Es soll noch immer Leute geben, selbst Fachleute, die Russlands staatliche Elitehacker unterschätzen.
Aber nur weil es seit Beginn des verbrecherischen Angriffskrieges gegen die Ukraine verhältnismässig ruhig geblieben ist an der digitalen Front, sollten wir uns nicht in falscher Sicherheit wiegen. Dies zeigt ein Bericht, den die zum Google-Konzern Alphabet gehörende IT-Sicherheitsfirma Mandiant in der letzten Woche publiziert hat (siehe Quellen).
Das ernüchternde Fazit der IT-Spezialisten: Unbemerkt von der Öffentlichkeit entwickelt Russland seine offensiven Cyber-Fähigkeiten weiter und testet die Durchschlagskraft der Angriffswerkzeuge unter realen Bedingungen.
Die dem russischen Militärgeheimdienst GRU zugeordnete Einheit 74455, bekannt als Sandworm, hat zum dritten Mal erfolgreich das Stromnetz der Ukraine sabotiert. Der Angriff erfolgte im Oktober 2022 und wurde seitens Ukraine und ihrer westlichen Verbündeten lange geheim gehalten.
Nun hat Mandiant das Schweigen gebrochen.
Sandworm sei nach wie vor die weltweit einzige Hackergruppe, die mit Cyberangriffen jemals Stromausfälle ausgelöst habe, hält der Techjournalist Andy Greenberg («Wired») fest. Er befasst sich seit Jahren mit Russlands Elitehackern und hat 2019 ein spannendes Buch zu Sandworm publiziert.
Greenberg ruft in Erinnerung, dass die russischen Hacker in den letzten zehn Jahren nicht nur einmal, sondern gleich zweimal «das Licht ausgeschaltet haben bei Hunderttausenden ukrainischen Zivilistinnen und Zivilisten».
Und nun habe Sandworm «inmitten des umfassenden russischen Krieges» offenbar eine weitere zweifelhafte Auszeichnung in der Geschichte des Cyberkriegs errungen:
Mandiant zufolge fiel der Cyberangriff mit dem Beginn einer Reihe von russischen Raketenangriffen auf kritische Infrastruktur im ganzen Land zusammen. Die Koordination der Angriffe durch den Kreml lasse sich aber nicht belegen.
John Hultquist, Leiter der Abteilung für Bedrohungsanalysen bei Mandiant, der Sandworm seit fast einem Jahrzehnt verfolgt und die Gruppe 2014 so benannte, meint:
Sicher ist: Zwei Tage nach dem Stromausfall setzten die Hacker eine sogenannte «Wiper»-Schadsoftware ein, um die Festplatten im gesamten Netzwerk des betroffenen Energieversorgungs-Unternehmens zu löschen. Wahrscheinlich war dies ein (erfolgloser) Versuch, Beweise zu vernichten, die später zur Analyse ihres Eindringens verwendet wurden.
Die detaillierte technische Aufschlüsselung des Hackerangriffs durch Mandiant zeige, wie sich das Hacken von Stromnetzen durch Russlands Militärgeheimdienst im Laufe der Zeit weiterentwickelt habe. Die Angreifer gingen inzwischen noch heimlicher und geschickter vor als bei früheren Attacken auf die ukrainische Stromversorgung.
Im neusten Mandiant-Bericht heisst es nun, die russischen Hacker nutzten eine neuartige Technik bzw. Taktik, um die industriellen Kontrollsysteme (ICS) zu attackieren.
Statt eigene massgeschneiderte Malware einzusetzen, verwendeten sie im fremden Netzwerk vorhandene legitime Tools, um von Rechner zu Rechner vorzudringen, bevor sie schliesslich ein automatisiertes Skript ausführten.
Die Hacker verschafften sich trotz verschärfter Sicherheitsmassnahmen unbemerkt Zugriff auf die Software des industriellen Steuerungssystems der Anlage, MicroSCADA genannt, und schalteten sie quasi auf Knopfdruck ab.
