Digital
Analyse

Diese zerstörerischen Cyberwaffen wurden im Ukraine-Krieg eingesetzt

Russlands Elite-Hacker attackieren IT-Systeme weltweit.
Ukrainische IT-Systeme sind im Visier von Angreifern. Dieser Beitrag verrät, welche Cyberwaffen bislang eingesetzt wurden – und wer wahrscheinlich dahinter steckt.Bild: Shutterstock
Analyse

Diese zerstörerischen Cyberwaffen wurden im Ukraine-Krieg bereits eingesetzt

Der russische Überfall auf die Ukraine ist geprägt von mutmasslichen Kriegsverbrechen. Aber auch im Cyberspace rollt Angriffswelle um Angriffswelle.
07.04.2022, 10:3812.04.2022, 14:04
Mehr «Digital»

Putins Elite-Hacker, die dem Militärgeheimdienst GRU zugerechnet werden, mussten diese Woche eine seltene und empfindliche Niederlage hinnehmen: Ihr mit technischer Raffinesse vorbereiteter Angriffsplan wurde vom FBI vereitelt.

Die «Sandworm» genannte Hackergruppe hatte zuvor tausende Router über eine nicht behobene Sicherheitslücke gehackt und einem wachsenden Heer von Zombie-Geräten hinzugefügt. Dieses Botnet sollte sehr wahrscheinlich für verheerende Angriffe genutzt werden, doch für einmal waren die verteidigenden IT-Spezialisten im Westen schneller.

Seit 2014 wird die Ukraine immer wieder das Ziel zerstörerischer Cyberangriffe. Dieser Beitrag fasst die wichtigsten Erkenntnisse zusammen, wobei wir den Fokus auf die neusten Malware-Attacken legen, die vor und nach der russischen Invasion am 24. März 2022 erfolgt sind.

Cyclops Blink

Malware-Typ: Botnet / Angriffs-Multi-Tool
Entdeckt: Juni 2019 / Februar 2022
Betroffenes System: Linux
Angerichteter Schaden: nicht beziffert

Wenn einäugige Fabelwesen – Zyklopen genannt – blinzeln, dann mag das eine lustige Vorstellung sein. Doch in der nüchternen Realität steht der Name für eine brandgefährliche Angriffswaffe. Eine Cyberwaffe russischer Machart.

Seit Februar 2022 wissen wir, dass die Botnet-Malware Cyclops Blink tausende Netzwerkgeräte der Hersteller WatchGuard und Asus infiziert und einem wachsenden Heer von fernsteuerbaren Zombies hinzugefügt hat. Laut US-Behörden steckt die Elite-Hacker-Gruppe Sandworm dahinter.

Gestern Mittwoch nun informierte das US-Justizministerium, dass es dem FBI gelungen sei, das Botnet lahmzulegen. Dabei wurde betont, dass die Operation von Gerichten in Kalifornien und Pennsylvania genehmigt worden sei.

«Dank unserer engen Zusammenarbeit mit internationalen Partnern konnten wir die Infektion von Tausenden von Netzwerk-Geräten erkennen. Wir waren dann in der Lage, die Kontrolle des GRU über diese Geräte zu deaktivieren, bevor das Botnetz bewaffnet werden konnte.»
US-Generalstaatsanwalt Merrick Garlandquelle: cyberscoop.com

Spezialisten des FBI sei es gelungen, die Schadsoftware von infizierten Netzwerkgeräten in den Vereinigten Staaten unbemerkt zu kopieren und auszuwerten. So gelang es, die Verbindung zum Befehls- und Kontrollserver (C2) zu kappen.

Die US-Behörden bezeichnen die Aktion als «erfolgreich», warnen jedoch, dass Gerätebesitzer Massnahmen ergreifen sollten, um eine erneute Infektion zu verhindern. Sprich: Die Router-Firmware sollte dringend aktualisiert werden.

Laut US-Justizministerium ist anzunehmen, dass Cyclops Blink der Nachfolger von VPNFilter ist: ein berüchtigtes Botnet, das von Sandworm weitgehend vernachlässigt wurde, nachdem es 2018 von Sicherheitsforschern aufgedeckt und später von einer US-Operation ins Visier genommen worden war.

«AcidRain»

Malware-Typ: Wiper
Entdeckt: 24. Februar 2022
Betroffenes System: Linux
Angerichteter Schaden: nicht beziffert

Zeitgleich mit der Invasion der russischen Armee am 24. Februar legt eine Cyberattacke zehntausende Breitbandmodems in der Ukraine lahm. Betroffen ist das Satellitennetzwerk KA-Sat des amerikanischen Betreibers Viasat.

Der von langer Hand vorbereitete Angriff zielt auf die Terminals der Eutelsat-Tochterfirma Skylogic ab. Als Kollateralschaden wird der Betrieb tausender Windkraftanlagen in Europa massiv gestört – die Fernwartung ist nicht mehr möglich.

Wie IT-Sicherheitsexperten später herausfinden, konnten die Hacker über eine schlecht konfigurierte VPN-Anwendung in das IT-Netzwerk von Viasat eindringen. Dann schafften sie es, ihre «AcidRain»-Malware über ein manipuliertes Firmware-Update auf Router und Modems zu schleusen.

  • Als Erstes löscht AcidRain auf den Geräten alle Nicht-Standard-Dateien, respektive überschreibt diese.
  • Dann versucht die Malware, Daten auf vorhandenen SD-Speicherkarten, Flash-Speichern (SSD), angeschlossenen Geräten und anderen Ressourcen zu zerstören.
  • Schliesslich führe die Schadsoftware einen Systemaufruf zur Synchronisierung aus, um sicherzustellen, dass die Änderungen übernommen werden. Das betroffene Gerät werde neu gestartet und sei dann funktionsunfähig.
  • Kleiner Trost: Die Geräte können nach dem Zurücksetzen auf den Werkzustand wieder normal genutzt werden.

Die IT-Fachleute finden bei der Analyse des Vorfalls Parallelen zu älterer Schadsoftware («VPNFilter»), die auf die russische Elite-Hacker-Gruppe Sandworm schliessen lässt.

«HermeticWiper»

Malware-Typ: Wiper
Entdeckt: 23. Februar 2022 (14.52 Uhr)
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert

Am Tag vor dem Einmarsch der russischen Streitkräfte in die Ukraine wird eine neue Windows-Schadsoftware gegen eine Reihe ukrainischer Organisationen eingesetzt. Die Spezialisten der IT-Sicherheitsfirma Eset geben ihr den Namen «HermeticWiper», basierend auf einem digitalen Zertifikat einer zypriotischen Firma namens Hermetica Digital Ltd.

Wie sich später herausstellt, wurde ihr dieses Zertifikat nicht gestohlen. Laut Reuters ist es wahrscheinlich, dass sich die Angreifer stattdessen als Vertreter der zypriotischen Firma ausgaben, um das digitale Dokument von der zuständigen Zertifizierungsstelle (DigiCert) zu erhalten.

Dank des ergaunerten Zertifikats kann die Windows-Malware die System-Sicherheitsfunktionen umgehen und Schreibzugriff auf viele Datenstrukturen auf der Festplatte erlangen. Sobald sie (übers Internet) den Angriffsbefehl erhält, beginnt sie damit, Dateien zu löschen und Daten zu überschreiben, um eine Wiederherstellung unmöglich zu machen.

Die Malware besteht aus drei Komponenten:

  • HermeticWiper: macht das System funktionsunfähig, indem es Daten beschädigt, bzw. löscht.
  • HermeticWizard: verbreitet HermeticWiper über ein lokales Netzwerk mit Microsoft-Systemen.
  • HermeticRansom: Dabei handelt es sich um eine in der Programmiersprache Go geschriebene Ransomware. Diese wurde gleichzeitig mit HermeticWiper eingesetzt, möglicherweise um von den Wiper-Aktionen abzulenken.

Die Malware wird auf Hunderten IT-Systemen in mindestens fünf ukrainischen Organisationen beobachtet. Die Eset-Sicherheitsspezialisten gehen davon aus, dass die Netzwerke lange vor dem Wiper-Einsatz kompromittiert wurden.

«IsaacWiper»

Malware-Typ: Wiper
Entdeckt: 24. Februar 2022
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert

Am Tag der Invasion beginnt ein zweiter Wiper-Angriff auf ein ukrainisches Regierungsnetzwerk. Die Fachleute der IT-Sicherheitsfirma Eset taufen diese Malware «IsaacWiper». Und sie beschreiben sie als technisch weit weniger fortgeschritten als HermeticWiper. Aber auch hier verlieren betroffene User ihre Dateien und können ihre PCs nicht mehr starten, was sie dazu zwingt, das Betriebssystem neu zu installieren.

