Das Ziel: die Beschaffung sensibler nachrichtendienstlicher Informationen für den chinesischen Staat.
Technische Details: Die Schwachstellen hinter dem Hafnium-Angriff
Der hochentwickelte Cyberangriff nutzte vier spezifische Sicherheitslücken, die gemeinsam als ProxyLogon bekannt wurden und in Kombination äußerst gefährlich waren. Zunächst wurde eine Server-Side Request Forgery-Schwachstelle (CVE-2021-26855) ausgenutzt, um die Authentifizierung zu umgehen und Administrator-Zugriff zu erlangen. Anschließend ermöglichte ein Fehler im Unified Messaging-Dienst (CVE-2021-26857) die Fernausführung von Code.
Zwei weitere Schwachstellen beim Schreiben von Dateien (CVE-2021-26858 und CVE-2021-27065) ermöglichten die Installation von Webshells – kleinen, bösartigen Skripten, darunter das berüchtigte "China Chopper"-Tool, das den Angreifern dauerhaften Backdoor-Zugang verschaffte. Ein kritischer Faktor: Die Angriffe konnten über den Standard-HTTPS-Port 443 durchgeführt werden, was sie praktisch nicht von legitimer, verschlüsselter Internetkommunikation unterscheidbar machte.
Früher Januar 2021: Hafnium stiehlt E-Mail-Postfächer
Logdatenanalysen von Sicherheitsfirmen zeigen, dass die frühen Phasen des Angriffs bereits am 6. Januar 2021 begannen. Hafnium konzentrierte sich darauf, komplette E-Mail-Postfächer von sorgfältig ausgewählten, hochrangigen Zielen zu exfiltrieren – primär in den USA und Europa. Dies stellte einen massiven Datendiebstahl dar.
Microsoft wurde am 5. Januar 2021 über die Schwachstellen informiert. Die Sicherheitsupdates wurden jedoch erst am 2. März 2021 veröffentlicht – etwa zwei Monate später.
Das Patch-Paradoxon: Microsofts Update löst Angriffseskalation aus
Die Veröffentlichung der Sicherheitsupdates löste paradoxerweise eine unerwartete Eskalation aus. Sowohl Sicherheitsforscher als auch andere kriminelle Gruppen begannen sofort, die nun öffentlich bekannten Schwachstellen zu analysieren und für eigene Zwecke zu nutzen. Was als gezielte Spionagekampagne einer staatlichen Hackergruppe begann, entwickelte sich binnen Tagen zu einem globalen Sicherheitsnotstand.
Kriminelle Banden erkannten das Potenzial und begannen massenhaft ungepatchte Exchange-Server anzugreifen – nicht mehr für Spionage, sondern zur Installation von Ransomware und Kryptominern. Die Zahl der kompromittierten Server explodierte von anfänglich einigen tausend auf schätzungsweise über 250.000 weltweit.
Globale Auswirkungen und Reaktionen
Die Hafnium-Attacke traf Organisationen aller Größenordnungen. Besonders betroffen waren kleinere Unternehmen und lokale Behörden, die oft nicht über die Ressourcen für schnelle Sicherheitsupdates verfügten. In Europa meldeten Tausende Organisationen Kompromittierungen, in den USA erklärte die Cybersecurity and Infrastructure Security Agency (CISA) den Vorfall zu einem nationalen Sicherheitsnotstand.
Die Langzeitfolgen waren erheblich: Viele Organisationen mussten ihre gesamte Exchange-Infrastruktur neu aufbauen, da die installierten Hintertüren selbst nach dem Patchen persistierten. Der wirtschaftliche Schaden wurde auf mehrere Milliarden Dollar geschätzt.
Attribution und diplomatische Konsequenzen
Im Juli 2021 machten die USA, die Europäische Union und weitere Verbündete China offiziell für die Hafnium-Angriffe verantwortlich. Die koordinierte Attribution war ungewöhnlich deutlich und beschuldigte das chinesische Ministerium für Staatssicherheit direkt. China wies alle Vorwürfe zurück und bezeichnete sie als politisch motiviert.
Der Vorfall markierte einen Wendepunkt in der internationalen Cybersicherheitspolitik und verdeutlichte die wachsende Bedrohung durch staatlich gesteuerte Hackergruppen, die kritische Infrastrukturen weltweit ins Visier nehmen.