Weiter erklären die IT-Sicherheitsforscher von Mandiant, dass der nun publik gemachte Cyberangriff auf die Stromversorgung deutlich schneller abgelaufen sei als frühere Attacken. 2016 etwa lagen die russischen Hacker zunächst über sechs Monate unbemerkt in den IT-Systemen des ukrainischen Stromversorgers auf der Lauer, bevor sie angriffen.
Doch nun hätten sich die Hacker offenbar erst drei Monate vor dem Stromausfall Zugang zu den industriellen Steuerungssystemen verschafft. Und der eigentliche Angriff sei in gerade mal zwei Monaten entwickelt worden.
Dem Mandiant-Bericht zufolge kommt Sandworm aus Effizienzgründen vom Einsatz hochgradig komplexer, massgeschneiderter Angriffswerkzeuge weg. Denn solche Tools erfordern nicht nur einen immensen Entwicklungsaufwand, sie hinterlassen auch verräterische Spuren im fremden Netzwerk – und damit droht eine vorschnelle Entdeckung.
Hingegen werden bei LOTL-Attacken keine Dateien installiert oder Signaturen hinterlassen, was bedeutet, dass die Angriffe nicht verglichen oder in Verbindung gebracht werden können. Dies macht es schwieriger, sie in Zukunft zu verhindern.
Die staatliche ukrainische Cybersicherheitsbehörde SSSCIP lehnte es gemäss «Wired»-Bericht ab, die Enthüllungen vollständig zu bestätigen, bestritt sie aber auch nicht.
Die Verantwortlichen wollten weder den Namen des betroffenen Stromversorgers noch der Stadt nennen. Auch über die Dauer des Stromausfalls und die Zahl der betroffenen Menschen liegen keine verlässlichen Informationen vor.
Der Mandiant-Bericht bestätigt, wovor IT-Sicherheitsexperten und Geheimdienstler schon länger eindringlich warnen: Die gefährlichsten staatlichen Hackergruppen wie Sandworm erweitern laufend ihr Cyberwaffen-Arsenal, um sogenannte OT-Systeme zu attackieren. Das Kürzel steht für «Operational Technology» und meint industrielle IT-Systeme, die mechanische Prozesse überwachen oder steuern.
Die Herausforderung aus Verteidiger-Sicht: OT-Systeme lassen sich nur mit immensem Aufwand schützen. Häufig sind entsprechende Programme während Jahrzehnten im Einsatz und das Installieren von Updates wird vernachlässigt.
Schliesslich gilt es zu wiederholen, was langjährigen Beobachtern von Sandworm längst klar ist: Die russischen Elitehacker sollten auf keinen Fall unterschätzt werden, auch wenn es im Ukraine-Krieg vergleichsweise ruhig blieb um sie.
Dazu John Hultquist, Mandiant-Chefanalyst:
Gleichzeitig betont der erfahrene IT-Sicherheitsexperte, dass solche Angriffe keiner direkten militärischen Notwendigkeit folgten. Sie seien Teil der psychologischen Kriegsführung, um gezielt die Zivilbevölkerung einzuschränken. Dies wiederum sei natürlich besonders effektiv, wenn ein Cyberangriff auf die Stromversorgung in Wintermonaten erfolge.
Die gute Nachricht aus Sicht der Ukraine: Wie verschiedene andere Techunternehmen aus Europa und Nordamerika arbeitet auch Mandiant seit Beginn der russischen Invasion im Februar 2022 eng mit der ukrainischen Regierung zusammen. Mit vereinten Kräften ist es bislang gelungen, die Angriffe abzuwehren und die Bevölkerung zu schützen.
Zurücklehnen ist keine Option, wie auch die Sicherheitsfachleute von Mandiant in ihrem Bericht festhalten:
Das Bild zeigt aber einen Sandwurm, der Moskau bedroht... nur für's Protokoll.
Der Extremfall war die Steuerung der Wasserversorgung einer Gemeinde: Windows 2000, Fernzugriff per VNC mit simplem Passwort.