Ukrainischer Experte warnt den Westen vor russischen Elitehackern

Ein Kyivstar-Techniker füllt Treibstoff in einen Stromgenerator. Nun sind brisante Details zum Hackerangriff auf den grössten ukrainischen Provider publik geworden.Bild: keystone

Nach massivem Cyberangriff: Dieser Experte warnt den Westen vor russischen Elitehackern

Daniel Schurter

Folge mir

Wenn wir etwas lernen aus dem verbrecherischen Angriffskrieg, den Russland gegen die Ukraine führt, dann das: Es kann verheerend sein, sich in falscher Sicherheit zu wiegen. Das weiss niemand besser als Illia Vitiuk.

Vitiuk ist ein hochrangiges Mitglied des ukrainischen Sicherheitsdienstes SBU. Er leitet die Cybersicherheits-Abteilung des Inlandsgeheimdienstes. Und in dieser Funktion verfügt er über Insider-Informationen, was den bislang massivsten Hackerangriff auf die zivile Infrastruktur betrifft.

Nun hat der erfahrene Geheimdienstler Journalisten der Nachrichtenagentur Reuters ein Exklusiv-Interview gegeben und kommt darin zu einem alarmierenden Fazit.

Illia Vitiuk leitet seit November 2021 die Abteilung für Cyber- und Informationssicherheit beim SBU.Bild: zvg

Der ukrainische Geheimdienstler betont, dass Kyivstar «ein wohlhabendes privates Unternehmen» sei, das bereits viel in Cybersicherheit investiert habe. Dennoch habe die Attacke vom 12. Dezember 2023 «katastrophale Zerstörungen» verursacht. Die Angreifer hätten darauf abgezielt, dem Land einen schweren psychologischen Schlag zu versetzen.

Welche Folgen hat die Cyberattacke?

Die Attacke am 12. Dezember habe bei Kyivstar «fast alles» gelöscht, sagt Vitiuk, «darunter tausende virtuelle Server und PCs». Es handle sich wahrscheinlich um das erste Beispiel eines Cyberangriffs, mit dem «der Kern eines Telekommunikationsbetreibers vollständig zerstört» wurde.

Die Zerstörungen im Kyivstar-Netzwerk begannen gegen 05.00 Uhr Ortszeit, als sich der ukrainische Präsident Wolodymyr Selenskyj gerade in Washington aufhielt und den Westen um die Fortsetzung der Hilfslieferungen ersuchte.

Der Angriff auf das Netzwerk sei nicht von einem grösseren Raketen- und Drohnenangriff begleitet gewesen, so Vitiuk. Deshalb habe sich der Schaden in Grenzen gehalten.

Tatsächlich waren 24 Millionen Ukrainerinnen und Ukrainer von einem mehrtägigen Netzausfall direkt betroffen. Viele versuchten, zu einem anderen Provider zu wechseln. Dies dürfte zumindest für Leute, die ein Smartphone mit E-SIM-Funktionalität besitzen, relativ schnell möglich gewesen sein. In der Folge gab es auch bei der Konkurrenz Netzprobleme.

Für rund 1,1 Millionen Menschen war ein Provider-Wechsel aber keine Option: Sie leben laut Vitiuk in kleinen Städten und Dörfern, in denen es nur das Kyivstar-Netz gebe.

Aber auch in grossen Zentren gab es Probleme: In der Hauptstadt Kiew etwa fielen zeitweise Alarmsysteme aus, in Saporischschja im Süden des Landes funktionierten Zahlungsterminals nicht mehr. Und in der Region Tschernihiw im Norden fiel die Strassenbeleuchtung teilweise aus. Auf das ukrainische Militär und seine Kriegsführung hatte die Attacke indes «keine grossen Auswirkungen», versichert Illia Vitiuk.

Weiter erklärt er, der SBU habe Kyivstar dabei geholfen, die eigenen Systeme innerhalb weniger Tage wiederherzustellen und neue Cyberangriffe abzuwehren. Es habe eine ganze Reihe neuer Angriffsversuche gegeben. Ohne Erfolg.

Der CEO von Kyivstar, Oleksandr Komarov, sagte am 20. Dezember, dass alle Dienstleistungen des Unternehmens im ganzen Land vollständig wiederhergestellt seien.

Etwa zur gleichen Zeit reagierten ukrainische Hacker mit einem Cyberangriff auf das Moskauer Wasserversorgungs-Unternehmen Rosvodokanal, bei dem Berichten zufolge die IT-Infrastruktur des Unternehmens zerstört wurde. Die Attacke soll mit Unterstützung des SBU erfolgt sein.

Wie konnten die Angreifer ins Netzwerk eindringen?

Der Angriff auf Kyivstar sei möglicherweise durch Ähnlichkeiten mit dem russischen Mobilfunkbetreiber Beeline erleichtert worden, der über eine ähnliche Infrastruktur verfüge.

