Putins Elite-Hacker, die dem Militärgeheimdienst GRU zugerechnet werden, mussten diese Woche eine seltene und empfindliche Niederlage hinnehmen: Ihr mit technischer Raffinesse vorbereiteter Angriffsplan wurde vom FBI vereitelt.
Die «Sandworm» genannte Hackergruppe hatte zuvor tausende Router über eine nicht behobene Sicherheitslücke gehackt und einem wachsenden Heer von Zombie-Geräten hinzugefügt. Dieses Botnet sollte sehr wahrscheinlich für verheerende Angriffe genutzt werden, doch für einmal waren die verteidigenden IT-Spezialisten im Westen schneller.
Seit 2014 wird die Ukraine immer wieder das Ziel zerstörerischer Cyberangriffe. Dieser Beitrag fasst die wichtigsten Erkenntnisse zusammen, wobei wir den Fokus auf die neusten Malware-Attacken legen, die vor und nach der russischen Invasion am 24. März 2022 erfolgt sind.
Wenn einäugige Fabelwesen – Zyklopen genannt – blinzeln, dann mag das eine lustige Vorstellung sein. Doch in der nüchternen Realität steht der Name für eine brandgefährliche Angriffswaffe. Eine Cyberwaffe russischer Machart.
Seit Februar 2022 wissen wir, dass die Botnet-Malware Cyclops Blink tausende Netzwerkgeräte der Hersteller WatchGuard und Asus infiziert und einem wachsenden Heer von fernsteuerbaren Zombies hinzugefügt hat. Laut US-Behörden steckt die Elite-Hacker-Gruppe Sandworm dahinter.
Gestern Mittwoch nun informierte das US-Justizministerium, dass es dem FBI gelungen sei, das Botnet lahmzulegen. Dabei wurde betont, dass die Operation von Gerichten in Kalifornien und Pennsylvania genehmigt worden sei.
Spezialisten des FBI sei es gelungen, die Schadsoftware von infizierten Netzwerkgeräten in den Vereinigten Staaten unbemerkt zu kopieren und auszuwerten. So gelang es, die Verbindung zum Befehls- und Kontrollserver (C2) zu kappen.
Die US-Behörden bezeichnen die Aktion als «erfolgreich», warnen jedoch, dass Gerätebesitzer Massnahmen ergreifen sollten, um eine erneute Infektion zu verhindern. Sprich: Die Router-Firmware sollte dringend aktualisiert werden.
Laut US-Justizministerium ist anzunehmen, dass Cyclops Blink der Nachfolger von VPNFilter ist: ein berüchtigtes Botnet, das von Sandworm weitgehend vernachlässigt wurde, nachdem es 2018 von Sicherheitsforschern aufgedeckt und später von einer US-Operation ins Visier genommen worden war.
Zeitgleich mit der Invasion der russischen Armee am 24. Februar legt eine Cyberattacke zehntausende Breitbandmodems in der Ukraine lahm. Betroffen ist das Satellitennetzwerk KA-Sat des amerikanischen Betreibers Viasat.
Der von langer Hand vorbereitete Angriff zielt auf die Terminals der Eutelsat-Tochterfirma Skylogic ab. Als Kollateralschaden wird der Betrieb tausender Windkraftanlagen in Europa massiv gestört – die Fernwartung ist nicht mehr möglich.
Wie IT-Sicherheitsexperten später herausfinden, konnten die Hacker über eine schlecht konfigurierte VPN-Anwendung in das IT-Netzwerk von Viasat eindringen. Dann schafften sie es, ihre «AcidRain»-Malware über ein manipuliertes Firmware-Update auf Router und Modems zu schleusen.
Die IT-Fachleute finden bei der Analyse des Vorfalls Parallelen zu älterer Schadsoftware («VPNFilter»), die auf die russische Elite-Hacker-Gruppe Sandworm schliessen lässt.
Am Tag vor dem Einmarsch der russischen Streitkräfte in die Ukraine wird eine neue Windows-Schadsoftware gegen eine Reihe ukrainischer Organisationen eingesetzt. Die Spezialisten der IT-Sicherheitsfirma Eset geben ihr den Namen «HermeticWiper», basierend auf einem digitalen Zertifikat einer zypriotischen Firma namens Hermetica Digital Ltd.
Wie sich später herausstellt, wurde ihr dieses Zertifikat nicht gestohlen. Laut Reuters ist es wahrscheinlich, dass sich die Angreifer stattdessen als Vertreter der zypriotischen Firma ausgaben, um das digitale Dokument von der zuständigen Zertifizierungsstelle (DigiCert) zu erhalten.
Dank des ergaunerten Zertifikats kann die Windows-Malware die System-Sicherheitsfunktionen umgehen und Schreibzugriff auf viele Datenstrukturen auf der Festplatte erlangen. Sobald sie (übers Internet) den Angriffsbefehl erhält, beginnt sie damit, Dateien zu löschen und Daten zu überschreiben, um eine Wiederherstellung unmöglich zu machen.
Die Malware besteht aus drei Komponenten:
Die Malware wird auf Hunderten IT-Systemen in mindestens fünf ukrainischen Organisationen beobachtet. Die Eset-Sicherheitsspezialisten gehen davon aus, dass die Netzwerke lange vor dem Wiper-Einsatz kompromittiert wurden.
