Einen Fahndungserfolg im Fall der 2020 und 2021 weltweit durchgeführten Angriffe auf Microsoft Exchange Server meldet das US-Justizministerium: Italien hat demnach den chinesischen Staatsbürger Xu Z. in Mailand verhaftet. Die USA streben seine Auslieferung an. Eine am Dienstag veröffentlichte US-Anklage wirft dem 33-Jährigen sowie seinem 44 Jahre alten Landsmann vor, in die Angriffswelle involviert gewesen zu sein. Ebenfalls angeklagt sind zwei namentlich noch nicht genannte Spione der Volksrepublik, die die beiden Täter geführt haben sollen.

Dabei sollen sie zwar bei einem chinesischen Unternehmen angestellt gewesen sein, tatsächlich aber im Auftrag der chinesischen Staatssicherheit gehandelt haben. Ziel der Angriffe auf die Exchange-Server sei die Ausspähung von Forschungsergebnissen zum Coronavirus gewesen sein, das die weltweite COVID-19-Pandemie verursacht hat. Die Vorwürfe sind bislang unbewiesen, für die beiden Angeklagten gilt die Unschuldsvermutung.

Die Angriffswelle

Die zielgerichteten Angriffe gegen Universitäten, Immunologen und Virologen haben laut Anklageschrift bereits im Februar 2020 begonnen. Ende 2020 begannen die Täter damit, damals noch unbekannte Sicherheitslücken in Microsoft Exchange Server auszunutzen, um dort einzudringen und dauerhafte Hintertüren zu installieren (Advanced Persistant Threats, APT). Anfang Januar 2021 bemerkte die Sicherheitsfirma Volexity Angriffe auf Exchange-Server. Noch bevor Microsoft die Lücken stopfen konnte, wurden die Angriffe Ende Februar 2021 verstärkt und gingen in die Breite, um möglichst viele Systeme mit einer Hintertür versehen zu können.

Als Microsoft Anfang März 2021 Sicherheitsupdates veröffentlichte, wurden die Angriffe ein weiteres Mal verstärkt. Offenbar wollten sich die Angreifer noch schnell in möglichst vielen Systemen verankern, bevor die Lücken geschlossen wurden. Die Angriffe trafen in den USA Behörden, Rüstungskonzerne, Forschungseinrichtungen, die an Covid-19 forschen, sowie weitere Unternehmen.

Mehr als 100.000 Exchange-Server sollen in den USA betroffen gewesen sein, in Deutschland mehrere Zehntausend. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ging davon aus, dass alle Exchange-Systeme, die nicht abgesichert waren, mit einer Hintertür infiziert wurden. Weltweit sollen nach Schätzung des britischen Außenministeriums und des National Cyber Security Centers mehr als eine Viertelmillion Server kompromittiert worden sein.

Die Anklage

Die Tätergruppe wurde in IT-Sicherheitskreisen als Hafnium bekannt. Bereits 2021 machten die USA, die Europäische Union und andere damals verbündete die Volksrepublik China als Drahtzieher aus. Peking stellte die Vorwürfe in Abrede.

Juristisch enthält die Anklage neun Anklagepunkte. Vorgeworfen werden absichtliche Beschädigung geschützter Computer, Erlangung von Information durch nicht autorisierten Zugriff auf geschützte Computer, schwere Identitätsanmaßung, Betrug unter Verwendung von Telekommunikation, sowie jeweils Verschwörung dazu. Verschwörungen sind leichter nachzuweisen, weil es dabei nicht darauf ankommt, welches Mitglied einer Tätergruppe tatsächlich welchen Aspekt des Tatbildes verwirklicht oder zu verantworten hat. Entscheidend ist lediglich die rechtswidrige Mitwirkung.

Das Verfahren ist am US-Bundesbezirksgericht für das südliche Texas unter dem Az. 4:23-cr-00523 anhängig.

(ds)

TikTok soll eine eigenständige App für den US-amerikanischen Markt bekommen – und mit dieser Abspaltung dem drohenden Verbot entgehen. Das berichtet das US-Magazin „The Information“ unter Berufung auf interne Quellen. Demnach habe TikTok den Plan, eine separate US-Version bereits ab dem 5. September zum Download anzubieten. Für den Umstieg hätten US-Nutzer:innen dann Zeit bis März 2026. Der interne Name der App sei „M2“.

Eine kurzfristige Anfrage von netzpolitik.org ließ die deutsche Pressestelle von TikTok unbeantwortet. Mit der geplanten Abspaltung der geschätzt 170 Millionen US-Nutzer:innen könnte der seit Jahren schwelende Streit um die Rolle von TikTok in den USA ein Ende finden. US-Präsident Donald Trump hat zuletzt auf einen Verkauf des US-Geschäfts an US-Investoren gedrängt, die Frist dafür jedoch mehrfach verlängert.

TikTok Sperre schon lange in Planung

Bereits in seiner ersten Amtzseit, im Juli 2020, hatte Donald Trump das Vorhaben geäußert, die Kurzvideo-Platfform TikTok in den USA sperren zu lassen. Das Vorhaben wurde unter Joe Biden weitergeführt. Im Frühjahr 2024 entschieden das Repräsentantenhaus und der Senat, TikTok müsse entweder an US-amerikanische Investoren verkauft oder gesperrt werden.

