Digital
Russland

«Sandworm»: Russische Elitehacker attackierten Nato-Land Polen

Ukrainian border guard officer stands guard at the Krakovets - Korcheva border crossing point in Krakovets, Ukraine, Tuesday, Aug. 16, 2022. A renovation of Krakovets border crossing point is a part o ...
Ukrainisch-polnische Grenze: Elitehacker, die zum russischen Militärgeheimdienst (GRU) gehören, sollen für Cyberattacken auf polnische und ukrainische Unternehmen verantwortlich sein.archivBild: keystone

Russische «Sandworm»-Hacker attackierten das NATO-Land Polen – das musst du wissen

Mit einer neuartigen Verschlüsselungs-Software sollten die Computersysteme von osteuropäischen Transport- und Logistikunternehmen lahmgelegt werden. Im Visier der Russen: der Nachschub für die Ukraine.
12.11.2022, 16:41
Mehr «Digital»

Hackerangriffe auf Transport- und Logistikunternehmen in der Ukraine und in Polen waren das Werk einer berüchtigten russischen Militärgeheimdiensteinheit. Zu diesem Schluss kommen IT-Sicherheitsforscher von Microsoft, nachdem sie digitale Spuren forensisch ausgewertet haben.

Dies könnte ein erhöhtes Risiko für Organisationen signalisieren, die direkt humanitäre oder militärische Hilfe in die Ukraine liefern oder transportieren, warnt Microsoft.

Warum ist das wichtig?

Die «Washington Post» zitiert den Analysten Justin Warner vom Microsoft Security Response Center (MSTIC): Dies sei das erste Ereignis seit Beginn der russischen Invasion in der Ukraine und dem Hackerangriff auf das Viasat-Satellitennetzwerk, bei dem man «eine nicht-ukrainische Organisation» als (russisches) Angriffsziel beobachten konnte.

Es sei der erste Cyberangriff seit Kriegsbeginn, der darauf abziele, ein NATO-Ziel absichtlich zu treffen, hält auch der Cyberspionage-Analyst Ben Read fest, der für die zu Google gehörende IT-Sicherheitsfirma Mandiant arbeitet.

Wer steckt dahinter?

Die Gruppe, die hinter den Angriffen steckt, wird vom Microsoft Threat Intelligence Center (MSTIC) als «Iridium» identifiziert, einer breiteren Öffentlichkeit ist sie als «Sandworm» bekannt. Sie hatte am 8. April in der Ukraine versucht, mehrere Umspannwerke und andere Teile der Stromversorgung für 2 Millionen Menschen lahmzulegen. Sie gilt als eine der gefährlichsten Elitehacker-Gruppierungen Russlands und soll zum Militärnachrichtendienst (GRU) gehören.

Der Hauptangriff fand Anfang Oktober statt. Die Angreifer waren zuvor unerkannt in die Netzwerke der Opfer eingedrungen und versuchten dann durch den Einsatz einer Verschlüsselungssoftware – Codename «Prestige» – den Zugang zu den betroffenen IT-Systemen zu verunmöglichen.

Gemäss Microsoft-Bericht wurden die Cyberattacken auf sämtliche Opfer innerhalb einer Stunde verübt.

Sandworm führt seit Jahren Cyberattacken gegen Ziele in der Ukraine und in Osteuropa durch. Zu den verheerendsten Angriffen gehörte NotPetya 2017, ein modifizierter Windows-Verschlüsselungstrojaner, der sich weltweit verbreitete.

Warum tun die Russen das?

Durch Angriffe auf Logistik- und Transportunternehmen könnte der russische Militärgeheimdienst versuchen, den Waren- und Materialfluss in die Ukraine zu behindern. Bekanntlich haben die russischen Streitkräfte in den vergangenen Monaten eine Reihe militärischer Rückschläge erlitten.

Der Warenfluss aus Partnerländern in die Ukraine sei für die Ukraine ein wichtiger Weg, um die benötigten Vorräte zu beschaffen, heisst es in Medienberichten. Cyberattacken gegen die IT-Infrastruktur in Polen – einem NATO-Verbündeten – seien eine der wenigen Möglichkeiten, wie Russland sich an den Logistikpartnern der Ukraine rächen könne.

Microsoft hat bei der Untersuchung des Angriffs mit dem ukrainischen Computer Emergency Response Team (CERT) zusammengearbeitet und erstmals in einem Blog-Beitrag am 14. Oktober über den «Prestige»-Vorfall informiert. Es sei «sehr wahrscheinlich», dass Sandworm dahinterstecke.