«CaddyWiper»

Malware-Typ: Wiper
Entdeckt: 14. März 2022
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert

Am 14. März erfassen die Spezialisten der slowakischen IT-Sicherheitsfirma ESET erneut eine bislang unbekannte Malware, die auf ukrainische Organisationen abzielt. Das dritte Mal in drei Wochen. Und wieder ist es ein Wiper, also ein Schadprogramm, das versucht, Daten des Opfers zu löschen.

CaddyWiper hat keine grösseren Code-Ähnlichkeiten mit HermeticWiper oder IsaacWiper, den beiden anderen neuen Wiper-Schadprogrammen, mit denen Organisationen in der Ukraine seit dem 23. Februar attackiert wurden.

Ähnlich wie bei HermeticWiper gibt es gemäss den Abklärungen der IT-Spezialisten Hinweise darauf, dass die Angreifer die Zielnetzwerke schon länger infiltriert hatten, bevor sie ihrer zerstörerischen Malware freien Lauf liessen.

«WhisperGate»

Malware-Typ: Wiper
Entdeckt: 13. Januar 2022
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert

Schon im Januar dieses Jahres treibt eine datenlöschende Malware namens WhisperGate ihr Unwesen in den Netzwerken mehrerer ukrainischer Organisationen.

In der Nacht vom 13. auf den 14. Januar verschaffen sich unbekannte Angreifer zunächst Zugriff zu den Websites von mehr als 70 staatlichen Institutionen und Behörden.

Die Angreifer nutzten Schwachstellen in Content-Management-Systemen, um auf Server zuzugreifen, auf denen die Websites gehostet werden. Es gelingt ihnen, 22 Sites zu verunstalten – «Defacement» genannt – und 6 zu beschädigen.

Die Angreifer haben aber auch eine Schadsoftware namens WhisperGate auf den Servern und IT-Systemen installiert, die sie schon Monate zuvor kompromittiert hatten.

Diese Malware hat zwei Komponenten, um auf perfide Weise eine Ransomware-Attacke vorzutäuschen:

  • Die erste Komponente wird BootPatch genannt und funktioniert, indem sie einen Speicherbereich des infizierten Computers neu beschreibt, um ihn am Starten zu hindern und stattdessen eine Lösegeldforderung anzeigt.
  • Die zweite Komponente heisst WhisperKill und hat zum Ziel, gespeicherte Dateien zu zerstören, indem sie den Inhalt mit einer Zeichenfolge neu überschreibt.

Der Programmcode der Malware enthält Hinweise, die die IT-Sicherheitsexperten auf eine falsche Spur führen sollen. Es handelt sich um eine «False Flag»-Aktion: Offensichtlich soll versucht werden, eine pro-ukrainische Gruppe für den Angriff auf die eigene Regierung verantwortlich zu machen.

«DoubleZero»

Malware-Typ: Wiper
Entdeckt: 17. März 2022
Betroffenes System: .NET-Plattform (Microsoft)
Angerichteter Schaden: nicht beziffert

Die Entdeckung dieser zerstörerischen Malware ist dem «Computer Emergency Response Team» der Ukraine (CERT-UA) zu verdanken. Die IT-Sicherheitsspezialisten identifizierten mehrere ZIP-Archive, die per E-Mail an Opfer verschickt wurden und ein «verschleiertes .NET-Programm» enthalten. Angriffsziel sind diverse Unternehmen im Land.

«LoadEdge»

Malware-Typ: Backdoor / Remote Access Trojaner (RAT)
Entdeckt: 18. März 2022
Betroffenes System: Windows
Angerichteter Schaden: nicht beziffert

Dass sich die mutmasslich von Russland ausgehenden Cyberattacken nicht auf datenlöschende Wiper beschränken, illustriert ein am 18. März publik gemachter Fall. Die staatlichen ukrainischen IT-Sicherheitsspezialisten (CERT-UA) berichten über Phishing-Kampagnen gegen ukrainische Organisationen. Mit manipulierten E-Mail-Nachrichten wird versucht, auf PCs der Opfer die LoadEdge-Malware zu installieren.

