Hackerangriffe auf Transport- und Logistikunternehmen in der Ukraine und in Polen waren das Werk einer berüchtigten russischen Militärgeheimdiensteinheit. Zu diesem Schluss kommen IT-Sicherheitsforscher von Microsoft, nachdem sie digitale Spuren forensisch ausgewertet haben.
Dies könnte ein erhöhtes Risiko für Organisationen signalisieren, die direkt humanitäre oder militärische Hilfe in die Ukraine liefern oder transportieren, warnt Microsoft.
Die «Washington Post» zitiert den Analysten Justin Warner vom Microsoft Security Response Center (MSTIC): Dies sei das erste Ereignis seit Beginn der russischen Invasion in der Ukraine und dem Hackerangriff auf das Viasat-Satellitennetzwerk, bei dem man «eine nicht-ukrainische Organisation» als (russisches) Angriffsziel beobachten konnte.
Es sei der erste Cyberangriff seit Kriegsbeginn, der darauf abziele, ein NATO-Ziel absichtlich zu treffen, hält auch der Cyberspionage-Analyst Ben Read fest, der für die zu Google gehörende IT-Sicherheitsfirma Mandiant arbeitet.
Die Gruppe, die hinter den Angriffen steckt, wird vom Microsoft Threat Intelligence Center (MSTIC) als «Iridium» identifiziert, einer breiteren Öffentlichkeit ist sie als «Sandworm» bekannt. Sie hatte am 8. April in der Ukraine versucht, mehrere Umspannwerke und andere Teile der Stromversorgung für 2 Millionen Menschen lahmzulegen. Sie gilt als eine der gefährlichsten Elitehacker-Gruppierungen Russlands und soll zum Militärnachrichtendienst (GRU) gehören.
Der Hauptangriff fand Anfang Oktober statt. Die Angreifer waren zuvor unerkannt in die Netzwerke der Opfer eingedrungen und versuchten dann durch den Einsatz einer Verschlüsselungssoftware – Codename «Prestige» – den Zugang zu den betroffenen IT-Systemen zu verunmöglichen.
Gemäss Microsoft-Bericht wurden die Cyberattacken auf sämtliche Opfer innerhalb einer Stunde verübt.
Sandworm führt seit Jahren Cyberattacken gegen Ziele in der Ukraine und in Osteuropa durch. Zu den verheerendsten Angriffen gehörte NotPetya 2017, ein modifizierter Windows-Verschlüsselungstrojaner, der sich weltweit verbreitete.
Durch Angriffe auf Logistik- und Transportunternehmen könnte der russische Militärgeheimdienst versuchen, den Waren- und Materialfluss in die Ukraine zu behindern. Bekanntlich haben die russischen Streitkräfte in den vergangenen Monaten eine Reihe militärischer Rückschläge erlitten.
Der Warenfluss aus Partnerländern in die Ukraine sei für die Ukraine ein wichtiger Weg, um die benötigten Vorräte zu beschaffen, heisst es in Medienberichten. Cyberattacken gegen die IT-Infrastruktur in Polen – einem NATO-Verbündeten – seien eine der wenigen Möglichkeiten, wie Russland sich an den Logistikpartnern der Ukraine rächen könne.
Microsoft hat bei der Untersuchung des Angriffs mit dem ukrainischen Computer Emergency Response Team (CERT) zusammengearbeitet und erstmals in einem Blog-Beitrag am 14. Oktober über den «Prestige»-Vorfall informiert. Es sei «sehr wahrscheinlich», dass Sandworm dahinterstecke.
Jean-Ian Boutin, Direktor für Bedrohungsforschung bei der slowakischen Cybersicherheitsfirma ESET, sagte, man habe mit dieser Zuordnung («Attribution») gerechnet.
Der Angriff mit der «Prestige»-Verschlüsselungssoftware weist gemäss Microsoft-Untersuchung «mehrere bemerkenswerte Merkmale» auf, der ihn von anderen von Microsoft verfolgten Ransomware-Kampagnen unterscheide:
Die Hacker hatten sich bereits im März Zugang zu Zielen beschafft, bevor sie Ende September die Angriffe starteten.
Russische Hacker konzentrieren sich nicht nur auf die Ukraine, sagte der Microsoft-Forscher Warner in einer Präsentation über eine weitere russische Elitehackergruppe, die von Sicherheitsforschern «Berserk Bear» genannt wird.
Laut Karen Nershi, Postdoktorandin am Stanford Internet Observatory, überschneidet sich der Zeitpunkt der Angriffe russischer Ransomware-Banden auf die USA und andere westliche Nationen mit den Zielen der russischen Regierung.
«Hinter einigen dieser Angriffe könnte ein politischer Aspekt stehen», wird sie von der «Washington Post» zitiert.
Russische Banden hätten ihre Angriffe verstärkt, als diese Nationen sich wichtigen Wahlen näherten, sagt die Forscherin. Hingegen habe es keinen statistisch signifikanten Anstieg von nicht-russischen Hackerangriffen gegeben.
(dsc)
