Digital
Ukraine

Ukrainischer Experte warnt den Westen vor russischen Elitehackern

Technician Oleksandr Puhlenko, of Ukrainian mobile telephone network operator Kyivstar, pours gasoline from a jerry can into a tank of a generator for phone tower on the outskirts of Kyiv, Ukraine, We ...
Ein Kyivstar-Techniker füllt Treibstoff in einen Stromgenerator. Nun sind brisante Details zum Hackerangriff auf den grössten ukrainischen Provider publik geworden.Bild: keystone

Nach massivem Cyberangriff: Dieser Experte warnt den Westen vor russischen Elitehackern

Ein hochrangiger ukrainischer Geheimdienstler hat Details zum massiven russischen Hackerangriff auf den Mobilfunk-Provider Kyivstar verraten. Und er richtet eine «grosse Warnung» an den Westen.
06.01.2024, 11:4306.01.2024, 13:05
Mehr «Digital»

Wenn wir etwas lernen aus dem verbrecherischen Angriffskrieg, den Russland gegen die Ukraine führt, dann das: Es kann verheerend sein, sich in falscher Sicherheit zu wiegen. Das weiss niemand besser als Illia Vitiuk.

Vitiuk ist ein hochrangiges Mitglied des ukrainischen Sicherheitsdienstes SBU. Er leitet die Cybersicherheits-Abteilung des Inlandsgeheimdienstes. Und in dieser Funktion verfügt er über Insider-Informationen, was den bislang massivsten Hackerangriff auf die zivile Infrastruktur betrifft.

Nun hat der erfahrene Geheimdienstler Journalisten der Nachrichtenagentur Reuters ein Exklusiv-Interview gegeben und kommt darin zu einem alarmierenden Fazit.

«Dieser Angriff ist eine grosse Botschaft, eine grosse Warnung, nicht nur an die Ukraine, sondern an die gesamte westliche Welt, um zu verstehen, dass niemand wirklich unantastbar ist.»
Illia Vitiuk, SBU
Illia Vitiuk ist seit November 2021 Leiter der Abteilung für Cyber- und Informationssicherheit des ukrainischen Geheimdienstes SBU.
Illia Vitiuk leitet seit November 2021 die Abteilung für Cyber- und Informationssicherheit beim SBU.Bild: zvg

Der ukrainische Geheimdienstler betont, dass Kyivstar «ein wohlhabendes privates Unternehmen» sei, das bereits viel in Cybersicherheit investiert habe. Dennoch habe die Attacke vom 12. Dezember 2023 «katastrophale Zerstörungen» verursacht. Die Angreifer hätten darauf abgezielt, dem Land einen schweren psychologischen Schlag zu versetzen.

Welche Folgen hat die Cyberattacke?

Die Attacke am 12. Dezember habe bei Kyivstar «fast alles» gelöscht, sagt Vitiuk, «darunter tausende virtuelle Server und PCs». Es handle sich wahrscheinlich um das erste Beispiel eines Cyberangriffs, mit dem «der Kern eines Telekommunikationsbetreibers vollständig zerstört» wurde.

Die Zerstörungen im Kyivstar-Netzwerk begannen gegen 05.00 Uhr Ortszeit, als sich der ukrainische Präsident Wolodymyr Selenskyj gerade in Washington aufhielt und den Westen um die Fortsetzung der Hilfslieferungen ersuchte.

Der Angriff auf das Netzwerk sei nicht von einem grösseren Raketen- und Drohnenangriff begleitet gewesen, so Vitiuk. Deshalb habe sich der Schaden in Grenzen gehalten.

Tatsächlich waren 24 Millionen Ukrainerinnen und Ukrainer von einem mehrtägigen Netzausfall direkt betroffen. Viele versuchten, zu einem anderen Provider zu wechseln. Dies dürfte zumindest für Leute, die ein Smartphone mit E-SIM-Funktionalität besitzen, relativ schnell möglich gewesen sein. In der Folge gab es auch bei der Konkurrenz Netzprobleme.

Für rund 1,1 Millionen Menschen war ein Provider-Wechsel aber keine Option: Sie leben laut Vitiuk in kleinen Städten und Dörfern, in denen es nur das Kyivstar-Netz gebe.

Aber auch in grossen Zentren gab es Probleme: In der Hauptstadt Kiew etwa fielen zeitweise Alarmsysteme aus, in Saporischschja im Süden des Landes funktionierten Zahlungsterminals nicht mehr. Und in der Region Tschernihiw im Norden fiel die Strassenbeleuchtung teilweise aus. Auf das ukrainische Militär und seine Kriegsführung hatte die Attacke indes «keine grossen Auswirkungen», versichert Illia Vitiuk.

Weiter erklärt er, der SBU habe Kyivstar dabei geholfen, die eigenen Systeme innerhalb weniger Tage wiederherzustellen und neue Cyberangriffe abzuwehren. Es habe eine ganze Reihe neuer Angriffsversuche gegeben. Ohne Erfolg.

Der CEO von Kyivstar, Oleksandr Komarov, sagte am 20. Dezember, dass alle Dienstleistungen des Unternehmens im ganzen Land vollständig wiederhergestellt seien.

Etwa zur gleichen Zeit reagierten ukrainische Hacker mit einem Cyberangriff auf das Moskauer Wasserversorgungs-Unternehmen Rosvodokanal, bei dem Berichten zufolge die IT-Infrastruktur des Unternehmens zerstört wurde. Die Attacke soll mit Unterstützung des SBU erfolgt sein.

Wie konnten die Angreifer ins Netzwerk eindringen?

Der Angriff auf Kyivstar sei möglicherweise durch Ähnlichkeiten mit dem russischen Mobilfunkbetreiber Beeline erleichtert worden, der über eine ähnliche Infrastruktur verfüge.

Die forensische Untersuchung des Angriffs sei aber schwierig, da die Infrastruktur von Kyivstar zerstört wurde.

Während der folgenden Untersuchung stellte der SBU fest, dass russische Hacker wahrscheinlich im März oder früher versucht hatten, ins Kyivstar-Netzwerk einzudringen.

«Im Moment können wir mit Sicherheit sagen, dass sie mindestens seit Mai 2023 im System waren. Ich kann im Moment nicht sagen, seit wann sie vollen Zugriff hatten: wahrscheinlich mindestens seit November.»

Der SBU geht davon aus, dass die Hacker dank der Administrator-Zugriffsrechte, die sie erlangen konnten, auch in der Lage waren, persönliche Daten zu stehlen, den Standort von Mobilgeräten zu ermitteln, Textnachrichten abzufangen und möglicherweise auch Telegram-Konten zu kapern.

Offenbar laufen die Untersuchungen des SBU immer noch, wie die Hacker in das Kyivstar-Netzwerk eindringen konnten und welche Angriffswerkzeuge sie verwendeten. Es könnte sich um Phishing handeln, also eine manipulierte E-Mail-Nachricht, einen Insider-Job oder etwas anderes.

Wer steckt dahinter?

Eine russische Hacktivisten-Gruppe namens Solntsepyok bekannte sich beim Messenger-Dienst Telegram zu dem Angriff und veröffentlichte als Beleg Screenshots.

Tatsächlich deutet sehr vieles auf Sandworm hin – die zum russischen Militärgeheimdienst GRU zählende Elitehacker-Einheit 74455, die auch als Voodoo Bear bekannt ist.

«Sandworm ist die bevorzugte Waffe Moskaus für Cyberangriffe. Kein anderer Akteur kommt in Bezug auf die unmittelbare Bedrohung kritischer Infrastrukturen in der Ukraine an sie heran.»
John Hultquist, IT-Sicherheitsexperte, Mandiant

Vitiuk sagte gegenüber Reuters, er sei «ziemlich sicher», dass es sich um eine Sandworm-Operation handle. Zu einer vergleichbaren Einschätzung kommen auch die Fachleute der US-amerikanischen IT-Sicherheitsfirma Crowdstrike.

