Russland hat nicht nur eine Invasionsarmee an der ukrainischen Grenze beisammen, sondern auch Cyber-Waffen, die man einsetzen würde, um zu verhindern, dass sich der Konflikt zu einem zweiten Afghanistan-Desaster entwickelt. Genauso sind die russischen Streitkräfte verwundbar für (verdeckte) Cyber-Attacken der NATO.
Der Sandworm-Hack betraf den Warentansport durch LKWs, an Häfen, Paketdienstleister, Bankautomaten, Online-Banking, Internetzugang und schließlich auch den Strom. Air Gapping also die Trennung wichtiger Systeme vom Internet, ist oft nur Illusion bei Industrie und Versorgungsunternehmen. Man greift über eine VPN-Verbindung aus der Distanz zu, oder über einen simplen Browser mit SSL-Verbindung. Theoretisch sicher, aber es gibt eben überall Schwächen in der Implementierung, die von Hackern ausgenutzt werden können. Agenten, die ein feindlicher Staat platziert hat, können jederzeit Viren einschleusen. Angriffswerkzeuge wie „BlackEnergy“ oder „KillDisk“ werden immer weiterentwickelt, aber die Frage ist: Von wem? Wenn Russen diese Tools benutzen, kann auch jeder andere das benutzen und dabei sogar falsche Fährten Richtung Russland legen. Gruppen wie Sandworm haben das gleiche Problem wie Anonymous-Gruppen; man kann ihre Identität, ihr Muster stehlen und in ihrem Namen Operationen durchführen. 2015 gab es einen massiven Blackout in der Ukraine, in den 1990er Jahren gab es die Moonlight Maze Hacks und sogar in den 1980er Jahren war Cybersicherheit ein riesen Thema. Nicht immer gab es einen öffentlichen Aufschrei von den USA, sondern eher Schweigen, so wie bei den Sandworm-Attacken gegen die Ukraine. Industroyer ist ein Malware-Framework, das am 17. Dezember 2016 für den Cyberangriff auf das ukrainische Stromnetz verwendet wurde. Der Angriff hat ein Fünftel der Hauptstadt Kiew für eine Stunde abgeschaltet. Der Vorfall in Kiew war der zweite Cyberangriff auf das ukrainische Stromnetz seit zwei Jahren. Der erste Angriff erfolgte am 23. Dezember 2015. Industroyer ist die erste bekannte Malware, die speziell für den Angriff auf Stromnetze entwickelt wurde. Gleichzeitig ist es nach Stuxnet, Havex und BlackEnergy die vierte Malware, die öffentlich für industrielle Steuerungssysteme verfügbar ist. Eine Haupt-Hintertür wird verwendet, um alle anderen Komponenten der Malware zu steuern. Es stellt eine Verbindung zu seinen Remote-Command & Control-Servern her, um Befehle von den Angreifern zu empfangen. Eine zusätzliche Hintertür bietet einen alternativen Persistenzmechanismus, mit dem die Angreifer wieder auf ein Zielnetzwerk zugreifen können, falls die Haupt-Hintertür erkannt und / oder deaktiviert wird. Eine Launcher-Komponente ist eine separate ausführbare Datei, die für den Start der Payload-Komponenten und der Data Wiper-Komponente verantwortlich ist. Die Launcher-Komponente enthält eine bestimmte Aktivierungszeit und ein bestimmtes Aktivierungsdatum. Vier Nutzlastkomponenten zielen auf bestimmte industrielle Kommunikationsprotokolle ab. Die Funktionen der Nutzlastkomponenten umfassen das Zuordnen des Netzwerks und das anschließende Ausgeben von Befehlen an die spezifischen industriellen Steuergeräte. Eine Data Wiper-Komponente löscht systemrelevante Registrierungsschlüssel und überschreibt Dateien, um das System nicht mehr bootfähig zu machen und die Wiederherstellung nach dem Angriff zu erschweren. Das NSA-Werkzeug Eternal Blue war geleakt worden und bot eine Einbruchsmöglichkeit bei allen Windows-Computern bis hin zu einer bestimmten Version. Die Malware Wannacry benutzte beispielsweise Eternal Blue. Jemand fand glücklicherweise eine seltsame Domain-Adresse, kaufte sich über einen Registrar diese Domain und konnte damit die Ausbreitung stoppen. Die Malware Mimikatz nutzte ebenfalls eine Schwachstelle in Windows und wurde zigfach verwendet. NotPetya benutzte nach dem Baukastenprinzip Mimikatz und Eternal Blue. In der Ukraraine konnten die Krankenhäuser nicht mehr richtig operieren, die Bankautomaten verweigerten ihren Dienst, die Renten wurden nicht mehr ausbezahlt, die Tankstellen funktionierten nicht mehr usw. Bei dem Transportunternehmen Maersk fielen die Computer aus und Merck verlor 