US-Atomaufsichtsbehörde in den letzten drei Jahren dreimal gehackt

Erfolgreich waren Phishing-Mails, die zur Kontenverifizierung aufforderten und zu einer "cloudbasierten Google-Tabelle" führten. Spearphishing verwies auf Malware, die auf Microsoft Cloudspeicherdienst gehostet wurde. Zwei Angriffe gingen von Ländern aus, die im Bericht der internen Behördenermittler nicht genannt wurden.

Die US-Atomaufsichtsbehörde wurde in den vergangenen drei Jahren dreimal Opfer von erfolgreichen Hackerangriffen. Zwei Hacks erfolgten aus anderen Ländern, während der dritte Angreifer nicht identifiziert werden konnte. Das geht aus einem Bericht über interne Ermittlungen hervor, den Nextgov unter Berufung auf das Informationsfreiheitsgesetz FOIA (Freedom of Information Act) anforderte.

newsfdhacking_270x193

Die Nuclear Regulatory Commission (NRC) ist für die Sicherheit kommerzieller Kernkraftwerke, die Verwendung nuklearer Materialien sowie die Entsorgung radioaktiven Abfalls verantwortlich. Sie führt Datenbanken über Nukleareaktoren, die auch Details über ihren Zustand enthalten. Anlagen, die mit waffenfähigem Nuklearmaterial umgehen, müssen ihre Lagerbestände in ein System der Aufsichtsbehörde einpflegen.

Bei einem Zwischenfall erhielten rund 215 NRC-Mitarbeiter E-Mails, in denen sie aufgefordert wurden, ihre Konten durch den Klick auf einen Link und das Einloggen zu verifizieren. Der Link führte sie tatsächlich zu einer „cloudbasierten Google-Tabelle“ – und ein Dutzend Behördenmitarbeiter ließ sich darauf ein. Die Ermittler konnten den Ersteller der Tabelle einem anderen Land zuordnen, das sie in ihrem Bericht aber nicht nannten.

Ein weiterer Angriff gelang durch Spearphishing-Mails, die eigens für die jeweiligen Empfänger formuliert waren. Eine eingebettete URL in diesen E-Mails verwies zu Malware, die auf Microsofts Cloudspeicherdienst SkyDrive – inzwischen umbenannt in OneDrive – gehostet wurde. Die behördlichen Ermittler führten auch diesen Hack auf einen ausländischen Angreifer zurück, ohne das Land zu identifizieren.

In einem weiteren Fall wurde das persönliche E-Mail-Konto eines NRC-Mitarbeiters kompromittiert und anschließend Malware an 16 Kollegen in seiner Kontaktliste versandt. Einer von ihnen öffnete die angehängte PDF-Datei, was zur Infektion seines Systems durch Ausnutzung einer JavaScript-Schwachstelle führte. Die Spur des Angreifers verlor sich, da der Internet Service Provider die fraglichen Aufzeichnungen bereits gelöscht hatte.

Die Angriffe gelangen, obwohl alle Mitarbeiter der Atomaufsichtsbehörde verpflichtet sind, jährlich ein vollständiges „Cyber-Training“ zu absolvieren. Dieser Kurs klärt sie über Phishing, Spearphishing und weitere Methoden auf, mit denen Angreifer Zugang zum Behördennetzwerk erlangen könnten. „Die NRC-Abteilung für Computersicherheit erkennt und wehrt die allermeisten Versuche dieser Art ab“, versicherte Behördensprecher David McIntyre. Ihm zufolge wurden „die wenigem im Bericht der Cybercrime-Einheit dokumentierten Versuche, bei denen Angreifer in gewissem Maße Zugang zu NRC-Netzwerken bekamen, erkannt und daraufhin entsprechende Maßnahmen eingeleitet“.

[mit Material von Seth Rosenblatt, News.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Hacker, Phishing, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu US-Atomaufsichtsbehörde in den letzten drei Jahren dreimal gehackt

Kommentar hinzufügen
  • Am 19. August 2014 um 16:53 von Stefan Musil

    …click auf einen Link in einer E-Mail…
    Alles klar… Da fragt man sich echt auf welchem Planeten die Sicherheit wohnt…

    Das hat doch nun inzwischen selbst der einfachste seiner Art begriffen das das nicht geht… Aber das ist ja nur die Userseite. Vielmehr muss man sich fragen warum in einem Unternehmen mit solcher Sicherheitsstufe überhaupt Mails mit aktiven Inhalten zugelassen sind…

    Wenn man so etwas liest, dann reicht die Gänsehaut für die nächsten zwei Wochen…

  • Am 20. August 2014 um 5:46 von Judas Ischias

    Ein jährliches, vollständiges „Cyber-Training“ absolviert und trotzdem so „ahnungslos“? ;-(
    Einfach nur erschreckend. Und solche Leute sitzen auch bei uns in Deutschland an wichtigen Stellen.
    Aber irgendwie auch nicht verwunderlich. Ich habe mich vor einigen Tagen mit 3 Studenten unterhalten, von denen keiner wusste was ein Update für ihr Smartphone ist, wie man es bekommt und installiert. Dass die Typen dann auch gar nicht wussten welches Betriebssystem auf den Geräten ist, habe ich mir dann aber doch schon gedacht. Aber Hauptsache ein Samsung oder HTC.;-)
    Solche desinterissierten Leute gibt es eben überall, die kommen irgendwann und irgendwie auch auf solche wichtigen Stellen.
    Sie „schlafen“ sich bei den vorgesehenen Schulungen durch die Unterrichtsstunden und dann passieren genau diese beschriebenen Szenarien.

    • Am 20. August 2014 um 9:55 von hugo

      Es gibt wichtigeres im Leben als Internet, PC oder Smartphone, das sollten wir alle nicht vergessen.
      ABER klar, bei so einer Firma, bei so einer Verantwortung sollten solche Vorfälle mit Abmahnung geahndet werden, jedes Jahr Kurse und trotzdem tappen die in solche Idiotenfallen.
      Es gibt einfach Jobs bei denen man lieber 10x Rückfragen muss bevor man einen Fehler macht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *