Deutschland
 

Cyberkrieg gegen die Ukraine

Russische Hacker-Gruppe greift Stromversorgung der Ukraine an

Obwohl die ukrainische Regierung einen erneuten russischen Cyberangriff auf eine Energieanlage verhindern konnte, bleiben Osteuropa und die ganze Welt in Alarmbereitschaft.
Von 
CSO | 13. April 2022 14:39 Uhr
Würde das Stromnetz unter die Kontrolle Russlands fallen, hätte dies verheerende Auswirkungen auf die Infrastruktur in der Ukraine.
Würde das Stromnetz unter die Kontrolle Russlands fallen, hätte dies verheerende Auswirkungen auf die Infrastruktur in der Ukraine.
Foto: Sergey Nivens - shutterstock.com

Das ukrainische Governmental Computer Emergency Response Team (CERT-UA) gab bekannt, dass die staatlich unterstützte russische Bedrohungsgruppe Sandworm in den vergangenen Monaten zwei Wellen von Cyberangriffen gegen eine nicht näher bezeichnete ukrainische Energieanlage gestartet hat.

Der erste Angriff fand bereits im Februar statt, wobei CERT-UA nicht angab, wie die Kompromittierung erfolgte. Am 8. April hätte die zweite Angriffswelle erfolgen sollen, die das Team jedoch verhindern konnte.

Die Angreifer hatten versucht, mehrere Infrastrukturkomponenten der Energieanlage außer Betrieb zu nehmen. Diese umfassen sowohl IT- als auch Betriebstechnik, darunter Windows-Computer, Server mit Linux-Betriebssystemen, Netzwerkausrüstung sowie Umspannwerke, die Teil des elektrischen Versorgungsnetzes sind.

Lesetipp: Malware "Cyclops Blink" von Sandworm zielt auf Router und Firewalls ab

Das ukrainische Team hatte sowohl von Microsoft wie auch von Eset Unterstützung dabei erhalten, die Auswirkungen der Angriffe abzuwehren. Eine Analyse der Sandworm-Angriffe auf die ukrainische Stromversorgung stellt Eset online bereit.

Darin heißt es, dass die Analysten eine neue Variante der Malware "Industroyer" entdeckt haben. Dies ist dieselbe Malware, mit der die Sandworm-Gruppe 2016 schon einmal das Stromnetz in der Ukraine lahmlegte.

Malware Industroyer2 greift Stromnetz an

Industroyer2, wie Eset und CERT-UA die Malware nennen, wurde am 8. April als einzelne Windows-Datei bereitgestellt und im ICS-Netzwerk (Industrial Control System) des ukrainischen Energieunternehmens ausgeführt. Zur gleichen Zeit haben die Angreifer eine neue Version der Malware "CaddyWiper" eingesetzt. Vermutlich, um den Wiederherstellungsprozess der Systeme zu verlangsamen und zu verhindern, dass die Betreiber die Kontrolle über die ICS-Konsolen wiedererlangen.

In der Ukraine hatte Eset CaddyWiper erstmals am 14. März entdeckt, als die Malware im Netzwerk einer Bank eingesetzt wurde. Im aktuellen Fall hat das Sicherheitsunternehme außerdem weitere Malware, "Orcshred", "Soloshred" und "Awfulshred" im Netzwerk des anvisierten Energieversorgers gefunden.

Lesetipp: IT-Spezialist zum Cyberkrieg

Andrii Bezverkhyi, CEO und Gründer von SOC Prime, ist ein Ukrainer, der sich seit Beginn des Krieges mit einem Team von 15 Mitarbeitern in der Ukraine aufhält und Unternehmen pro bono Hilfe im Bereich Cybersicherheit anbietet. "Der große Unterschied zwischen Industroyer und Industroyer2 besteht darin, dass die Fähigkeiten der neuen Malware jetzt ausgereifter sind", erklärt Bezverkhyi. "Anstatt nur auf einem der ICS-Systeme herumzuspielen, schlägt sie nun auf allen Ebenen zu." Dazu gehören die Systeme der industriellen Steuerungsebene selbst sowie die Windows-Maschinen und die Netzwerkausrüstung.

Obwohl die offizielle Erklärung des CERT-UA darauf hindeutet, dass die Sandworm-Angriffe erfolglos waren, deutet ein früherer Alarm, den das CERT-UA an internationale Partner herausgegeben hat, darauf hin, dass mindestens zwei Angriffe "erfolgreich" waren, obwohl die Cyberangriffe vereitelt wurden. Außerdem hieß es in dieser Warnung, dass die Angreifer in der Lage waren, neun Umspannwerke des Stromnetzes in einer der Regionen vorübergehend abzuschalten.

Ob Sandworm tatsächlich neun Umspannwerke ausgeschaltet hat, ist ein strittiger Punkt, sagt Chris Sistrunk, technischer Manager im Bereich ICS/OT Consulting bei Mandiant, gegenüber CSO. Denn es würde eine Weile dauern, eine solche Situation zu analysieren, und die Informationen könnten falsch sein. Eine Tatsache ist es dem Manager zufolge jedoch, dass die russischen Soldaten Kernkraftwerke beschießen und somit die Übertragungsleitungen einreißen. "Wurden neun Umspannwerke getroffen oder nicht? Das spielt keine Rolle, denn einige von ihnen werden im Moment durch Bomben zerstört."

Ukraine verstärkt die Cyber Defense

"Alle Energieversorger, auch die in den USA und in anderen Ländern, sollten diesem Angriff Beachtung schenken", sagt Bezverkhyi. Der CEO denkt, dass Sandworm weltweit Angriffe ausüben könnte.

Dieser Meinung ist auch Chris Grove, Cyber-Stratege bei Nozomi Networks: "Die Modularität der Malware macht es einfach, ein anderes Protokoll einzuschleusen, um auch andere ICS-Systeme zu beeinflussen."

Sollte das ukrainische Netz unter den physischen Attacken oder den Cyberangriffen zusammenbrechen, wäre das fatal, da Krankenhäuser auf die Stromversorgung angewiesen sind und Lebensmittel gekühlt werden müssen. Seit dem Krieg und bereits 2016, als die ukrainische Stromversorgung erstmals attackiert wurde, hat das Land verstärkt in seine Verteidigung gegen Cyberangriffe investiert. Mit sogenannten "Hunt Forward Teams" unterstützen die USA die Ukraine, wie das Wall Street Journal berichtet. Diese spüren kritische Schwachstellen auf und beheben sie, bevor sie von Sandworm ausgenutzt werden können. (ms)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Cynthia Brumfield hat langjährige Erfahrung als Kommunikations- und Technologie-Analystin und schreibt für unsere US-Schwesterpublikation CSO Online.
Folgen: