Cyberbedrohungen und russisch-ukrainische Spannungen: Was zeigt die Geschichte?
Chester Wisniewski, Principal Research Scientist bei Sophos, blickt zurück auf die Geschichte der Aktivitäten des russischen Staates im Cyberumfeld.
Hier gibt es den englischen Originaltext von Chester Wisniewski in gesamter Länge
Angesichts des Aufmarschs russischer Truppen an der Grenze zur Ukraine und der DDoS-Angriffe (Distributed Denial of Service), die ukrainische Regierungswebsites und Finanzdienstleister angreifen, wird viel darüber gesprochen, dass man auf Cyberkonflikte vorbereitet sein sollte, unabhängig davon, ob es zu einem tatsächlichen Krieg kommt oder nicht. Ein Blick auf die Geschichte der Aktivitäten des russischen Staates im Cyberumfeld zeigt, welche Arten von Aktivitäten zu erwarten sind, beziehungsweise wie Organisationen darauf vorbereitet sein können.
26. April 2007: Destabilisierende Denial-of-Service-Angriffe
Die früheste bekannte Aktivität geht auf den 26. April 2007 zurück, als die estnische Regierung eine Statue zum Gedenken an die Befreiung Estlands von den Nazis durch die Sowjetunion an einen weniger prominenten Ort versetzte. Diese Aktion erzürnte die russischsprachige Bevölkerung Estlands und destabilisierte die Beziehungen zu Moskau. Kurz darauf kam es zu Unruhen auf den Straßen, zu Protesten vor der estnischen Botschaft in Moskau und zu einer Welle von DDoS-Angriffen auf estnische Regierungs– und Finanzdienstleistungs-Websites.
Vollständig vorbereitete Tools und Anleitungen zur Beteiligung an DDoS-Angriffen erschienen in russischen Foren fast unmittelbar nach der Verlegung der Statue. Diese Angriffe richteten sich gegen Websites des Präsidenten, des Parlaments, der Polizei, der politischen Parteien und der wichtigsten Medienunternehmen.
4. Mai 2007: Intensivere Angriffe, auch auf Banken
Am 4. Mai 2007 intensivierten sich die Angriffe und zielten zusätzlich auf Banken ab. Genau sieben Tage später endeten die Angriffe um Mitternacht so abrupt, wie sie begonnen hatten. Alle beschuldigten sofort Russland, doch ist es nahezu unmöglich, verteilte Denial-of-Service-Angriffe zuzuordnen. Es wird jetzt allgemein angenommen, dass diese DDoS-Angriffe das Werk des Russian Business Network (RBN) waren, einer berüchtigten Gruppe des organisierten Verbrechens in Russland mit Verbindungen zu Spamming, Botnets und pharmazeutischen Partnerprogrammen. Ihre Dienste wurden offenbar genau eine Woche lang “in Anspruch genommen”, um diese Angriffe durchzuführen.
19. Juli 2008: Neue Welle von DDoS-Angriffen
Am 19. Juli 2008 begann eine neue Welle von DDoS-Angriffen, die sich gegen Nachrichten- und Regierungswebsites in Georgien richtete. Diese Angriffe verstärkten sich auf mysteriöse Weise am 8. August 2008 dramatisch, als russische Truppen in die separatistische Provinz Süd-Ossetien einmarschierten. Die Angriffe richteten sich zunächst gegen georgische Nachrichten- und Regierungsseiten, später auch gegen Finanzinstitute, Unternehmen, Bildungseinrichtungen, westliche Medien und eine georgische Hacker-Website.
Wie bei den früheren Angriffen auf Estland erschien eine Website mit einer Liste von Zielen sowie einer Reihe von Tools mit Anleitungen zu deren Verwendung. Auch hier wurde versucht, die Angriffe den “Patrioten” zuzuschreiben, die sich gegen die georgische Aggression wehrten. Doch der Großteil des tatsächlichen Angriffsverkehrs stammte von einem bekannten großen Botnetz, das vermutlich von RBN kontrolliert wurde.
