Krieg in der Ukraine bereitet Sorgen
Schreckgespenst Cyberangriff
Fortsetzung des Artikels von Teil 1
Lange Phase der Vorbereitung
Die Ukraine wiederum hatte nun schon mehrere Jahre Zeit, sich auf destruktive Cyberaktivitäten vorzubereiten. Ein Rückblick: Am 23.12.15 – daran erinnerten jüngst zahlreiche Security-Anbieter – stand rund der Hälfte der Einwohner der westukrainischen Regionalhauptstadt Iwano-Frankiwsk plötzlich ohne Strom da. Beobachter gehen davon aus, dass dies das Werk staatlich gestützter russischer Akteure war. „Den Angreifern gelang es, sich Fernzugriffsdaten für das Scada-Netzwerk zu verschaffen und die Kontrolle über die Steuerungen der Umspannwerke zu übernehmen, um die Leistungsschalter zu öffnen,“ berichtet Sophos. Ein ähnlicher Angriff traf am 17.12.16 die Hauptstadt Kiew. Den Angreifern gelang es in beiden Fällen aber lediglich, die Stromversorgung kurzzeitig zu stören.
Im Vorfeld der Invasion häuften sich aggressive Cyberaktionen. So entdeckte das Microsoft Threat Intelligence Center (MSTIC) Mitte Januar einen als Ransomware getarnten Wiper namens WhisperGate. Dieser rief Erinnerungen an den NotPetya-Angriff wach, der die Ukraine im Juni 2017 traf und anschließend weltweit Schäden anrichtete. Nachfolgend zielte, wie Fachleute berichteten, eine Welle von DDoS-Angriffen auf Behörden und Banken in der Ukraine. Wenig später entdeckte der Security-Anbieter Eset aus Bratislava Angriffe mit einer neuen zerstörerischen Malware namens HermeticWiper. Das Schadprogramm hatte damals laut den slovakischen Experten schon hunderte Computer in der Ukraine befallen. Der Zeitstempel der Malware – 28.12.21 – ließ laut Eset darauf schließen, dass der Angriff von langer Hand vorbereitet war.
Vor einer Eskalation der Cyberangriffe aus dem Umfeld Russlands warnte jüngst auch Costin Raiu, Leiter des Forschungsteams von Kaspersky. Das in Moskau beheimatete Unternehmen geriet schon vor Jahren in die Mühlen internationaler Konflikte und ist seither bemüht, sich als international tätiger und vor allem von Putins Regime unabhängiger Security-Anbieter zu positionieren, etwa durch einen Code-Review und die Verlagerung der Datenhaltung in die Schweiz. [Nachtrag 16.03.22: Das BSI riet jüngst vom Einsatz der Kaspersky-Software ab, allerdings offenbar allein aus politischen Befürchtungen heraus, nicht aufgrund konkreter technischer Sachverhalte.] Vor diesem Hintergrund analysierte Raius Team kürzlich in einem Webcast das digitale Angriffsgeschehen im Detail.
Die seit Februar sehr aktive Angreifergruppe Gamaredon beschrieb Raius US-Kollege Kurt Baumgarnter als „ziemlich Low-Tech“, aber zugleich „recht effektiv“. Die jüngst entdeckte Linux-Malware Cyclops Blink wiederum schrieb Raiu der Ransomware-Gruppierung Hades zu. Er erwartet, dass Cyberangriffe auf die Ukraine in den kommenden Monaten zunehmen werden. Die meisten derzeitigen Angriffe seien wenig komplex, wohl um die Attribution zu erschweren. Schließlich gebe es in Russland sehr raffiniert agierende APT-Gruppen (Advanced Persistent Threat) wie APT28 und APT29, die hier laut Raiu mitmischen werden, sofern dies nicht schon längst der Fall ist. Als konkrete Risiken nannte er Ransomware, Phishing, zielgerichtete Angriffe, Angriffe auf Software-Lieferketten, Firmware- sowie DDoS-Angriffe.
Selbst gezielte Cyberattacken können, wie das Beispiel NotPetya zeigte, schnell aus den Fugen geraten und sich unkontrolliert ausbreiten. Da die westlichen Staaten – selbst die Schweiz – auf die eine oder andere Weise für die Ukraine Partei ergriffen haben, rechnen Security-Fachleute zudem mit vermehrten Angriffen russischer Cybercrime-Akteure. So schlug sich zum Beispiel die bekannte Ransomware-Gang Conti offen auf die russische Seite, woraufhin ein wohl ukrainisches oder Ukraine-nahes Bandenmitglied Interna der kriminellen Organisation leakte – ein interessanter Nebenkriegsschauplatz.
- Schreckgespenst Cyberangriff
- Lange Phase der Vorbereitung
- Abstrakt erhöhte Bedrohungslage
Lesen Sie mehr zum Thema