Jean-Ian Boutin, Direktor für Bedrohungsforschung bei der slowakischen Cybersicherheitsfirma ESET, sagte, man habe mit dieser Zuordnung («Attribution») gerechnet.

«Sandworm führt seit Jahren zerstörerische Angriffe durch, daher ist die Vorstellung, dass sie hinter Prestige-Ransomware stecken, nicht überraschend.

Im Jahr 2018 haben wir einige ihrer Aktionen gemeldet, bei denen Malware wie GreyEnergy gegen polnische Organisationen eingesetzt wurde, sodass dies auch mit ihren früheren Aktionen übereinstimmt.»
Jean-Ian Boutin, ESETquelle: cyberscoop.com

Was für eine neue Schadsoftware ist das?

Der Angriff mit der «Prestige»-Verschlüsselungssoftware weist gemäss Microsoft-Untersuchung «mehrere bemerkenswerte Merkmale» auf, der ihn von anderen von Microsoft verfolgten Ransomware-Kampagnen unterscheide:

  • Die Windows-Schadsoftware sei vorher noch nie im Einsatz, also «in freier Wildbahn», beobachtet worden.
  • Die «unternehmensweite Bereitstellung von Ransomware» sei in der Ukraine nicht üblich, und diese Aktivität sei «mit keiner der 94 derzeit aktiven Ransomware-Aktivitätsgruppen verbunden», heisst es im Blog-Beitrag.
  • Der Angriff weise grosse Parallelen auf mit anderen staatlich Cyber-Aktivitäten Russlands, namentlich erwähnt wird die FoxBlade-Malware, bekannt als HermeticWiper.
  • Die Hacker konnten sich offenbar vor dem Auslösen der eigentlichen Ransomware-Attacke Administrator-Zugriffsrechte zu den Opfer-Systemen verschaffen.

Die Hacker hatten sich bereits im März Zugang zu Zielen beschafft, bevor sie Ende September die Angriffe starteten.

Was ist mit Zielen im Westen?

Russische Hacker konzentrieren sich nicht nur auf die Ukraine, sagte der Microsoft-Forscher Warner in einer Präsentation über eine weitere russische Elitehackergruppe, die von Sicherheitsforschern «Berserk Bear» genannt wird.

Laut Karen Nershi, Postdoktorandin am Stanford Internet Observatory, überschneidet sich der Zeitpunkt der Angriffe russischer Ransomware-Banden auf die USA und andere westliche Nationen mit den Zielen der russischen Regierung.

«Hinter einigen dieser Angriffe könnte ein politischer Aspekt stehen», wird sie von der «Washington Post» zitiert.

Russische Banden hätten ihre Angriffe verstärkt, als diese Nationen sich wichtigen Wahlen näherten, sagt die Forscherin. Hingegen habe es keinen statistisch signifikanten Anstieg von nicht-russischen Hackerangriffen gegeben.

Quellen

(dsc)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Die gefährlichsten Cyberwaffen und ihre Folgen
1 / 15
Die gefährlichsten Cyberwaffen und ihre Folgen
Mit der Entdeckung von Stuxnet geriet erstmals eine von staatlichen Hackern entwickelte Cyberwaffe ungewollt in private Hände. Die Schadsoftware war sehr wahrscheinlich von den USA und Israel um 2006 entwickelt worden – auch wenn die beteiligten Verantwortungsträger bis heute schweigen.
Auf Facebook teilenAuf X teilen
Arnold Schwarzeneggers Rede an das russische Volk: Die Highlights
Video: watson
Das könnte dich auch noch interessieren:
20 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Alice36
12.11.2022 17:26registriert Juni 2017
Wie lange noch wird das treiben der Russen noch geduldet? Sind die Nato und die USA wirklich nicht in der Lage diese Ganoventruppe auszuschalten?
4213
Melden
Zum Kommentar
20
Wie die Schweiz die mysteriösen, mutmasslich russischen Strahlenangriffe ermöglichte
Spuren der mit einer neuartigen Energiewaffe verübten Anschläge auf US-Staatsangehörige führen nach Genf. Ein renommierter Investigativ-Journalist kritisiert die passive Haltung der Schweiz.

So beginnt ein Artikel, den die Zeitschrift «GQ» im Oktober 2020 veröffentlicht hat. Tragischer Held der Geschichte ist der damalige CIA-Agent Marc Polymeropoulos.

Zur Story