Eternal Blue: Geklautes NSA-Programm wird für Ransomware-Hacks auf US-Städte genutzt

Eternal Blue erweist sich als mächtiges Exploit-Tool, das aufgrund nicht gepatchter Rechner auch zwei Jahre nach der Veröffentlichung brandgefährlich bleibt. Die NSA hüllt sich derweil in Schweigen.

Die 600.000-Einwohner-Stadt Baltimore in den USA wird seit drei Wochen von Hackern erpresst. Nach einem Angriff und der erfolgreichen Installation von Ransomware sind tausende Verwaltungs-Computer unbrauchbar geworden. Ohne Zugriff auf E-Mail-Konten, Rechnungen, Formulare und Anträge ist das öffentliche Wesen praktisch zum Stillstand gekommen.

Zum Schaden des Angriffs kommt jetzt auch noch ein handfester Skandal: Wie die New York Times berichtet, wurde für den Angriff auch eine Software verwendet, das ursprünglich vom US-Geheimdienst NSA entwickelt wurde. „Eternal Blue“, so der Name des Tools, wurde bereits 2017 geleakt und seitdem in mehreren Angriffen in Nord Korea, Russland und China nachgewiesen, wo es großen Schaden verursachte.

Mit Baltimore taucht Eternal Blue jetzt auch in den USA selbst auf und laut Aussagen mehrerer Sicherheitsexperten ist die Stadt an der Ostküste längst nicht mehr das einzige amerikanische Ziel. Berichten zufolge wurden Angriffe mit Eternal Blue auch in Dallas, San Antonio, Los Angeles und New York registriert. Microsoft könnte eine genauere Analyse geben, beantwortet Anfragen mit Hinweis auf den Datenschutz aber nicht.

NSA informierte Microsoft nicht über die Lücken

Die NSA ist derweil unter starkem Beschuss: Vor zwei Jahren wurde das Tool von einer Hacker-Gruppe namens Shadow Brokers gestohlen und seitdem herrscht beim Geheimdienst Funkstille. Fragen bezüglich Eternal Blue werden nicht beantwortet und es konnte bislang nicht einmal ermittelt werden, ob der Diebstahl ein Insider-Job war oder von außen kam.

Eines ist aber sicher: Der Exploit, den Eternal Blue benutzt, ist extrem wirkungsvoll. Seit der Veröffentlichung im April 2017 wird das Tool erfolgreich für Angriffe verwendet. Die Ziele reichen von Flughäfen über Fabriken bis hin zu Geldautomaten – die Schäden liegen im Millionenbereich.

Ehemalige NSA-Mitarbeiter bestätigen diesen Eindruck: Weil das Tool so wirkungsvoll war, haben es die NSA-Mitarbeiter gar nicht in Betracht gezogen, Microsoft über die Windows-Lücken zu informieren. Erst der Diebstahl von Eternal Blue selbst zwang sie zum Handeln.

Der Fall in Baltimore ist letztlich eine klassische Ransomware-Attacke, bei der die Erpresser 100.000 US-Dollar in Bitcoin verlangen. Die Stadt weigert sich aber vehement, den Betrag zu bezahlen. Man ist sich zudem einig, dass der Angriff ohne Eternal Blue nie so umfassend ausgefallen wäre. Einzelne Rechner oder Server zu hacken kommt vor, aber eine ganze Stadtverwaltung zu infizieren, benötigt sehr intelligente Werkzeuge.

Updates hätten Hack verhindert

Dabei wäre der Hack wohl durch das Patchen der Windows-Rechner zu verhindern gewesen, denn Microsoft veröffentlichte schon kurz nach dem Leak ein Update. Wie sich zeigt, sind diese Updates aber in vielen Fällen nie installiert worden.

Typische Verwaltungs-Behörden besitzen zahllose IT-Systeme und setzen Computern mit alter Software ein, die teils Jahrzehnte verwendet wird. Man kann nachvollziehen, warum es für Systemadministratoren oft nicht einfach ist, alle Rechner aktuell zu halten.

Die NSA ist sich keiner Schuld bewusst

Der ehemalige Leiter der NSA vergleicht in einem Interview die Verwendung von Eternal Blue durch Hacker derweil mit einem Pick-Up-Truck von Toyota, der für einen Terror-Angriff benutzt wird. In diesem Fall würde schließlich auch keiner auf die Idee kommen, Toyota die Schuld dafür zu geben. Zahlreiche Gegenstimmen weisen allerdings darauf hin, dass man eine Exploit-Software nicht mit einem Auto vergleichen kann.