KRITIS

Russische Cyberangriffe auf die Ukraine und das Risiko für kritische Infrastrukturen

, München, CrowdStrike | Autor: Adam Meyers

Russische Cyberangriffe auf die Ukraine und das Risiko für kritische Infrastrukturen

Von Adam Meyers, Senior Vice President of Intelligence bei CrowdStrike

Während die Welt die Entwicklung des Ukraine-Krieges verfolgt, beobachten Cyber Security-Experten die Lage mit höchster Alarmbereitschaft. Gemeinsam mit Industrie und Regierungen beobachten sie den Einsatz von Cyberbedrohungen ganz genau und bereiten sich auf mögliche russische Hackerangriffe vor.

Adam Meyers, Senior Vice President of Intelligence bei CrowdStrike

Die Bedrohung ist allerdings nicht neu. Russland hat bereits in der Vergangenheit mehrere Cyberoperationen gegen die Ukraine unternommen. Diese wurden erstmals deutlich bei den Euromaidan-Protesten Ende des Jahres 2013. Der Cyberangreifer VODOO BEAR, auch bekannt als Einheit 74455 des russischen Militärgeheimdienstes GRU, ist einer der Hauptverantwortlichen hinter diesen Angriffen. Ziel dieser Gruppe ist es, das Vertrauen der Öffentlichkeit in die staatlichen Institutionen und die Industrie der Ukraine zu schwächen, zu delegitimieren oder zu verringern. Darüber hinaus ist VOODOO BEAR für Störungen in ukrainischen kritischen Infrastrukturen verantwortlich, die sowohl im Dezember 2015 wie auch im folgenden Jahr zu extremen Stromausfällen führten. Die Operationen der Gruppe sorgten auch im Juni 2017 für internationale Besorgnis, denn ein Angriff auf ukrainische Lieferketten führte zur weitreichenden Verbreitung von NotPeyta. NotPeyta verursachte einen geschätzten Gesamtschaden in Höhe von 10 Milliarden US-Dollar und beeinträchtigte Unternehmen und öffentliche Dienste weltweit. Andere russische Gruppen, wie beispielsweise PRIMITIVE BEAR, beteiligten sich ebenfalls an den asymmetrischen Kampagnen gegen die Ukraine.

Die Cyber-Front

Mit dem Aufmarsch russischer Streitkräfte an der ukrainischen Grenze nahm auch die Anzahl von Cyberangriffen auf das Land zu. Mitte Januar 2022 kam es zu einer ganzen Reihe von Angriffen, wie z.B. Verunstaltung (Defacement) von Regierungs-Websites, Datendiebstählen sowie zu einem Wiper-Angriff, der von der Sicherheitsbranche Whispergate genannt wird. Die Datendiebstähle und die Angriffe auf die Webseiten erfolgten unmittelbar nach diversen Treffen zwischen den USA und Russland, bei denen Truppenaufmärsche nahe der ukrainischen Grenze diskutiert wurden. Daraufhin tauchten Personas im Dark Web auf, die mit dem russischen Bedrohungsakteur EMBER BEAR in Verbindung stehen und Daten verkauften, die bei dem Wiper-Angriff gestohlenen wurden.

Mitte Februar wurden ukrainische Bank- und Regierungs-Websites im Zuge einer umfangreichen Distributed Denial of Service (DDoS) Attacke vom russischen Militärgeheimdienst angegriffen. Der Angriff betraf die Webseiten des ukrainischen Verteidigungsministeriums und der Streitkräfte, sowie der staatlichen Sparkasse (Oschadbank) und die mobile Anwendung der größten ukrainischen Geschäftsbank, PrivatBank. Gleichzeitig erhielten Bankkunden SMS-Nachrichten, die fälschlicherweise behaupteten, dass Geldautomaten nicht funktionieren würden. Zudem wurden Bombendrohungen gegen diverse Bankfilialen ausgesprochen.

Am 23. Februar 2022 wurde mit DriveSlayer ein zweiter Wiper-Angriff identifiziert, der technisch anspruchsvoller war als die Aktivitäten von WhisperGate/EMBER BEAR im Januar. Die Merkmale von DriveSlayer stimmen eher mit den Aktivitäten von VOODOO BEAR überein. Am 24. Februar 2022 zeigten diverse ukrainische Regierungswebsites eine Nachricht an und reagierten danach nicht mehr. Die angezeigte Nachricht war fast identisch mit derjenigen, die bei der Defacement-Aktivität gegen ähnliche Ziele am 14. Januar 2022 verwendet wurde. Kurz nach dem Wiper-Angriff mit DriveSlayer und den Website-Defacements griffen russische Truppen die Ukraine an. Seit Beginn des Konflikts wurden in den folgenden Wochen noch weitere Wiper-Angriffe, Fehlinformations- und Spionageaktivitäten gegen die Ukraine beobachtet.