«Die Berichte über die Zerstörung der virtuellen Infrastruktur von Kyivstar decken sich mit Berichten über ausgefallene Luftschutzsirenen in Kiew, über Störungen an Zahlungsterminals in mehreren Banken sowie über Probleme bei der Bezahlung von öffentlichen Verkehrsmitteln.»
Adam Meyers, Head of Counter Adversary Operation bei Crowdstrike

Die russische Regierung selbst hat jegliche Beteiligung an den Cyberangriffen bestritten.

Gemäss Vitiuk waren Sandworm-Hacker schon vor einem Jahr in das Netzwerk eines ukrainischen Telekom-Anbieters eingedrungen. Sie seien jedoch aufgeflogen, weil sich der SBU selber in russischen Systemen aufgehalten habe. Dieser frühere Hackerangriff sei erst jetzt publik gemacht worden.

Wenn es Russland nicht mit Cyberangriffen gelinge, die Stromversorgung zu unterbrechen, seien Raketenangriffe die Lösung. Und dann seien die Ukrainer gezwungen, auf Generatoren zurückzugreifen und auf Geräte wie Starlink, um die Verbindung dieser Geräte aufrechtzuerhalten. Dies biete Russland mehr Möglichkeiten, Schwachstellen anzugreifen.

Wie gross ist die Bedrohung für den Westen?

Befürchtungen, dass Russland wegen der Unterstützung der Ukraine massive Cyberangriffe gegen westliche Unternehmen starten könnte, wollte Vitiuk bislang nicht bestärken. In einem Exklusiv-Interview im September 2023 wies er auf die begrenzten personellen Ressourcen Russlands hin.

«Ich denke, sie haben nicht genug Potenzial dafür. Sie konzentrieren sich zu sehr auf die Ukraine.»

Im Oktober 2023, also Monate vor der Kyivstar-Attacke, gab Vitiuk dem US-Medium The Record ein Exklusiv-Interview. Und darin wies der ukrainische Geheimdienstler auf die gewachsene Bedrohung bezüglich Cyberkriegsführung hin. Russland baue ein nationales Cyber-Offensivprogramm auf.

Man habe um die Aktivitäten der russischen Elitehacker gewusst, die für Spezialdienste wie den GRU (Militärgeheimdienst), den FSB (Sicherheitsdienst) und den SVR (Auslandsgeheimdienst) tätig waren, aber nun sehe man einen neuen Ansatz, warnte Vitiuk. In militärischen Bildungseinrichtungen Russlands würden Studierende systematisch darin unterrichtet, wie Cyberattacken durchgeführt werden.

«Das ist etwas völlig Neues. Niemand bringt den Menschen jemals bei, wie man staatliche Systeme angreift und zerstört. Russland tut es heute. Sie betreiben Forschung und Entwicklung (R&D) in ihren Hochschuleinrichtungen und schaffen die Grundlagen für die künftige Ausweitung ihrer Cyberangriffe.»

Das russische Cyber-Offensivprogramm sei gemäss den vorliegenden Daten vor fünf Jahren lanciert worden. Und inzwischen hätten sich die Auswirkungen gezeigt: Im Jahr 2020 habe die Ukraine 800 Angriffe auf ihre Infrastruktur registriert. Und 2022 – also im ersten Jahr der gross angelegten Invasion – seien es dann bereits 4500 Angriffe gewesen.

«Ich sage immer, dass die Ukraine als Schutzschild für die gesamte entwickelte demokratische Welt fungiert, weil wir es mit dem grössten Teil des aggressiven Cyber-Potenzials Russlands zu tun haben.»

Das nationale Cyber-Offensivprogramm werde immer mehr auch zum Problem für den Westen, weil Russland immer mehr IT-Fachkräfte gewinne, so Vitiuk. Sie verfügten über mehr Ressourcen und könnten auch andere Länder angreifen, «nicht nur die Ukraine oder DDoS-Angriffe auf niedriger Ebene auf Estland, Litauen oder NATO-Websites».

Die deutsche Denkfabrik DGAP hat die westlichen Staaten bereits vor einem direkten Angriff Russlands auf die NATO gewarnt, und zwar «schon in sechs bis zehn Jahren». Polens nationale Sicherheitsbehörde hingegen äusserte sich noch dringlicher und schätzte, dass Russland die NATO möglicherweise in weniger als 36 Monaten attackieren könnte.

