Diese zerstörerischen Cyberwaffen wurden im Ukraine-Krieg bereits eingesetzt
Putins Elite-Hacker, die dem Militärgeheimdienst GRU zugerechnet werden, mussten diese Woche eine seltene und empfindliche Niederlage hinnehmen: Ihr mit technischer Raffinesse vorbereiteter Angriffsplan wurde vom FBI vereitelt.
Die «Sandworm» genannte Hackergruppe hatte zuvor tausende Router über eine nicht behobene Sicherheitslücke gehackt und einem wachsenden Heer von Zombie-Geräten hinzugefügt. Dieses Botnet sollte sehr wahrscheinlich für verheerende Angriffe genutzt werden, doch für einmal waren die verteidigenden IT-Spezialisten im Westen schneller.
Seit 2014 wird die Ukraine immer wieder das Ziel zerstörerischer Cyberangriffe. Dieser Beitrag fasst die wichtigsten Erkenntnisse zusammen, wobei wir den Fokus auf die neusten Malware-Attacken legen, die vor und nach der russischen Invasion am 24. März 2022 erfolgt sind.
Cyclops Blink
Entdeckt: Juni 2019 / Februar 2022
Betroffenes System: Linux
Angerichteter Schaden: nicht beziffert
Wenn einäugige Fabelwesen – Zyklopen genannt – blinzeln, dann mag das eine lustige Vorstellung sein. Doch in der nüchternen Realität steht der Name für eine brandgefährliche Angriffswaffe. Eine Cyberwaffe russischer Machart.
Seit Februar 2022 wissen wir, dass die Botnet-Malware Cyclops Blink tausende Netzwerkgeräte der Hersteller WatchGuard und Asus infiziert und einem wachsenden Heer von fernsteuerbaren Zombies hinzugefügt hat. Laut US-Behörden steckt die Elite-Hacker-Gruppe Sandworm dahinter.
Gestern Mittwoch nun informierte das US-Justizministerium, dass es dem FBI gelungen sei, das Botnet lahmzulegen. Dabei wurde betont, dass die Operation von Gerichten in Kalifornien und Pennsylvania genehmigt worden sei.
Spezialisten des FBI sei es gelungen, die Schadsoftware von infizierten Netzwerkgeräten in den Vereinigten Staaten unbemerkt zu kopieren und auszuwerten. So gelang es, die Verbindung zum Befehls- und Kontrollserver (C2) zu kappen.
Die US-Behörden bezeichnen die Aktion als «erfolgreich», warnen jedoch, dass Gerätebesitzer Massnahmen ergreifen sollten, um eine erneute Infektion zu verhindern. Sprich: Die Router-Firmware sollte dringend aktualisiert werden.
Laut US-Justizministerium ist anzunehmen, dass Cyclops Blink der Nachfolger von VPNFilter ist: ein berüchtigtes Botnet, das von Sandworm weitgehend vernachlässigt wurde, nachdem es 2018 von Sicherheitsforschern aufgedeckt und später von einer US-Operation ins Visier genommen worden war.
«AcidRain»
Entdeckt: 24. Februar 2022
Betroffenes System: Linux
Angerichteter Schaden: nicht beziffert
Zeitgleich mit der Invasion der russischen Armee am 24. Februar legt eine Cyberattacke zehntausende Breitbandmodems in der Ukraine lahm. Betroffen ist das Satellitennetzwerk KA-Sat des amerikanischen Betreibers Viasat.
Der von langer Hand vorbereitete Angriff zielt auf die Terminals der Eutelsat-Tochterfirma Skylogic ab. Als Kollateralschaden wird der Betrieb tausender Windkraftanlagen in Europa massiv gestört – die Fernwartung ist nicht mehr möglich.
Wie IT-Sicherheitsexperten später herausfinden, konnten die Hacker über eine schlecht konfigurierte VPN-Anwendung in das IT-Netzwerk von Viasat eindringen. Dann schafften sie es, ihre «AcidRain»-Malware über ein manipuliertes Firmware-Update auf Router und Modems zu schleusen.
- Als Erstes löscht AcidRain auf den Geräten alle Nicht-Standard-Dateien, respektive überschreibt diese.
- Dann versucht die Malware, Daten auf vorhandenen SD-Speicherkarten, Flash-Speichern (SSD), angeschlossenen Geräten und anderen Ressourcen zu zerstören.
- Schliesslich führe die Schadsoftware einen Systemaufruf zur Synchronisierung aus, um sicherzustellen, dass die Änderungen übernommen werden. Das betroffene Gerät werde neu gestartet und sei dann funktionsunfähig.
- Kleiner Trost: Die Geräte können nach dem Zurücksetzen auf den Werkzustand wieder normal genutzt werden.
Die IT-Fachleute finden bei der Analyse des Vorfalls Parallelen zu älterer Schadsoftware («VPNFilter»), die auf die russische Elite-Hacker-Gruppe Sandworm schliessen lässt.
