiggestellt, aber noch nicht in Betrieb ist.
Lesen Sie mehr: Deutschland kauft LNG im Wert von 1,7 Milliarden Dollar, da der Krieg die Versorgung bedroht
Es ist nicht klar, ob die Angriffe in direktem Zusammenhang mit der Invasion in der Ukraine stehen, aber Resecurity sagte, dass die Hacks etwa zwei Wochen vor der Invasion begannen, nachdem US-Beamte die Betreiber kritischer Infrastrukturen aufgefordert hatten, sich für russische, staatlich gesponserte Angriffe zu sensibilisieren.
„Die jüngsten Spannungen rund um Nord Stream 2, globale Marktveränderungen sowie der Konflikt in der Ukraine sind offensichtliche Katalysatoren“, so Yoo.
Bei den infizierten Rechnern handelt es sich offenbar um eine Mischung aus privaten und unternehmenseigenen Computern. Yoo sagte, dass die Unterscheidung mit der Zunahme der Fernarbeit im Wesentlichen bedeutungslos geworden ist, da Hacker die Möglichkeit haben, virtuelle private Netzwerkverbindungen in Unternehmensnetzwerke zu kapern.
Laut den von Resecurity vorgelegten Dokumenten gehören zu den Unternehmen, deren Beschäftigte betroffen waren, die in Houston ansässige Cheniere Energy, der größte US-Exporteur von LNG; Chevron mit Sitz in San Ramon, Kalifornien, ein großer Ölproduzent, der auch das Gorgon LNG-Exportterminal in Australien besitzt und betreibt; EQT Corp. mit Sitz in Pittsburgh, Pennsylvania, Pittsburgh, Pennsylvania, der größte Erdgasbohrer und -produzent in den USA, und Kinder Morgan mit Sitz in Houston, der größte Erdgaspipeline-Betreiber in den USA und Betreiber des LNG-Exportterminals Elba Island in Georgia.
Bei Kinder Morgan zeigten die Daten sieben aktuelle und ehemalige Mitarbeiter, deren Computer gehackt wurden und auf die im Rahmen dieser Kampagne zugegriffen wurde, und deren Firmen-E-Mail-Adressen und Passwörter gestohlen wurden. Ein Unternehmenssprecher sagte: „Wir haben bestätigt, dass die meisten dieser E-Mails ehemaligen Mitarbeitern zugewiesen wurden. Die wenigen, die noch aktuell sind, wurden nicht kompromittiert. Das Unternehmen lehnte es ab, weitere Fragen zu beantworten.
Bei Chevron waren es nach Angaben von Resecurity 45 Personen. Chevron lehnte es ab, spezifische Fragen zu beantworten. Eine Sprecherin sagte: „Chevron nimmt die Bedrohung durch böswillige Cyber-Aktivitäten sehr ernst. Wir haben die Empfehlungen der US-Regierung in unsere Cybersicherheitsvorkehrungen zum Schutz der Computerumgebung von Chevron umgesetzt.“
Auf einer Investorenkonferenz am 1. März sagte der Vorstandsvorsitzende von Chevron, Mike Wirth, dass Cyberangriffe das größte Risiko für das Unternehmen darstellen. „Es ist eine nicht enden wollende Herausforderung da draußen“, sagte er. „Wir befinden uns derzeit in einem Umfeld mit hohem Risiko, was Cyberangriffe angeht, und wir sind in einer Branche tätig, die für böswillige Akteure ein hochrangiges und wertvolles Ziel darstellt. Kurzfristig würde ich daher sagen, dass dies das Risiko ist, das mir am meisten Sorgen bereitet.“
Cheniere lehnte eine Stellungnahme ab. Ein EQT-Sprecher antwortete nicht auf Nachrichten. Chief Executive Officer Toby Rice sagte jedoch am Montag gegenüber Bloomberg TV, dass die gegen das Unternehmen gerichteten Cyberattacken seit Beginn der Invasion „erheblich“ zugenommen hätten.
Die Angriffe kommen zu einer Zeit, in der das FBI und andere Bundesbehörden in höchster Alarmbereitschaft sind. Das Internet Crime Complaint Center des FBI hat in den letzten sechs Jahren Dutzende von Warnungen herausgegeben, die Angriffe Russlands und anderer staatlich unterstützter Hacker auf Ziele wie die Öl- und Gasindustrie dokumentieren. Die Behörde ist besorgt über die Zunahme der Angriffe nach dem Einmarsch Russlands in der Ukraine, sagte Jason Leigh, Special Agent der Cyber-Taskforce des FBI Houston.
„An einem normalen Tag vor der Invasion könnte es in den USA zu Angriffen seitens russischer Einrichtungen kommen“, sagte Leigh. „Wir erwarten, dass die Invasion in Bezug auf das Volumen oder die Anzahl der Angriffe und die Art der Angriffe eskalieren könnte“.
In den Dateien, die Bloomberg zur Verfügung gestellt wurden, sind alle Opfer der Hackergruppe aufgeführt. Zu den Informationen gehören die E-Mail-Adressen und Passwörter der Unternehmen sowie die Internetadressen der infizierten Computer, auf die die Hacker zugreifen können. Viele Opfer sind Angestellte der mittleren Ebene in Berufen, die von Informatikern und Ingenieuren für Kontrollsysteme bis hin zu Wissenschaftlern und Managern reichen, wie aus den Dokumenten hervorgeht.
Anmerkung: Die beschriebenen Ereignisse folgen mit verblüffender Genauigkeit dem „Cyber Polygon“-Szenario:
Nach der Virus-Simulation „Event 201“ im Jahr 2019 plant das WEF nun die Simulation einer „Cyber-Pandemie“ für Juli 2021..hier zu finden.