Die forensische Untersuchung des Angriffs sei aber schwierig, da die Infrastruktur von Kyivstar zerstört wurde.

Während der folgenden Untersuchung stellte der SBU fest, dass russische Hacker wahrscheinlich im März oder früher versucht hatten, ins Kyivstar-Netzwerk einzudringen.

Der SBU geht davon aus, dass die Hacker dank der Administrator-Zugriffsrechte, die sie erlangen konnten, auch in der Lage waren, persönliche Daten zu stehlen, den Standort von Mobilgeräten zu ermitteln, Textnachrichten abzufangen und möglicherweise auch Telegram-Konten zu kapern.

Offenbar laufen die Untersuchungen des SBU immer noch, wie die Hacker in das Kyivstar-Netzwerk eindringen konnten und welche Angriffswerkzeuge sie verwendeten. Es könnte sich um Phishing handeln, also eine manipulierte E-Mail-Nachricht, einen Insider-Job oder etwas anderes.

Wer steckt dahinter?

Eine russische Hacktivisten-Gruppe namens Solntsepyok bekannte sich beim Messenger-Dienst Telegram zu dem Angriff und veröffentlichte als Beleg Screenshots.

Tatsächlich deutet sehr vieles auf Sandworm hin – die zum russischen Militärgeheimdienst GRU zählende Elitehacker-Einheit 74455, die auch als Voodoo Bear bekannt ist.

Vitiuk sagte gegenüber Reuters, er sei «ziemlich sicher», dass es sich um eine Sandworm-Operation handle. Zu einer vergleichbaren Einschätzung kommen auch die Fachleute der US-amerikanischen IT-Sicherheitsfirma Crowdstrike.

Die russische Regierung selbst hat jegliche Beteiligung an den Cyberangriffen bestritten.

Gemäss Vitiuk waren Sandworm-Hacker schon vor einem Jahr in das Netzwerk eines ukrainischen Telekom-Anbieters eingedrungen. Sie seien jedoch aufgeflogen, weil sich der SBU selber in russischen Systemen aufgehalten habe. Dieser frühere Hackerangriff sei erst jetzt publik gemacht worden.

Wenn es Russland nicht mit Cyberangriffen gelinge, die Stromversorgung zu unterbrechen, seien Raketenangriffe die Lösung. Und dann seien die Ukrainer gezwungen, auf Generatoren zurückzugreifen und auf Geräte wie Starlink, um die Verbindung dieser Geräte aufrechtzuerhalten. Dies biete Russland mehr Möglichkeiten, Schwachstellen anzugreifen.

Wie gross ist die Bedrohung für den Westen?

Befürchtungen, dass Russland wegen der Unterstützung der Ukraine massive Cyberangriffe gegen westliche Unternehmen starten könnte, wollte Vitiuk bislang nicht bestärken. In einem Exklusiv-Interview im September 2023 wies er auf die begrenzten personellen Ressourcen Russlands hin.

Im Oktober 2023, also Monate vor der Kyivstar-Attacke, gab Vitiuk dem US-Medium The Record ein Exklusiv-Interview. Und darin wies der ukrainische Geheimdienstler auf die gewachsene Bedrohung bezüglich Cyberkriegsführung hin. Russland baue ein nationales Cyber-Offensivprogramm auf.

Man habe um die Aktivitäten der russischen Elitehacker gewusst, die für Spezialdienste wie den GRU (Militärgeheimdienst), den FSB (Sicherheitsdienst) und den SVR (Auslandsgeheimdienst) tätig waren, aber nun sehe man einen neuen Ansatz, warnte Vitiuk. In militärischen Bildungseinrichtungen Russlands würden Studierende systematisch darin unterrichtet, wie Cyberattacken durchgeführt werden.

Das russische Cyber-Offensivprogramm sei gemäss den vorliegenden Daten vor fünf Jahren lanciert worden. Und inzwischen hätten sich die Auswirkungen gezeigt: Im Jahr 2020 habe die Ukraine 800 Angriffe auf ihre Infrastruktur registriert. Und 2022 – also im ersten Jahr der gross angelegten Invasion – seien es dann bereits 4500 Angriffe gewesen.

Das nationale Cyber-Offensivprogramm werde immer mehr auch zum Problem für den Westen, weil Russland immer mehr IT-Fachkräfte gewinne, so Vitiuk. Sie verfügten über mehr Ressourcen und könnten auch andere Länder angreifen, «nicht nur die Ukraine oder DDoS-Angriffe auf niedriger Ebene auf Estland, Litauen oder NATO-Websites».

Die deutsche Denkfabrik DGAP hat die westlichen Staaten bereits vor einem direkten Angriff Russlands auf die NATO gewarnt, und zwar «schon in sechs bis zehn Jahren». Polens nationale Sicherheitsbehörde hingegen äusserte sich noch dringlicher und schätzte, dass Russland die NATO möglicherweise in weniger als 36 Monaten attackieren könnte.

Quellen