«HermeticWiper»
Entdeckt: 23. Februar 2022 (14.52 Uhr)
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert
Am Tag vor dem Einmarsch der russischen Streitkräfte in die Ukraine wird eine neue Windows-Schadsoftware gegen eine Reihe ukrainischer Organisationen eingesetzt. Die Spezialisten der IT-Sicherheitsfirma Eset geben ihr den Namen «HermeticWiper», basierend auf einem digitalen Zertifikat einer zypriotischen Firma namens Hermetica Digital Ltd.
Wie sich später herausstellt, wurde ihr dieses Zertifikat nicht gestohlen. Laut Reuters ist es wahrscheinlich, dass sich die Angreifer stattdessen als Vertreter der zypriotischen Firma ausgaben, um das digitale Dokument von der zuständigen Zertifizierungsstelle (DigiCert) zu erhalten.
Dank des ergaunerten Zertifikats kann die Windows-Malware die System-Sicherheitsfunktionen umgehen und Schreibzugriff auf viele Datenstrukturen auf der Festplatte erlangen. Sobald sie (übers Internet) den Angriffsbefehl erhält, beginnt sie damit, Dateien zu löschen und Daten zu überschreiben, um eine Wiederherstellung unmöglich zu machen.
Die Malware besteht aus drei Komponenten:
- HermeticWiper: macht das System funktionsunfähig, indem es Daten beschädigt, bzw. löscht.
- HermeticWizard: verbreitet HermeticWiper über ein lokales Netzwerk mit Microsoft-Systemen.
- HermeticRansom: Dabei handelt es sich um eine in der Programmiersprache Go geschriebene Ransomware. Diese wurde gleichzeitig mit HermeticWiper eingesetzt, möglicherweise um von den Wiper-Aktionen abzulenken.
Die Malware wird auf Hunderten IT-Systemen in mindestens fünf ukrainischen Organisationen beobachtet. Die Eset-Sicherheitsspezialisten gehen davon aus, dass die Netzwerke lange vor dem Wiper-Einsatz kompromittiert wurden.
«IsaacWiper»
Entdeckt: 24. Februar 2022
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert
Am Tag der Invasion beginnt ein zweiter Wiper-Angriff auf ein ukrainisches Regierungsnetzwerk. Die Fachleute der IT-Sicherheitsfirma Eset taufen diese Malware «IsaacWiper». Und sie beschreiben sie als technisch weit weniger fortgeschritten als HermeticWiper. Aber auch hier verlieren betroffene User ihre Dateien und können ihre PCs nicht mehr starten, was sie dazu zwingt, das Betriebssystem neu zu installieren.
«CaddyWiper»
Entdeckt: 14. März 2022
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert
Am 14. März erfassen die Spezialisten der slowakischen IT-Sicherheitsfirma ESET erneut eine bislang unbekannte Malware, die auf ukrainische Organisationen abzielt. Das dritte Mal in drei Wochen. Und wieder ist es ein Wiper, also ein Schadprogramm, das versucht, Daten des Opfers zu löschen.
CaddyWiper hat keine grösseren Code-Ähnlichkeiten mit HermeticWiper oder IsaacWiper, den beiden anderen neuen Wiper-Schadprogrammen, mit denen Organisationen in der Ukraine seit dem 23. Februar attackiert wurden.
Ähnlich wie bei HermeticWiper gibt es gemäss den Abklärungen der IT-Spezialisten Hinweise darauf, dass die Angreifer die Zielnetzwerke schon länger infiltriert hatten, bevor sie ihrer zerstörerischen Malware freien Lauf liessen.
«WhisperGate»
Entdeckt: 13. Januar 2022
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert
Schon im Januar dieses Jahres treibt eine datenlöschende Malware namens WhisperGate ihr Unwesen in den Netzwerken mehrerer ukrainischer Organisationen.
In der Nacht vom 13. auf den 14. Januar verschaffen sich unbekannte Angreifer zunächst Zugriff zu den Websites von mehr als 70 staatlichen Institutionen und Behörden.
Die Angreifer nutzten Schwachstellen in Content-Management-Systemen, um auf Server zuzugreifen, auf denen die Websites gehostet werden. Es gelingt ihnen, 22 Sites zu verunstalten – «Defacement» genannt – und 6 zu beschädigen.
Die Angreifer haben aber auch eine Schadsoftware namens WhisperGate auf den Servern und IT-Systemen installiert, die sie schon Monate zuvor kompromittiert hatten.
Diese Malware hat zwei Komponenten, um auf perfide Weise eine Ransomware-Attacke vorzutäuschen:
- Die erste Komponente wird BootPatch genannt und funktioniert, indem sie einen Speicherbereich des infizierten Computers neu beschreibt, um ihn am Starten zu hindern und stattdessen eine Lösegeldforderung anzeigt.
