Russland gegen Ukraine

Chronik eines Cyber-Kriegs

Cybervorfälle spielen im Russland-Ukraine-Konflikt eine zentrale Rolle. Hier erfahren Sie, wie sich die Ereignisse entwickelt haben und welche Fragen noch unbeantwortet sind.
Von Cynthia  Brumfield
CSO | 24. Januar 2022 14:06 Uhr
Im Cyber-Krieg zwischen Russland und der Ukraine gibt es noch immer offene Fragen.
Im Cyber-Krieg zwischen Russland und der Ukraine gibt es noch immer offene Fragen.
Foto: Andrew Glushchenko - shutterstock.com

Am 15. Januar fand Microsoft heraus, dass zerstörerische "Wiper"-Malware auf Dutzenden Computern von ukrainischen Regierungsbehörden und IT-Spezialisten gefunden wurde. Diese Nachricht war der Höhepunkt einer Woche, in der sich die Befürchtungen häuften, dass Cyberangriffe die Vorboten einer realen Militärinvasion Russlands in die Ukraine sein könnten.

Im Folgenden haben wir die Entwicklungen im Cyberkrieg zwischen Russland und der Ukraine chronologisch erfasst.

11. Januar: USA veröffentlichen Cybersicherheitshinweis

Die Cybersecurity and Infrastructure Security Agency (CISA) und die Geheimdienste FBI und NSA veröffentlichen ein gemeinsames Cybersecurity Advisory (CSA), das einen Überblick über die vom russischen Staat initiierten Cyberoperationen gibt. Darin werden häufig beobachtete Taktiken, Techniken und Verfahren behandelt und Empfehlungen gegeben. Letztere enthalten etwa Hinweise zu Detection, Incident Response und Abhilfemaßnahmen. Außerdem empfiehlt die CISA den für die Verteidigung der Netzwerke verantwortlichen Spezialisten, ihre Website "Russia Cyber Threat Overview and Advisories" mit einem Überblick über Cyberbedrohungen durch russische Aggressoren zu lesen.

13. bis 14. Januar: Angriff auf ukrainische Websites

Nach dem Scheitern diplomatischer Gespräche zwischen Russland und dem Westen, mit denen eine drohende russische Invasion in der Ukraine verhindert werden sollte, starten Hackerangriffe, die Dutzende von ukrainischen Regierungs-Websites zum Absturz bringen, darunter die des Außenministeriums, des Bildungsministeriums und andere. Die Hacker veröffentlichen eine Nachricht mit der Aufschrift: "Fürchtet Euch und erwartet das Schlimmste".

In der Message heißt es außerdem: "Alle Ihre persönlichen Daten wurden an ein öffentliches Netzwerk gesendet. Alle Daten auf Ihrem Computer sind zerstört und können nicht wiederhergestellt werden". Zudem werden historische Auseinandersetzungen zwischen Polen und der Ukraine angesprochen. Der Pressedienst des ukrainischen State Bureau of Investigations (SBI) erklärt indes, dass bei dem Angriff keine Daten gestohlen wurden.

Obwohl die Ukraine die Attacken nicht eindeutig Russland zuordnen kann, sagt der Chefdiplomat der Europäischen Union, Josep Borrell, dass die Spuren eindeutig ins Putin-Reich führten. Serhiy Demedyuk, stellvertretender Sekretär des Nationalen Sicherheits- und Verteidigungsrats der Ukraine, macht aber erst Mal eine mit dem weißrussischen Geheimdienst verbundene Hackergruppe namens UNC1151 für die Angriffe verantwortlich. Belarus ist ein enger Verbündeter Russlands.

Die Europäische Union (EU) verurteilt die Angriffe und erklärt, sie sei bereit, "direkte technische Hilfe für die Ukraine zu leisten und die Ukraine auch sonst gegen destabilisierende Handlungen zu schützen". NATO-Generalsekretär Jens Stoltenberg erklärt, dass seine Cyberexperten in Brüssel mit ihren ukrainischen Kollegen Informationen über die bösartigen Aktivitäten austauschten und eine Vereinbarung über eine verstärkte Zusammenarbeit im Bereich Cybersicherheit unterzeichnen würden.

14. Januar: Russland schaltet die Ransomware-Gruppe REvil aus

In einer eher überraschenden Demonstration amerikanisch-russischer Zusammenarbeit erklärt der russische Inlandsgeheimdienst FSB, er habe die Ransomware-Gang REvil, die für viele Angriffe auf Unternehmen mit Erpressersoftware verantwortlich gemacht wird, auf Bitten der Vereinigten Staaten zerschlagen und etliche Mitglieder der Gruppe festgenommen. Die Ankündigung erfolgt, als die Angriffe auf die ukrainischen Websites noch im Gange sind.

Ein hochrangiger Beamter der russischen Regierung bestätigt allerdings nicht, dass die Festnahmen aufgrund einer Anweisung aus Moskau erfolgten. Der Beamte sagt, sie seien vielmehr das Ergebnis des Engagements des russischen Präsidenten für Diplomatie und offene Kommunikation.

15. Januar: Microsoft enthüllt Entdeckung von Malware auf ukrainischen Websites

Microsoft meldet, dass eine als Ransomware getarnte zerstörerische Malware namens Wiper in Systemen von Dutzenden ukrainischen Regierungsbehörden und Organisationen entdeckt wurde. Der Tech-Konzern gibt nicht an, welche Behörden und Organisationen betroffen sind. Die Malware sei in Systeme eingeschleust worden, die "wichtige Funktionen für die Exekutive und die Notfallhilfe bereitstellen". Ebenso sei eine IT-Firma kompromittiert worden, die Websites für Kunden aus dem öffentlichen und privaten Sektor verwaltet, darunter auch Internetauftritte von Regierungsbehörden, deren Websites kürzlich verunstaltet wurden.