Januar 2009: Serie von DDoS-Angriffen in Kirgisistan
Weniger als ein Jahr später, im Januar 2009, begann eine weitere Serie von DDoS-Angriffen in Kirgisistan. Dies geschah zur gleichen Zeit, als die kirgisische Regierung über die Verlängerung des Mietvertrags für einen US-Luftwaffenstützpunkt in ihrem Land entschied. Ein Zufall? Es sah so aus, als ob die Aktion wieder vom RBN durchgeführt wurde, aber diesmal war es keine List von “Patrioten”, die ihre digitale Meinung zum Ausdruck brachten.
Seit 2009 wird ein Informationskrieg auf niedrigem Level gegen die Ukraine geführt, wobei viele Angriffe mit Ereignissen zusammenfallen, die als Bedrohung für russische Interessen interpretiert werden könnten, wie etwa ein NATO-Gipfel und Verhandlungen zwischen der Ukraine und der EU über ein Assoziierungsabkommen.
März 2014: Schadsoftware “Snake” attackiert die Ukraine
Im März 2014 berichtete die New York Times, dass die Schadsoftware “Snake” in das Büro des ukrainischen Premierministers und mehrere entfernte Botschaften eingedrungen war, als in der Ukraine regierungsfeindliche Proteste begannen. Gegen Ende des Jahres 2013 und zu Beginn des Jahres 2014 veröffentlichte ESET außerdem Untersuchungen, die Angriffe auf militärische Ziele und Medien dokumentierten und als “Operation Potao Express” bezeichnet wurden.
Lesen Sie auch : BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespanntWie zuvor führte eine einheimische Cybergruppe namens “Cyber Berkut” DDoS-Angriffe und Web-Verunstaltungen durch, ohne jedoch größeren Schaden anzurichten. Sie sorgte jedoch für große Verwirrung, und allein das hat in Konfliktzeiten Auswirkungen.
Zu Beginn des Konflikts übernahmen Soldaten ohne Abzeichen die Kontrolle über die Telekommunikationsnetze der Krim und den einzigen Internetknotenpunkt in der Region und verursachten einen Informationsstopp. Die Angreifer missbrauchten ihren Zugang zum Mobilfunknetz, um antirussische Demonstranten zu identifizieren und ihnen SMS-Nachrichten zu schicken, in denen stand: “Sehr geehrter Anschlussinhaber, Sie sind als Teilnehmer an einem Massenaufruhr registriert.”
Nachdem sie die Kommunikationsfähigkeit der Krim isoliert hatten, manipulierten die Angreifer auch die Mobiltelefone von Mitgliedern des ukrainischen Parlaments und hinderten sie daran, wirksam auf die Invasion zu reagieren. Wie in Military Cyber Affairs erwähnt, liefen die Desinformationskampagnen auf Hochtouren.
23. Dezember 201: Stromzufuhr abgestellt
Am 23. Dezember 2015 wurde etwa der Hälfte der Einwohner von Iwano-Frankiwsk (Ukraine) abrupt der Strom abgestellt. Es wird allgemein angenommen, dass dies das Werk von staatlich unterstützten russischen Hackern war. Die ersten Angriffe begannen mehr als sechs Monate vor dem Stromausfall, als Mitarbeiter in drei Stromverteilungszentren ein infiziertes Microsoft Office-Dokument mit einem Makro öffneten, das Malware namens BlackEnergy installieren sollte.
Den Angreifern gelang es, sich Fernzugriffsdaten für das SCADA-Netzwerk (Supervisory Control and Data Acquisition) zu verschaffen und die Kontrolle über die Steuerungen der Umspannwerke zu übernehmen, um die Leistungsschalter zu öffnen. Anschließend beeinträchtigten sie die Remote-Kontrollen, um zu verhindern, dass die Schalter geschlossen werden können, um die Stromversorgung wiederherzustellen. Darüber hinaus setzten die Angreifer einen “Wiper” ein, um die zur Steuerung des Netzes verwendeten Computer zu zerstören, und führten gleichzeitig einen telefonischen Denial-of-Service-Angriff (TDoS) durch, indem sie die Kundendienstnummern überfluteten und so die Kunden, die versuchten, die Ausfälle zu melden zu frustrierten.