- Die zweite Komponente heisst WhisperKill und hat zum Ziel, gespeicherte Dateien zu zerstören, indem sie den Inhalt mit einer Zeichenfolge neu überschreibt.
Der Programmcode der Malware enthält Hinweise, die die IT-Sicherheitsexperten auf eine falsche Spur führen sollen. Es handelt sich um eine «False Flag»-Aktion: Offensichtlich soll versucht werden, eine pro-ukrainische Gruppe für den Angriff auf die eigene Regierung verantwortlich zu machen.
«DoubleZero»
Entdeckt: 17. März 2022
Betroffenes System: .NET-Plattform (Microsoft)
Angerichteter Schaden: nicht beziffert
Die Entdeckung dieser zerstörerischen Malware ist dem «Computer Emergency Response Team» der Ukraine (CERT-UA) zu verdanken. Die IT-Sicherheitsspezialisten identifizierten mehrere ZIP-Archive, die per E-Mail an Opfer verschickt wurden und ein «verschleiertes .NET-Programm» enthalten. Angriffsziel sind diverse Unternehmen im Land.
«LoadEdge»
Entdeckt: 18. März 2022
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert
Dass sich die mutmasslich von Russland ausgehenden Cyberattacken nicht auf datenlöschende Wiper beschränken, illustriert ein am 18. März publik gemachter Fall. Die staatlichen ukrainischen IT-Sicherheitsspezialisten (CERT-UA) berichten über Phishing-Kampagnen gegen ukrainische Organisationen. Mit manipulierten E-Mail-Nachrichten wird versucht, auf PCs der Opfer die LoadEdge-Malware zu installieren.
Sobald die «Backdoor» (Hintertür) besteht, verbindet sich die Malware mit einem «Command-and-Control-Server» (C2), um weitere Schadprogramme nachzuladen. Die Fachleute sprechen von einem Remote Access Trojaner (RAT): Das heisst, die Angreifer haben dauernden Zugriff aufs System.
Hinter dem Angriff soll die Hackergruppe InvisiMole stecken, die gemäss Berichten mit der russischen Elite-Hackergruppe Gamaredon/Primitive Bear in Verbindung steht.
Wie schlimm ist es?
Wirklich verheerende Cyberattacken sind 2022 bislang ausgeblieben. Insbesondere gab es bis dato keine erfolgreichen, bzw. folgenschweren Angriffe auf kritische Infrastruktur wie etwa die Stromversorgung.
Wegen des seit dem 24. Februar tobenden Krieges liegen bislang aber keine verlässlichen Schätzungen zum angerichteten Schaden vor. Der Blick in die jüngere Vergangenheit zeigt, dass die Ukraine ihre Cyber-Verteidigung massiv verbessert hat. Zudem ist nicht klar, ob und warum sich die russischen Elite-Hackergruppen aktuell zurückgehalten haben.
Gravierende Vorfälle aus früheren Jahren:
- 2017: Ein Angriff mit der Wiper-Malware NotPetya am Vorabend eines wichtigen ukrainischen Feiertages richtete sich gegen öffentliche und private Einrichtungen im Land, darunter Finanz-, Energie- und Regierungsinstitutionen. Durch die Ausnutzung sogenannter Zero-Day-Exploits, die dem US-Geheimdienst NSA gestohlen wurden, breitet sich die Malware weltweit aus und infiziert unter anderem das Strahlungsüberwachungssystem von Tschernobyl und US-Gesundheitsorganisationen. NotPetya gilt als der bislang «verheerendste Cyberangriff der Geschichte».
- 2016: Ein Angriff legt das ukrainische Stromnetz in Teilen des Landes während Stunden lahm. IT-Sicherheitsforscher beschreiben die eingesetzte Malware als erst den zweiten bekannten Fall von bösartigem Code, der speziell entwickelt wurde, um physische Systeme zu stören.
- 2015: Ein Cyberangriff kompromittierte IT-Systeme von drei Energieversorgungsunternehmen in der Westukraine. Er gilt als der erste bekannte erfolgreiche Cyberangriff auf die Stromversorgung eines Staates und wird der russischen Elite-Hackergruppe Sandworm zugeschrieben.
Das CyberPeace Institute, eine Nicht-Regierungs-Organisation (NGO) bietet eine Timeline sämtlicher Cyberattacken gegen kritische Infrastruktur und zivile Objekte.
Quellen
- cyberscoop.com: US says it disrupted Russian botnet 'before it could be weaponized'
- justice.gov: Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU)
- heise.de: Viasat: Wiper-Malware hat Ausfall des Satellitennetzwerks KA-Sat verursacht
- sentinelone.com: AcidRain – A Modem Wiper Rains Down on Europe
- welivesecurity.com: IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine
- therecord.media: Ukrainian government calls out false flag operation in recent data wiping attack
- socprime.com: DoubleZero Destructive Malware Used in Cyber-Attacks at Ukrainian Companies: CERT-UA Alert
- wikipedia.org: Wiper (Schadsoftware)