15.000 Computer in 90 Sekunden unwiederbringlich. Kommt es zu einer größeren Attacke gegen den Westen, wird künftig die Regierung zusammen mit den größten Softwareherstellern bestimmen, welche Betriebssysteme installiert werden müssen und welche Standards Drittanbieter von Software einhalten müssen. Denkbar sind auch Pandemie-Bremsen, die an strategischen Punkten eingerichtet werden, um so schnell wie möglich nach einem neuen Ausbruch den Datenverkehr bei Knotenpunkten abzuschalten. Die Technologieabteilung des Pentagons, DARPA, hat in Tests ein Ersatz-Internet vorbereitet mit eigener Software, Übertragungs-Protokollen und Signalen von Antenne zu Antenne. Dan Geer, der Chief Information Security Officer von In-Q-Tel, dem Förderer neuer Firmen im Auftrag der CIA und des Verteidigungsministeriums, hat so wenig Software und Hardware zuhause wie möglich. Er fährt einen Ford F150 Pickup-Truck Baujahr 2001. Im Handschuhfach hat er ein Handy für Notfälle liegen. Im Haus nur ein klassisches, kabelgebundenes Telefon, keinen Fernseher. Unter Obama, mit Verteidigungsminister Robert Gates (aus der alten Bush-Administration), schuf man 2009 ein eigenständiges Cyber Command. Unter Trump ging der Ausbau der Cyberkriegs-Fähigkeiten weiter. Sobald das ursprüngliche ARPA-Net stand und dann das frühe Internet, versuchten Hacker schon überall einzubrechen bei den Amerikanern, um Verwirrung zu stiften. Bei der Operation Desert Storm 1991 nutzten die Amerikaner erfolgreich solche Methoden gegen Saddam Hussein, um dessen Infrastruktur zu zersetzen. Westliche Firmen hatten die fiberoptischen Systeme an den Irak geliefert und konnten dem Pentagon genau erzählen, wo die wichtigen Schaltstationen waren. Nach der Bombardierung wechselten Saddams Leute zu Mikrowellen-Übertragern, deren Signale von den neuen US-Spionagesatelliten abgefangen werden konnten. Schließlich wurden wichtige Botschaften nur noch per Motorrad-Kurieren übermittelt. Auffällig ist die strikte Trennung im US-Apparat, sodass beispielsweise der einflussreiche General Schwartzkopf keinen blassen Schimmer hatte von Cyberwaffen und auch kein Interesse. Weder George W. Bush noch Dick Cheney hatten jemals selbst einen Computer benutzt. 1990 gab es die Studie “Physical Vulnerability of Electric Systems to Natural Disasters and Sabotage”, die öffentlich zugänglich war und genau auflistete, welche Trafostationen und Kraftwerke ein Angreifer in den USA lahmlegen müsste für maximalen Schaden. Die Administration von Präsident Bush Sr. ließ das überprüfen und kam zu einem vernichtendem Ergebnis, woraufhin die zweite Studie bis auf zwei Exemplare vernichtet wurde. 1988 wurden 6000 Unix-Computer bei der NASA, Bell Labs, der Army und der Air Force lahmgelegt durch den „Morris-Wurm“. Der Coder des Wurms war ausgerechnet der Sohn des Chefwissenschaftlers des NSA Computer Security Centers. Dann kam die Entwicklung von Intrusion Detection, also der automatisierten Erkennung von Einbrüchen. Das NSA Red Team machte 1997 die Übung „Eligible Receiver“, ein super-geheimer Einbruchstest mit handelsüblicher Ausrüstung, der ein sehr beunruhigendes Resultat hatte. Man simulierte einen Angriff durch nordkoreanische und iranische Hacker. Stufe 1 richtete sich gegen die Infrastruktur von Großstädten, Stufe 2 gegen die militärischen Kommandostrukturen der Amerikaner. Bereits nach vier Tagen war bereits eine starke Penetration erreicht, und das ohne jegliche Spezialausrüstung, sondern nur mit handelsüblichem Gerät und simplen Techniken wie das Durchsuchen von Müllcontainern nach Daten und Phishing-Methoden, wo sich jemand per Telefon ausgibt, als jemand von der IT-Abteilung und sich Passwörter erschleicht. Es gibt so viele geheime Übungen, dass sich dahinter auch jederzeit ein Angriff unter falscher Flagge verstecken lässt, also die NATO sich heimlich selbst angreift, und falsche Fährten legt in Richtung Russland, oder Nordkorea oder Iran. Es gab auch tatsächlich Teenager-Hacker die ziemlich weit kamen, so wie Julian Assange. Dann kam aber sehr bald die Ära der Russen, die selbst Angriffe fuhren und versuchten, Hacker wie vom Chaos Computer Club für den Sozialismus zu begeistern.