27. Juni 2017: NotPetya greift Lieferkette an
Russlands hartnäckige Angriffe auf die Ukraine waren noch nicht vorbei, und am 27. Juni 2017 verschärften sie die Situation, als sie eine neue Malware mit dem Namen NotPetya auf den Markt brachten. NotPetya war als neue Ransomware getarnt und wurde über eine gehackte Lieferkette eines ukrainischen Anbieters von Buchhaltungssoftware verbreitet. Tatsächlich handelte es sich aber gar nicht um Ransomware. Sie verschlüsselte zwar einen Computer, konnte aber nicht entschlüsselt werden, so dass das Gerät effektiv gelöscht und unbrauchbar gemacht wurde.
Die Opfer waren nicht auf ukrainische Unternehmen beschränkt. Die Malware verbreitete sich innerhalb weniger Stunden weltweit, wobei vor allem Organisationen betroffen waren, die in der Ukraine tätig waren, wo die mit Sprengfallen versehene Buchhaltungssoftware eingesetzt wurde. Es wird geschätzt, dass NotPetya weltweit einen Schaden von mindestens 10 Milliarden US-Dollar verursacht hat.
9. Februar 2018: Malware-Angriff auf olympisches Netzwerk
Als die Olympischen Winterspiele in PyeongChang am 9. Februar 2018 eröffnet wurden, stand ein weiterer Angriff kurz bevor, der die Welt in Atem hielt. Der Malware-Angriff setzte alle Domain-Controller im gesamten olympischen Netzwerk außer Gefecht und verhinderte, dass alles, vom WLAN bis zu den Ticketschaltern, ordnungsgemäß funktionierte. Wie durch ein Wunder gelang es dem IT-Team, das Netzwerk zu isolieren, die Malware wiederherzustellen und von den Systemen zu entfernen, so dass am nächsten Morgen alles wieder funktionierte, ohne dass ein Fehler auftrat.
Dann war es an der Zeit, eine Malware-Analyse durchzuführen, um herauszufinden, wer das gesamte Olympia-Netzwerk angreifen und lahmlegen wollte. Die Zuordnung von Malware ist schwierig, aber es gab einige Hinweise, die hilfreich sein könnten, oder es handelte sich um falsche Fährten, die auf eine unbeteiligte dritte Partei hindeuten sollten. Die “Beweise” schienen auf Nordkorea und China zu deuten, aber es war fast zu offensichtlich, um Nordkorea die Schuld zu geben. Am Ende fand Igor Soumenkov von Kaspersky Lab mit brillanter Detektivarbeit eine heiße Fährte, die direkt auf Moskau zeigte.
13. und 14. Januar 2022: Cyberpolitische Spannungen nehmen zu
Im Jahr 2022 nehmen die cyberpolitischen Spannungen wieder zu und stehen kurz vor der Zerreißprobe. Am 13. und 14. Januar 2022 wurden zahlreiche Websites der ukrainischen Regierung verunstaltet und Systeme mit als Ransomware getarnter Malware infiziert.
Mehrere Komponenten dieser Angriffe erinnern an die Vergangenheit. Bei der Malware handelte es sich nicht um Ransomware, sondern lediglich um einen ausgeklügelten Wiper, wie er auch bei den NotPetya-Angriffen eingesetzt wurde. Außerdem wurden viele falsche Fährten hinterlassen, die darauf schließen lassen, dass es sich um das Werk ukrainischer Dissidenten oder polnischer Partisanen handeln könnte. Ablenken, verwirren, leugnen und versuchen zu spalten scheint jetzt das Standardrepertoire zu sein.
Lesen Sie auch : Cybersicherheitsstrategie: Lehren aus Bletchley ParkAm Dienstag, den 15. Februar 2022, wurde eine Reihe von DDoS-Angriffen auf ukrainische Regierungs- und Militärseiten sowie auf drei der größten ukrainischen Banken gestartet. In einem beispiellosen Schritt hat das Weiße Haus bereits einige Geheimdienstinformationen freigegeben und die Angriffe dem russischen GRU zugeschrieben.