Wir haben zudem zwei weitere Aktivitäten identifiziert die ebenfalls in Verbindung mit diesem Konflikt stehen. Die erste betrifft zerstörerische Angriffe auf die ukrainische Satellitenkommunikation. Die zweite Aktivität sind (Falsch-) Informations- oder psychologische Operationen, wahrscheinlich inklusive Verstärkung durch Personas und Verbreitung über soziale Medien.

eCrime mischt sich ein

Der Ukraine-Krieg involviert auch das eCrime-Ökosystem. Dies ist insofern bemerkenswert, da Russland seit langem eCrime-Akteure beherbergt, um sie potenziell für politische Zwecke zu nutzen. Die Akteure haben das Potenzial, russische Staatsziele zu unterstützen, indem sie beispielsweise als irreguläre Streitkräfte auftreten und weltweit, besonders aber in den USA, störende Angriffe durchführen.

Unmittelbar nach dem Einmarsch in die Ukraine begannen eCrime-Gruppen, die sonst finanziell motivierte Cyberaktivitäten durchführen, auf den Konflikt zu reagieren. Einige Akteure kommunizierten ihre Unterstützung der russischen Staatsziele direkt, wie beispielsweise WIZARD SPIDER. Diese Gruppe machte erstmals im Jahr 2016 mit ihrer Trickbot-Malware auf sich aufmerksam und war bereits in Ransomware-Operationen mit Ryuk und Conti involviert. Sie bekräftigte ihre volle Unterstützung für die russische Regierung und kündigte ihre Bereitschaft an, gegen die Feinde Russlands zurückzuschlagen. Weitere eCrime-Gruppen haben ebenfalls kürzlich ihre DDoS-Angriffe auf ukrainische Ziele gelenkt, was untypisch für ihre bisherigen Aktivitäten ist.

Bereit oder nicht

Schon lange vor dem Ukraine-Krieg haben Sicherheitsbehörden und Analysten der Cybersicherheitsbranche ihre Besorgnis über die Fähigkeiten und Absichten Russlands ausgedrückt, dass auch kritische Infrastrukturen in Deutschland angegriffen werden könnten. Regelmäßige Verstöße von Russland-nahen Akteuren zeigen, dass die Infrastruktur in Zeiten von geopolitischen Spannungen gefährdet und möglicherweise angegriffen, beeinträchtigt und sogar zerstört werden könnte. Je länger sich der Krieg in der Ukraine hinzieht, ohne dass Russland seine politischen Ziele erreicht und gleichzeitig die Sanktionen verschärft werden, desto größer werden die Risiken für Angriffe in Deutschland.

Betreiber kritischer Infrastrukturen stellen sich zunehmend auf diese Bedrohungen ein. Doch selbst mit geschärftem Bewusstsein, Ressourcen und Unterstützung müssen die Betreiber kritischer Infrastrukturen weiterhin achtsam in der Cyber-Security sein. Dieses Problem der „letzten Meile“ kann nicht allein durch politische Initiativen gelöst werden. Auf folgende Punkte sollten Unternehmen achten:

  • Beziehungen zu Strafverfolgungsbehörden oder Mitarbeitern der inneren Sicherheit aufbauen, die im Falle eines Angriffes helfen können.
  • Auf das Knowhow von Fachkräften oder Hilfspersonal zurückgreifen. Dazu gehört beispielsweise ein Notfallplan und in vielen Fällen ein Vertrag mit einem vom BSI qualifizierten Anbieter von Notfalldiensten (Incident Response).
  • Maßnahmen zur Verbesserung der allgemeinen Sicherheitslage ergreifen. Dazu gehören unter anderem der Einsatz moderner IT-Sicherheitstools und Konzepte wie Multi-Faktor-Authentifizierung (MFA) und Endpoint Detection and Response (EDR), umfassende Protokollierung, Migration zu Cloud-/Software-as-a-Service (SaaS)-Anwendungen, Implementierung von Zero-Trust-Architekturen und proaktive Suche nach Angreifern in deneigenen Netzen (Threat Hunting).
  • Gegebenenfalls spezielle Werkzeuge und Ressourcen einsetzen, welche für die Sicherheit der operativen Technologie (OT) erforderlich sind.

Kleine und mittelgroße Unternehmen mit weniger als sechs oder acht dedizierten Cybersecurity-Mitarbeitern haben in den letzten Jahren von Managed Security Service Providern (MSSP) oder Managed Detection and Response (MDR)-Anbietern profitiert. Bedenkt man die aktuelle Bedrohungslage und künftigen Herausforderungen, ist dies ein Trend, der begrüßt werden sollte.

Obwohl es anfängliche Befürchtungen bezüglich russischer Cyberaktivitäten außerhalb des Ukrainekonflikt gab, bleibt die Lage ruhiger als erwartet. Jedoch kann sich das schnell ändern. Es gibt Anzeichen dafür, dass Russland als Gegenmaßnahme für die Unterstützung anderer Länder und die erheblichen Sanktionen gegenüber russischen Unternehmen und Personen aggressiver werden könnte. Betreiber von kritischen Infrastrukturen müssen deshalb aufmerksam bleiben. Angesichts der umfangreichen Berichterstattung in den Medien und der oben beschriebenen Maßnahmen und Warnungen der Regierung scheint es, als würden die Unternehmen des privaten Sektors zunehmend wachsam werden.