Als zentrales Argument für das Vorgehen gegen TikTok wird seit Jahren die nationale Sicherheit genannt: Demnach könnten Daten von US-Nutzer:innen über den Mutterkonzern ByteDance auf Anordnung in die Hände chinesischer Behörden fließen. Zugleich passt das öffentlichkeitswirksame Vorgehen gegen eine aus China stammende Plattform ins nationalistische und rechtspopulistische Programm der Trump-Regierung.

Andererseits profitieren Donald Trump und die republikanische Partei von TikTok, weil sie über die Plattform ein großes Publikum erreichen. Zuletzt hat die Trump-Regierung signalisiert, dass ein Verkauf des US-Geschäfts von TikTok kurz bevorstehe.

TikTok ist bereits ein Klon

Mit einer separaten TikTok-App hätten die zunehmend autoritär regierten USA eine weitere Gemeinsamkeit mit China – denn auch dort gibt es eine separate TikTok-Version namens Douyin. Die chinesische Plattform kam allerdings zuerst; den Ableger TikTok brachte Mutterkonzern ByteDance erst für den internationalen Markt an den Start. Im Jahr 2017 kaufte ByteDance schließlich die international populäre Kurzvideo-App musical.ly, um sie mit TikTok zu verschmelzen. Seitdem ist TikTok zu einer der einflussreichsten Social-Media-Plattformen aufgestiegen.

Auch wenn sich Douyin und TikTok ähneln, ihre Inhalte sind getrennt. Das heißt, Nutzer:innen auf TikTok können nicht auf Videos auf Douyin zugreifen und umgekehrt. Wie genau jedoch eine Trennung zwischen TikTok und einem möglichen US-Klon aussehen soll, ist bislang nicht bekannt.

In der Windows-Version des Shooters „Call of Duty WW2“ lauert offenbar eine schwere Sicherheitslücke. Wie mehrere Spieler mittels Videoaufzeichnung zeigten, scheinen Unbekannte einen Weg gefunden zu haben, Schadcode auf den Windows-PCs ihrer Mitspieler auszuführen. Betroffen ist wohl die in Microsofts Game Pass enthaltene Version des 2017 erschienenen Shooters. Onlinespiele sind nicht mehr möglich, das weitere Vorgehen unklar.

Kurze Videos zeigen, wie eine blutige Spielszene vor Weltkriegskulisse plötzlich pausiert und zwei Fenster auf dem Bildschirm erscheinen: Zuerst die typische Transferanzeige des Kommandozeilen-Downloadprogramms cURL, wenige Sekunden später ein weiteres Kommandozeilenfenster und dann der Windows-Editor Notepad: „Marc E Mayer just RCEd your ass please contact Mitchell Silberberg and Knupp LLP“, besagt die Botschaft des mutmaßlichen Angreifers auf dem PC des Opfers.

RCE steht für „Remote Code Execution“, also Codeausführung aus der Ferne. Und genau das ist hier offenbar passiert: Über eine im Spielclient enthaltene Sicherheitslücke konnte ein Spieler offenbar Schadcode auf den PC seines Mitspielers schleusen. Die kurze Botschaft ist möglicherweise eine Protestnote an Activisions Adresse. Bei „Mitchell Silberberg & Knupp LLP“ handelt es sich um eine US-Anwaltskanzlei, die Activision in der Vergangenheit vertreten hat – und zwar unter anderem gegen den deutschen Cheat-Anbieter EngineOwning. Marc E. Mayer ist ein Partner jener Kanzlei, der Activision in vielerlei juristischen Auseinandersetzungen gegen Bot-Hersteller, Anbieter privater Multiplayer-Server und Konkurrenzunternehmen repräsentierte.

Microsoft und Activision haben mehreren Berichten zufolge, unter anderem bei Rock Paper Shotgun, die Server offline genommen. Wir haben das getestet und konnten das Spiel installieren und starten – der Versuch, einer Online-Partie beizutreten, blieb jedoch ebenso erfolglos wie der Versuch, ein lokales Match zu starten. Auch eine Anfrage bei der Microsoft-Pressestelle blieb kurzfristig unbeantwortet. Wir werden diese Meldung gegebenenfalls aktualisieren.

Auch im Steam-Forum zu Call of Duty: WW2 sammeln sich erste Betroffene. In Rezensionen warnen Spieler davor, die Online-Version zu starten und raten Opfern zu Malware-Scans. Die Steam-Version hat ihr letztes Update im Jahr 2020 erfahren.

Klassiker mit gut abgehangener CoDebasis

Ob Activision vor der Wiederveröffentlichung noch Aktualisierungen und Fehlerbehebungen bei „COD:WW2“ vorgenommen hat, ist unklar. Somit ist nicht auszuschließen, dass auch andere Versionen des acht Jahre alten Spiels betroffen sind. Die Codebasis scheint gut abgehangen, denn das letzte Update für die herkömmliche PC-Version außerhalb des Microsoft-Pauschalangebots erschien offenbar im Jahr 2018. Das verrät eine Archivkopie der entsprechenden Activision-Produktseite. Das dort erwähnte „Attack of the Undead Community Event“ fand im Mai 2018 statt.

Kürzlich wandte sich ein Games-Lobbyverband, dem auch Microsoft angehört, gegen eine Petition zur Erhaltung von Spielen – die geforderte Nachhaltigkeit mache Spiele unwirtschaftlich. Die Lobbyisten führen unter anderem die Haftbarkeit für illegale Inhalte an. Dennoch sah Activision offenbar keine Probleme darin, ein fehlerhaftes Spiel erneut auf die Spielerschaft loszulassen.

(cku)