Das russische Playbook für Cyberkriegsführung
Was nun? Unabhängig davon, ob die Lage weiter eskaliert, werden die Cyberoperationen mit Sicherheit weitergehen. Seit dem Sturz von Viktor Janukowitsch im Jahr 2014 ist die Ukraine einer ständigen Flut von Angriffen ausgesetzt, die in unterschiedlichem Maße Höhen und Tiefen aufweisen. Ein “Militärdoktrin der Russischen Föderation” aus dem Jahr 2010 deutet auf eine Fortsetzung früherer Verhaltensweisen vor einem Konflikt hin und macht DDoS-Angriffe zu einem potenziellen Anzeichen für eine bevorstehende kinetische Reaktion.
Falsche Fährten, falsche Zuordnungen, gestörte Kommunikation und die Manipulation sozialer Medien sind allesamt wichtige Bestandteile von Russlands Informationskriegskonzept. Sie müssen keine permanente Tarnung für Aktivitäten vor Ort oder anderswo schaffen, sondern lediglich für genügend Verzögerung, Verwirrung und Widerspruch sorgen, damit andere, gleichzeitig laufende Operationen ihre Ziele erreichen können.
Vorbereiten und schützen
Interessanterweise versuchen die Vereinigten Staaten und das Vereinigte Königreich, einigen der Fehlinformationskampagnen zuvorzukommen, was ihre Wirksamkeit einschränken könnte. Wir sollten jedoch nicht davon ausgehen, dass die Angreifer aufhören werden, es zu versuchen, also müssen wir vorbereitet und wachsam bleiben.
So sollten beispielsweise Organisationen in den Nachbarländern der Ukraine darauf vorbereitet sein, in Online-Betrügereien hineingezogen zu werden, auch wenn sie nicht direkt in der Ukraine tätig sind. Frühere Angriffe und Fehlinformationen sind nach Estland, Polen und in andere angrenzende Staaten durchgesickert, wenn auch nur als Kollateralschaden.
Aus globaler Sicht sollten wir damit rechnen, dass eine Reihe von “patriotischen” Freiberuflern in Russland, d. h. Ransomware-Kriminelle, Phish-Autoren und Botnetzbetreiber, mit noch größerem Eifer als sonst gegen Ziele vorgehen werden, die als gegen das Mutterland gerichtet angesehen werden.
Zwar sollte eine tiefgreifende Verteidigung das Normalste der Welt sein, doch ist sie besonders wichtig, wenn wir mit einer Zunahme der Häufigkeit und Schwere von Angriffen rechnen müssen. Die Fehlinformationen und die Propaganda werden bald einen Höhepunkt erreichen, aber wir müssen auf der Hut sein, die Luken schließen und unsere Netze auf alles Ungewöhnliche überwachen, während die Konfliktzyklen abebben – selbst wenn sie bald enden. Denn wie wir alle wissen, kann es Monate dauern, bis Beweise für ein digitales Eindringen im Zusammenhang mit dem russisch-ukrainischen Konflikt auftauchen.
Hier gibt es den englischen Originaltext von Chester Wisniewski in gesamter Länge
Über den Autor Chester Wisniewski
Chester Wisniewski ist Principal Research Scientist bei Sophos. Chester analysiert die riesigen Mengen an Angriffsdaten, die von den SophosLabs gesammelt werden, um relevante Informationen zu destillieren und weiterzugeben, damit die Branche ein besseres Verständnis für die sich entwickelnden Bedrohungen, das Verhalten von Angreifern und effektive Sicherheitsmaßnahmen erhält. Er hat Unternehmen bei der Entwicklung von Verteidigungsstrategien im Unternehmensmaßstab unterstützt, war als technischer Leiter an der Entwicklung der ersten E-Mail Security Appliance von Sophos beteiligt und hat einige der größten globalen Marken bei der Sicherheitsplanung beraten.