Wenn die Wiper-Malware vom Angreifer aktiviert wird, macht sie das infizierte Computersystem funktionsunfähig. Das Threat Intelligence Center von Microsoft (MSTIC) veröffentlicht einen technischen Beitrag, in dem die Schadsoftware genau beschrieben wird. Darin heißt es, dass sie zwar wie Ransomware aussehe, aber nicht mit einer Lösegeldforderung verknüpft sei. Sie solle nur zerstörerisch wirken und Zielumgebungen funktionsunfähig machen.

Das MSTIC findet keine nennenswerten Zusammenhänge zwischen der beobachteten Aktivität (DEV-0586) und der andere bekannten Gangs. Der Softwarekonzern implementiert Schutzmaßnahmen zur Erkennung dieser als WhisperGate bekannten Malware-Familie über Microsoft Defender Antivirus und Microsoft Defender for Endpoint.

16. Januar: Ukraine macht Russland für Angriff auf Websites verantwortlich

Nach Angaben des ukrainischen Ministeriums für digitale Transformation gibt es klare Belege dafür, dass Russland hinter den Angriffen auf die ukrainischen Regierungswebsites steckt. "Der jüngste Cyberangriff ist eine weitere Manifestation von Russlands hybridem Krieg gegen die Ukraine, der seit 2014 andauert", so das Ministerium.

In der CBS-Nachrichtensendung "Face the Nation" sagt der Nationale Sicherheitsberater der USA, Jake Sullivan, dass die Angriffe auf die ukrainischen Webseiten die Handschrift Russlands trügen und es ihn nicht überraschen würde, wenn sich am Ende Russland als Urheber herausstellen würde. Unabhängig davon unterzeichnet die NATO, wie versprochen, ein Abkommen, in dem sie der Ukraine eine bessere Unterstützung im Bereich der Cybersicherheit zusagt.

Unbeantwortete Fragen zu Russlands Cyberaktivitäten in der Ukraine

Trotz der vielen Hinweise gibt es offene Fragen im Zusammenhang mit russischen Cyberangriffen:

Wer genau sind die Angreifer? Trotz aller Anschuldigungen gegen Russland gibt es bislang keine veröffentlichten Beweise, die hieb- und stichfest sind.

Steht die Abschaltung von REvil im Zusammenhang mit den Cybervorfällen in der Ukraine? Unklar ist auch, ob der Zeitpunkt der Verhaftung der Mitglieder der REvil-Bande durch Russland mit den Cybervorfällen in der Ukraine zusammenhängt. Chris Painter, ehemaliger Koordinator für Cyberfragen im US-Außenministerium, erklärt gegenüber CSO: "Genau wie die USA kann auch Russland gleichzeitig laufen und Kaugummi kauen. Aber der Zeitpunkt ist schon auffällig und könnte als Botschaft verstanden werden, die besagt: Seht her, wir können bei einigen Dingen kooperieren, aber wenn ihr uns weiter sanktioniert, könnt ihr das vergessen."

Painter bezweifelt aber, dass Russland tatsächlich im Bereich Cybersicherheit kooperationsbereit ist. "In der Zusammenarbeit bei der Strafverfolgung hat Russland noch nie gut mit uns zusammengearbeitet, und ich habe viele Jahre lang mit ihnen darüber verhandelt."

Besteht ein Zusammenhang zwischen den Angriffen auf die Webseiten der urkainischen Regierung und der von Microsoft entdeckten Wiper-Malware? Demedyuk aus der Ukraine glaubt, dass die Angriffe auf die Webseiten "nur ein Deckmantel für weitere zerstörerische Aktionen waren, die hinter den Kulissen stattfanden" und deren Folgen die Ukraine noch zu spüren bekommen werde. Auch andere Cybersicherheitsexperten glauben, dass ein Zusammenhang zwischen den öffentlich sichtbaren Website-Angriffen und den Wiper-Attacken im Hintergrund besteht.

Dabei stellen sie aber fest, dass zwei unterschiedliche Akteure aktiv waren, deren Vorgehen nicht besonders gut synchronisiert worden sei. Der ehemalige Mitarbeiter des US-Außenministeriums, Chris Painter, hält es für möglich, dass die Angriffe auf die Websites ein Ablenkungsmanöver waren, um Ressourcen der Cybersicherheit zu binden. So sei es einfacher gewesen, die schwerwiegenderen Malware-Angriffe im Hintergrund zu lancieren.

Sind weitere Angriffe zu erwarten? Eine weitere offene Frage ist, ob die Website- und Malware-Angriffe nur der Auftakt zu einer Reihe von Cyberattacken in der Ukraine und anderswo waren. Microsoft warnt: "Es ist möglich, dass weitere Organisationen mit dieser Malware infiziert wurden. Ihre Zahl könnte steigen." Auch Painter vermutet, "dass es wahrscheinlich weitere Intrusions gibt, egal ob dies das Vorspiel für einen physischen Angriff war oder nicht."

Nicht nur die Ukraine ist betroffen

Die Cybervorfälle, die in der Ukraine zu beobachten waren, könnten sich weit über deren Landesgrenzen hinaus ausdehnen.Microsoft empfiehlt allen Unternehmen, eine gründliche Untersuchung vorzunehmen und die nötigen Schutzmaßnahmen zu ergreifen.

Auch Painter rät allen Unternehmen, die Warnung von CISA, NSA und FBI zu beherzigen. Mitarbeiter im Bereich Cybersicherheit sollten "unbedingt deren Hinweise befolgen." Ähnlich hat sich auch die US-Regierung geäußert. (jm)