Sobald die «Backdoor» (Hintertür) besteht, verbindet sich die Malware mit einem «Command-and-Control-Server» (C2), um weitere Schadprogramme nachzuladen. Die Fachleute sprechen von einem Remote Access Trojaner (RAT): Das heisst, die Angreifer haben dauernden Zugriff aufs System.

Hinter dem Angriff soll die Hackergruppe InvisiMole stecken, die gemäss Berichten mit der russischen Elite-Hackergruppe Gamaredon/Primitive Bear in Verbindung steht.

Wie schlimm ist es?

Wirklich verheerende Cyberattacken sind 2022 bislang ausgeblieben. Insbesondere gab es bis dato keine erfolgreichen, bzw. folgenschweren Angriffe auf kritische Infrastruktur wie etwa die Stromversorgung.

Wegen des seit dem 24. Februar tobenden Krieges liegen bislang aber keine verlässlichen Schätzungen zum angerichteten Schaden vor. Der Blick in die jüngere Vergangenheit zeigt, dass die Ukraine ihre Cyber-Verteidigung massiv verbessert hat. Zudem ist nicht klar, ob und warum sich die russischen Elite-Hackergruppen aktuell zurückgehalten haben.

Gravierende Vorfälle aus früheren Jahren:

  • 2017: Ein Angriff mit der Wiper-Malware NotPetya am Vorabend eines wichtigen ukrainischen Feiertages richtete sich gegen öffentliche und private Einrichtungen im Land, darunter Finanz-, Energie- und Regierungsinstitutionen. Durch die Ausnutzung sogenannter Zero-Day-Exploits, die dem US-Geheimdienst NSA gestohlen wurden, breitet sich die Malware weltweit aus und infiziert unter anderem das Strahlungsüberwachungssystem von Tschernobyl und US-Gesundheitsorganisationen. NotPetya gilt als der bislang «verheerendste Cyberangriff der Geschichte».
  • 2016: Ein Angriff legt das ukrainische Stromnetz in Teilen des Landes während Stunden lahm. IT-Sicherheitsforscher beschreiben die eingesetzte Malware als erst den zweiten bekannten Fall von bösartigem Code, der speziell entwickelt wurde, um physische Systeme zu stören.
  • 2015: Ein Cyberangriff kompromittierte IT-Systeme von drei Energieversorgungsunternehmen in der Westukraine. Er gilt als der erste bekannte erfolgreiche Cyberangriff auf die Stromversorgung eines Staates und wird der russischen Elite-Hackergruppe Sandworm zugeschrieben.

Das CyberPeace Institute, eine Nicht-Regierungs-Organisation (NGO) bietet eine Timeline sämtlicher Cyberattacken gegen kritische Infrastruktur und zivile Objekte.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die bösartigsten Computer-Attacken aller Zeiten
1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Auf Facebook teilenAuf X teilen
Journalist platzt nach Zweifel an Butscha-Bildern der Kragen
Video: watson
Das könnte dich auch noch interessieren:
42 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Peter Vogel
07.04.2022 11:05registriert Juni 2020
Gerade gestern meinte einer meiner Arbeitskollegen wieder mal, dass die ganze Updaterei "nur Ärger bringe", weshalb er es sein lasse.
794
Melden
Zum Kommentar
avatar
MaJoR ToM
07.04.2022 10:52registriert November 2017
Ich verstehe zwar nur max. 50%, find's aber trotzdem sehr spannend.
Danke für die Beleuchtung des anderen Schauplatzes dieses sinnlosen Kriegs.
642
Melden
Zum Kommentar
avatar
Hösch
07.04.2022 11:46registriert März 2022
Ein starker Artikel.
Und jetzt die lokale Frage. Wo hat unsere Landesverteidigung ihre grössten Schwächen? Es ist die einzige Ecke bei der eine kurzfristige Aufstockung des Budgets kein Aktionismus ist.

Territorialverteidigung war, zumindest für die CH, gestern. Heute ist Cyber War.
565
Melden
Zum Kommentar
42
Nach Warnung vor Sicherheits-Debakel: Microsoft verschiebt Start von KI-Funktion
IT-Sicherheitsexperten hatten vor einem Desaster durch die neue Windows-Suchfunktion «Recall» gewarnt. Jetzt will sich der Windows-Konzern mehr Zeit damit lassen.

Microsoft verschiebt nach heftiger Kritik die Einführung einer neuen Windows-Suchfunktion, die alle paar Sekunden Bildschirmaufnahmen speichern soll.

Zur Story