Auch in der Welt der Cyberkriegsführung sind die elementaren Aspekte streng geheim und der Öffentlichkeit bleiben nur Bruchstücke von den Geschehnissen, die entweder durchsickern oder gezielt an die Presse gegeben werden. Angeblich wurde nun, mit Hilfe von Microsoft, ein gewaltiger Cyberangriff der Russen mit einer neuen Malware namens Industroyer 2 auf die ukrainische Stromversorgung abgewehrt. Für Russland ist die Cyberkriegsführung aktuell sehr lohnenswert, weil sie nicht annähernd so geächtet ist wie ABC-Waffen und dennoch in der Ukraine massiven Schaden anrichten kann. Eine Waffe wie Industroyer in größerem Umfang gegen NATO-Mitglieder einzusetzen ist theoretisch möglich, allerdings wäre auch Russland für Gegenschläge sehr verwundbar, da drei Viertel des russischen Stromnetzes auf westlicher Technik basieren.
So konnte die ukrainische Cyberverteidigung (CERT-UA) nach eigenen Angaben mit Hilfe von Microsoft und einem IT-Security Unternehmen namens ESET einen gezielten Angriff abwehren.
„Die Abschaltung von Umspannwerken und die Stilllegung der Infrastruktur des Unternehmens waren für Freitagabend, den 8. April 2022, geplant.“
Bei dem aktuellen Angriff sei eine neue Schadsoftware benutzt worden; eine neue Variante der so genannten Industroyer-Malware. Angreifer sei die sogenannte Sandworm-Gruppe, auch wenn in der Cyberkriegsführung die Identifikation des Angreifers notorisch schwierig ist. Die Amerikaner wähnen dahinter die Militäreinheit 74455 der Hauptverwaltung für Aufklärung (GRU) des russischen Militärnachrichtendienstes.
Hans-Wilhelm Dünn vom deutschen Cybersicherheitsrat geht davon aus, dass deutsche Systeme bereits infiltriert wurden und die Angreifer nur auf den passenden Moment warten.
„Kurzfristig müssen alle Systeme auf die entsprechende Schadsoftware geprüft werden. Zudem müssen Notfallkonzepte für den Ausfall von Systemen erprobt werden.“
Wie genau die Hilfe von Microsoft aussah für die Ukraine, ist ein Geheimnis. Im Zusammenspiel mit der amerikanischen NSA muss man den Gegnern mehrere Schritte voraus sein, und gleichzeitig den falschen Eindruck erwecken, hinterherzuhinken. Passieren in westlichen Ländern bedeutsame Ausfälle, könnte dies der Startschuss sein für eine neue Generation von Software- und Internetstandards, in der so gut wie nichts mehr verborgen bleibt. Außerdem würden die Amerikaner Russland wohl vom gewöhnlichen Internet abtrennen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meint, Industroyer 2 sei derzeit keine große Gefahr für Deutschland. Ob die kleine Behörde wirklich weiß, wie tief deutsche System von Russland infiltriert wurden, ist nicht bekannt.
NotPetya
Am 15. Oktober 2020 reichte eine im westlichen Distrikt von Pennsylvania tagende föderale Grand Jury eine Anklageschrift gegen sechs russische Geheimdienstoffiziere wegen ihrer angeblichen Rolle beim Angreifen und Kompromittieren von Computersystemen weltweit ein, einschliesslich derjenigen, die sich auf kritische Infrastrukturen in der Ukraine, eine politische Kampagne in Frankreich und dem Land Georgien, internationale Opfer der „NotPetya“-Malware-Angriffe (einschliesslich Anbieter kritischer Infrastrukturen) und internationale Opfer im Zusammenhang mit den Olympischen Winterspielen 2018 und Untersuchungen von Nervengasangriffen, die öffentlich der russischen Regierung zugeschrieben wurden. Das Bundesbezirksgericht der Vereinigten Staaten für den westlichen Bezirk von Pennsylvania erließ nach Rückgabe der Anklageschrift durch die Grand Jury für jeden dieser Angeklagten einen Bundeshaftbefehl.
In der Anklageschrift hieß es, dass alle sechs Männer Offiziere einer dreisten Hackergruppe sind, die am besten als Sandworm bekannt ist und im Auftrag der Einheit 74455 des russischen Hauptintelligenzdirektorats, abgekürzt GRU, arbeitet. Die Offiziere stecken hinter der „störendsten und zerstörerischsten Serie von Computerangriffen, die je einer einzelnen Gruppe zugeschrieben wurde“, so die Staatsanwälte. Das angebliche Ziel: fremde Nationen zu destabilisieren, sich in ihre Innenpolitik einzumischen und finanzielle Verluste zu verursachen.
Der massive Ausbruch von Lösegeldforderungen am Dienstag war in der Tat etwas viel Schlimmeres:
Zu den Hacks gehört NotPetya, der Wurm zum Löschen von Festplatten, der 2017 den Betrieb von Tausenden von Unternehmen und Regierungsbehörden auf der ganzen Welt lahmgelegt hat. Als Lösegeldforderung getarnt, war NotPetya in Wirklichkeit eine Malware, die Petabytes von Daten dauerhaft zerstörte. Das Ergebnis waren unter anderem Krankenhäuser, die Patienten abwiesen, Reedereien, die tage- oder wochenlang gelähmt waren, und eine nicht funktionierende Transportinfrastruktur.