Am Tag der Invasion beginnt ein zweiter Wiper-Angriff auf ein ukrainisches Regierungsnetzwerk. Die Fachleute der IT-Sicherheitsfirma Eset taufen diese Malware «IsaacWiper». Und sie beschreiben sie als technisch weit weniger fortgeschritten als HermeticWiper. Aber auch hier verlieren betroffene User ihre Dateien und können ihre PCs nicht mehr starten, was sie dazu zwingt, das Betriebssystem neu zu installieren.
Am 14. März erfassen die Spezialisten der slowakischen IT-Sicherheitsfirma ESET erneut eine bislang unbekannte Malware, die auf ukrainische Organisationen abzielt. Das dritte Mal in drei Wochen. Und wieder ist es ein Wiper, also ein Schadprogramm, das versucht, Daten des Opfers zu löschen.
CaddyWiper hat keine grösseren Code-Ähnlichkeiten mit HermeticWiper oder IsaacWiper, den beiden anderen neuen Wiper-Schadprogrammen, mit denen Organisationen in der Ukraine seit dem 23. Februar attackiert wurden.
Ähnlich wie bei HermeticWiper gibt es gemäss den Abklärungen der IT-Spezialisten Hinweise darauf, dass die Angreifer die Zielnetzwerke schon länger infiltriert hatten, bevor sie ihrer zerstörerischen Malware freien Lauf liessen.
Schon im Januar dieses Jahres treibt eine datenlöschende Malware namens WhisperGate ihr Unwesen in den Netzwerken mehrerer ukrainischer Organisationen.
In der Nacht vom 13. auf den 14. Januar verschaffen sich unbekannte Angreifer zunächst Zugriff zu den Websites von mehr als 70 staatlichen Institutionen und Behörden.
Die Angreifer nutzten Schwachstellen in Content-Management-Systemen, um auf Server zuzugreifen, auf denen die Websites gehostet werden. Es gelingt ihnen, 22 Sites zu verunstalten – «Defacement» genannt – und 6 zu beschädigen.
Die Angreifer haben aber auch eine Schadsoftware namens WhisperGate auf den Servern und IT-Systemen installiert, die sie schon Monate zuvor kompromittiert hatten.
Diese Malware hat zwei Komponenten, um auf perfide Weise eine Ransomware-Attacke vorzutäuschen:
Der Programmcode der Malware enthält Hinweise, die die IT-Sicherheitsexperten auf eine falsche Spur führen sollen. Es handelt sich um eine «False Flag»-Aktion: Offensichtlich soll versucht werden, eine pro-ukrainische Gruppe für den Angriff auf die eigene Regierung verantwortlich zu machen.
Die Entdeckung dieser zerstörerischen Malware ist dem «Computer Emergency Response Team» der Ukraine (CERT-UA) zu verdanken. Die IT-Sicherheitsspezialisten identifizierten mehrere ZIP-Archive, die per E-Mail an Opfer verschickt wurden und ein «verschleiertes .NET-Programm» enthalten. Angriffsziel sind diverse Unternehmen im Land.
Dass sich die mutmasslich von Russland ausgehenden Cyberattacken nicht auf datenlöschende Wiper beschränken, illustriert ein am 18. März publik gemachter Fall. Die staatlichen ukrainischen IT-Sicherheitsspezialisten (CERT-UA) berichten über Phishing-Kampagnen gegen ukrainische Organisationen. Mit manipulierten E-Mail-Nachrichten wird versucht, auf PCs der Opfer die LoadEdge-Malware zu installieren.
Sobald die «Backdoor» (Hintertür) besteht, verbindet sich die Malware mit einem «Command-and-Control-Server» (C2), um weitere Schadprogramme nachzuladen. Die Fachleute sprechen von einem Remote Access Trojaner (RAT): Das heisst, die Angreifer haben dauernden Zugriff aufs System.
Hinter dem Angriff soll die Hackergruppe InvisiMole stecken, die gemäss Berichten mit der russischen Elite-Hackergruppe Gamaredon/Primitive Bear in Verbindung steht.
Wirklich verheerende Cyberattacken sind 2022 bislang ausgeblieben. Insbesondere gab es bis dato keine erfolgreichen, bzw. folgenschweren Angriffe auf kritische Infrastruktur wie etwa die Stromversorgung.
Wegen des seit dem 24. Februar tobenden Krieges liegen bislang aber keine verlässlichen Schätzungen zum angerichteten Schaden vor. Der Blick in die jüngere Vergangenheit zeigt, dass die Ukraine ihre Cyber-Verteidigung massiv verbessert hat. Zudem ist nicht klar, ob und warum sich die russischen Elite-Hackergruppen aktuell zurückgehalten haben.
Gravierende Vorfälle aus früheren Jahren:
Das CyberPeace Institute, eine Nicht-Regierungs-Organisation (NGO) bietet eine Timeline sämtlicher Cyberattacken gegen kritische Infrastruktur und zivile Objekte.
Danke für die Beleuchtung des anderen Schauplatzes dieses sinnlosen Kriegs.
Und jetzt die lokale Frage. Wo hat unsere Landesverteidigung ihre grössten Schwächen? Es ist die einzige Ecke bei der eine kurzfristige Aufstockung des Budgets kein Aktionismus ist.
Territorialverteidigung war, zumindest für die CH, gestern. Heute ist Cyber War.