Zur Person
Illia Vitiuk wurde in der Region Kiew (Ukraine) geboren. Im Jahr 2009 schloss er sein Studium an der Nationalen Akademie des Sicherheitsdienstes der Ukraine (SBU) ab und erhielt ein Diplom im Fachbereich Recht. Seit 2009 arbeitet er für den ukrainischen Inlandsgeheimdienst.

Im Jahr 2012 schloss er sein Studium an der Wirtschaftsuniversität Kiew im Fachgebiet Internationale Wirtschaft mit Auszeichnung ab. Seit November 2021 leitet er die Abteilung für Cyber- und Informationssicherheit des SBU. Zuvor war er eine Zeit lang als Profikampfsportler tätig gewesen, mit Spezialisierung auf Mixed Martial Arts.

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Wie der russische Militärgeheimdienst GRU hackt und tötet
1 / 25
Wie der russische Militärgeheimdienst GRU hackt und tötet
Zum Repertoire des russischen Militärgeheimdienstes GRU gehören gezielte Tötungen, verdeckte Militäreinsätze, Hackerangriffe und die Manipulation von Wahlen. In dieser Bildstrecke lernst du seine Einheiten und Operationen kennen.
quelle: shutterstock
Auf Facebook teilenAuf X teilen
Arnold Schwarzeneggers starke Botschaft gegen Hass und Antisemitismus
Video: watson
Das könnte dich auch noch interessieren:
62 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Maila
06.01.2024 13:01registriert März 2020
Russland wird immer mehr zu einer Gefahr für die westliche Welt: Krieg in der Ukraine, Cyber-Attacken, Unterstützung von terroristischen Organisationen, Fake-Accounts und Bots in den sozialen Medien, Beeinflussung von Wahlen, …

Und was macht die westliche Welt? Wann anerkennen wir und die Politik endlich öffentlich diese Gefahr? Wann stellen wir uns dieser Gefahr endlich entgegen?

Und bitte nicht mit dem SVP Slogan „wir sind neutral“ kommen. Wir müssen uns jetzt vorbereiten und nicht erst, wenn es zu spät ist.
1418
Melden
Zum Kommentar
avatar
_andreas
06.01.2024 14:03registriert April 2020
Die Schweiz Beobachtet das ganze sicher ganz genau. So genau, dass ein VBS Zulieferer gehackt wird und geheime Informationen unserer Luftwaffe im Darknet landet und andere uns darauf hinweisen müssen 🤷‍♂️

Was braucht der Westen noch bis er endlich merkt dass Russland auch gegen uns Krieg führt und der Ukraine endlich die benötigten Waffen liefert und die eigene Rüstungsindustrie hochfährt?
1097
Melden
Zum Kommentar
avatar
KLERUS
06.01.2024 13:55registriert Oktober 2021
Die Politik gegenüber Russland ist nach meiner Meinung immer noch zu lasch. Russland will keinen Frieden und dementsprechend verhält Russland sich. Es were ein leichtes Russland wirtschaftlich zum kollabieren zu bringen. Dazu braucht es nur eine moderate Aufrüstung aller europäischen Länder, inkl. einer starker Konzentration europäischer Kampfverbände an der Grenze. Dies würde Russland zu einer im Verhältnis zum BIP katastrophaler Rüstungspolitik zwingen, die letztlich wie die Sowjetunion zum Kollaps führt.
836
Melden
Zum Kommentar
62
Europarat nimmt KI-Konvention an – darum hagelte es Kritik
Das KI-Abkommen habe wenig mit europäischen Werten zu tun, wendeten kritische Stimmen im Vorfeld ein. Daran seien vor allem die USA schuld, die die eigene KI-Industrie nicht einschränken wollten.

Der Europarat will mit einer Konvention die Menschenrechte vor dem Missbrauch durch Künstliche Intelligenz (KI) schützen. Die Organisation hofft auf eine weltweite Wirkung – doch es gibt deutliche Kritik.

Zur Story