Zu den Betroffenen des Angriffs gehörten Krankenhäuser und andere medizinische Einrichtungen des Heritage Valley Health System („Heritage Valley“) in Pennsylvania, eine Tochtergesellschaft der FedEx Corporation, TNT Express BV, und ein großer US-amerikanischer Pharmahersteller, die zusammen fast 1 Milliarde US-Dollar an Verlusten durch die Angriffe erlitten. Der US-Geheimdienst stellte vor langer Zeit fest, dass die GRU hinter dem Angriff stand, aber am Montag wurde zum ersten Mal Anklage in Verbindung mit dem Angriff erhoben.
In den Anklageschriften wurden auch andere Hacks angeklagt:
Ukrainische Regierung und kritische Infrastruktur: Dezember 2015 bis Dezember 2016 zerstörerische Malware-Angriffe auf das ukrainische Stromnetz, das Finanzministerium und den staatlichen Finanzdienst der Ukraine unter Verwendung von Malware mit den Namen BlackEnergy, Industroyer und KillDisk
Wahlen in Frankreich: Im April und Mai 2017 werden Speer-Phishing-Kampagnen und damit verbundene Hack-and-Leak-Bemühungen gegen die „La République En Marche“ des französischen Präsidenten Emmanuel Macron geführt! („En Marche!“) politische Partei, französische Politiker und lokale französische Regierungen vor den französischen Wahlen 2017
Gastgeber, Teilnehmer, Partner und Teilnehmer der Olympischen Winterspiele von PyeongChang: Dezember 2017 bis Februar 2018 Speerphishing-Kampagnen und bösartige mobile Anwendungen, die sich an südkoreanische Bürger und Funktionäre, Olympiateilnehmer, Partner und Besucher sowie an Funktionäre des Internationalen Olympischen Komitees (IOC) richten
IT-Systeme für die Olympischen Winterspiele in PyeongChang (Olympischer Zerstörer): Dezember 2017 bis Februar 2018 Einbrüche in Computer, die die Olympischen Winterspiele 2018 in PyeongChang unterstützen, die am 9. Februar 2018 in einem zerstörerischen Malware-Angriff auf die Eröffnungszeremonie gipfelten, bei dem Malware mit dem Namen Olympic Destroyer
Novichok Vergiftungsuntersuchungen: April 2018: Speerphishing-Kampagnen zur Untersuchung der Nervengasvergiftung von Sergei Skripal, seiner Tochter und mehrerer britischer Staatsbürger durch die Organisation für das Verbot chemischer Waffen („OPCW“) und das britische Defence Science and Technology Laboratory („DSTL“)
Georgische Unternehmen und Regierungsstellen: eine Speer-Phishing-Kampagne 2018, die auf ein großes Medienunternehmen abzielt, 2019 Bemühungen, das Netzwerk des Parlaments zu kompromittieren, und eine breit angelegte Website-Verunstaltungskampagne im Jahr 2019
Solarwinds
Der Hack, von dem angenommen wird, dass er vom russischen SVR-Geheimdienst durchgeführt wurde, wirkte sich auf das US-Finanzministerium, den Staat, den Handel, die Energieabteilungen und Teile des Pentagon sowie auf Kunden von SolarWinds wie Cisco Systems und Deloitte aus.
Ein Cybersicherheitsberater behauptet, er habe SolarWinds gewarnt vor einem Sparkurs bei Sicherheitsvorkehrungen und einem daraus resultierenden möglichen „katastrophalen“ Hacking-Angriff gewarnt. Drei Jahre vor der Kompromittierung der Software durch russische Hacker. Ian Thornton-Trump behauptet auch, dass die Verlagerung von Programmierungs-Tätigkeiten nach Osteuropa aus Kostengründen es den Russen leichter gemacht haben könnte.
Er sagte, er habe drei Führungskräften von SolarWinds eine PowerPoint-Präsentation gezeigt und sie aufgefordert, einen Senior Director für Cybersicherheit zu installieren, da er der Meinung sei, dass ein schwerwiegendes Problem unvermeidlich sei, berichtete Bloomberg. Als seine Empfehlungen ignoriert wurden, verließ er das Unternehmen einen Monat später.
Es ist nicht ausgeschlossen, dass die US-Sicherheitsbehörden über die Probleme im Bilde waren, und die russischen Hacker gewähren ließen, um jene besser zu analysieren und um irreführende Informationen zu zirkulieren. Im Kalten Krieg war es üblich, sowjetischen Spionen falsche Baupläne und andere falsche Informationen unterzujubeln. Die USA könnten künftig eine gewaltige Vereinheitlichung von Software- und Internetstandards erzwingen, wenn genügend russische Cyber-Attacken geschehen.
Laut Mitarbeitern habe der CEO von SolarWinds mit Sitz in Austin, Texas, die Sicherheitsmaßnahmen gekürzt, um Kosten zu sparen, und das Unternehmen hat mehrere Ingenieurbüros nach Osteuropa verlegt. Genau dort, wo russische Geheimdienste leichtes Spiel haben, sollen die kompromittierten SolarWinds-Software-Komponenten entwickelt worden sein.
Frühere und aktuelle Mitarbeiter sagen, dass Thompson, der früher Buchhalter und Finanzvorstand war, die gängigen Sicherheitspraktiken gesenkt hat, um Kosten zu sparen, und sein Ansatz die jährlichen Gewinnmargen von SolarWinds von 152 Mio. USD im Jahr 2010 auf mehr als 453 Mio. USD im Jahr 2019 fast verdreifacht hat.