Das Team J39 machte wertvolle Arbeit gegen die Serben beim Balkankrieg. Die CIA schuf das, IOC um über Agenten illegal Geräte zu installieren. Die Serben verwendeten aus Kostengründen die zivile Telekommunikations-Infrastruktur für ihr Militär. Die Schweizer Firma, die die Software verkauft hatte an die Serben, gab den Amerikanern Zugang. Die Luftabwehr wurde erfolgreich gehackt, aber der misstrauische General Clarke ließ dennoch seien Bomber in großer Höhe fliegen. Psychologische Operationen gegen Milosevics Spezialtruppen und das jugoslawische Militär erweckten den Eindruck, die unterschiedlichen Führungsebenen hätten sich gegenseitig verraten. Spezielle Kohlefaser-Waffen kamen zum Einsatz, um Stromleitungen zu sabotieren. Die Klassischen US-Generäle waren meistens gar nicht richtig eingeweiht in die Cyber-operationen, was erneut die strikte Trennung darlegt im amerikanischen Militär. Kommt es künftig zu einer Cyberattacke gegen den Westen, können die gewöhnlichen Generäle gar nicht einschätzen, ob die Urheber wirklich im Ausland sitzen. Programme und Software wie Turbulence, Turbine, Turmoil, Quantum Theory, Quantuminsert, oder xkeyscore wurden in den Kriegen in Afghanistan und Irak geschaffen, verbessert und getestet, sodass man Informationen über geplante Angriffe des Gegners innerhalb einer Minute zu Gegenmaßnahmen führen konnten und nicht erst nach 16 Stunden. Assads Atomreaktor in Syrien konnte kaputtgeschossen werden von den Israelis, obwohl russische Abwehrsysteme vorhanden waren. Israelis Operation „Orchard“ gelang weil die „Unit 8200“ das syrische Radarsystem gehackt hatte mit dem Programm „Suter“ das von den Amerikanern entwickelt worden war. Eine russische Attacke gegen Estland setzte 1,3 Millionen Bürger 1 Monat lang außer Gefecht. Estland pochte als NATO-Mitgliedsstaat auf die Beistandspflicht, aber es kam nicht zu eine, Gegenangriff. Russland griff auch Georgien an und lieferte verseuchte Thumbdrives an Händler in Kabul, worauf Amerikaner sich die günstigen Speicher kauften und sie in ihre Computer steckten. Die iranischen Zentrifugen der Atomanlage im iranischen Natanz wurden gesteuert mit Software von Siemens. Der Super-Wurm Flame alias Stuxnet brauchte 5 Zero Day Exploits (öffentlich unbekannte Schwachstellen) in Windows, um sich Zugriff zu verschaffen. Die Zentrifugen drehten sich mit fünffacher Geschwindigkeit und gingen kaputt. Meistens wird von den Angreifern miteingeplant, wie der Gegner im Ernstfall reagiert. Das kann bei einem mehrstufigen Angriff dazu führen, dass die Abwehr-Aktionen alles nur noch schlimmer machen.
