Cyberattacken als Kriegsmittel
Sophos Sophos, Cyber Threat, Cyberangriffe
Angesichts des Aufmarschs russischer Truppen an der Grenze zur Ukraine und der DDoS-Angriffe (Distributed Denial of Service), die sporadisch ukrainische Regierungswebsites und Finanzdienstleister stören, wird viel darüber gesprochen, dass man auf Cyberkonflikte vorbereitet sein sollte, unabhängig davon, ob es zu einem tatsächlichen Krieg kommt oder nicht. Zwar sollten alle Unternehmen stets auf Angriffe aus allen Richtungen vorbereitet sein. Doch es kann hilfreich sein zu wissen, worauf man achten muss, wenn das Risiko eines Angriffs steigt. Ich habe mich dazu entschlossen, die Geschichte der bekannten oder vermuteten Aktivitäten des russischen Staates im Cyberumfeld zu überprüfen und zu beurteilen, welche Arten von Aktivitäten zu erwarten sind beziehungsweise wie Organisationen darauf vorbereitet sein können.
Destabilisierende Denial-of-Service-Angriffe
Die früheste bekannte Aktivität geht auf den 26. April 2007
zurück, als die estnische Regierung eine Statue zum Gedenken an die
Befreiung Estlands von den Nazis durch die Sowjetunion an einen weniger
prominenten Ort versetzte. Diese Aktion erzürnte die russischsprachige
Bevölkerung Estlands und destabilisierte die Beziehungen zu Moskau. Kurz
darauf kam es zu Unruhen auf den Straßen, zu Protesten vor der
estnischen Botschaft in Moskau und zu einer Welle von DDoS-Angriffen auf estnische Regierungs–
und Finanzdienstleistungs-Websites. Vollständig vorbereitete Tools und
Anleitungen zur Beteiligung an DDoS-Angriffen erschienen in russischen
Foren fast unmittelbar nach der Verlegung der Statue. Diese Angriffe
richteten sich gegen Websites des Präsidenten, des Parlaments, der
Polizei, der politischen Parteien und der wichtigsten Medienunternehmen.
Zwar wurden andere “russische Patrioten” dazu aufgerufen, bei der Bestrafung Estlands zu helfen, doch handelte es sich dabei wohl kaum um eine Graswurzelbewegung*, die mit Werkzeugen und einer Liste von Zielen aus dem Nichts auftauchte. Dieselbe Taktik wurde später von Anonymous zur Verteidigung von Wikileaks angewandt, wobei ein Werkzeug namens Low Orbit Ion Canon (LOIC) zum Einsatz kam. Am 4. Mai 2007 intensivierten sich die Angriffe und zielten zusätzlich auf Banken ab. Genau sieben Tage später endeten die Angriffe um Mitternacht so abrupt, wie sie begonnen hatten. Alle beschuldigten sofort Russland, doch ist es nahezu unmöglich, verteilte Denial-of-Service-Angriffe zuzuordnen. Es wird jetzt allgemein angenommen, dass diese DDoS-Angriffe das Werk des Russian Business Network (RBN) waren, einer berüchtigten Gruppe des organisierten Verbrechens in Russland mit Verbindungen zu Spamming, Botnets und pharmazeutischen Partnerprogrammen. Ihre Dienste wurden offenbar genau eine Woche lang “in Anspruch genommen”, um diese Angriffe durchzuführen.
Am 19. Juli 2008 begann eine neue Welle von DDoS-Angriffen, die sich gegen Nachrichten- und Regierungswebsites in Georgien richtete. Diese Angriffe verstärkten sich auf mysteriöse Weise am 8. August 2008 dramatisch, als russische Truppen in die separatistische Provinz Süd-Ossetien einmarschierten. Die Angriffe richteten sich zunächst gegen georgische Nachrichten- und Regierungsseiten, später auch gegen Finanzinstitute, Unternehmen, Bildungseinrichtungen, westliche Medien und eine georgische Hacker-Website. Wie bei den früheren Angriffen auf Estland erschien eine Website mit einer Liste von Zielen sowie einer Reihe von Tools mit Anleitungen zu deren Verwendung. Auch hier wurde versucht, die Angriffe den “Patrioten” zuzuschreiben, die sich gegen die georgische Aggression wehrten. Doch der Großteil des tatsächlichen Angriffsverkehrs stammte von einem bekannten großen Botnetz, das vermutlich von RBN kontrolliert wurde.
Digitale Verunstaltung und Spam
Zu den Angriffen auf Georgien gehörten auch die Verunstaltung
von Websites und massive Spam-Kampagnen, mit denen die georgischen
Posteingänge verstopft werden sollten. All dies diente offenbar dazu,
das Vertrauen in die Fähigkeit Georgiens, sich selbst zu verteidigen und
zu regieren, zu erschüttern und die Regierung daran zu hindern,
effektiv mit ihren Bürgern und der Außenwelt zu kommunizieren. Weniger
als ein Jahr später, im Januar 2009, begann eine weitere Serie von
DDoS-Angriffen in Kirgisistan. Dies geschah zur gleichen Zeit, als die
kirgisische Regierung über die Verlängerung des Mietvertrags für einen
US-Luftwaffenstützpunkt in ihrem Land entschied. Ein Zufall? Es sah so
aus, als ob die Aktion wieder vom RBN durchgeführt wurde, aber diesmal
war es keine List von “Patrioten”, die ihre digitale Meinung zum
Ausdruck brachten.
Desinformation und Isolation
Damit kommen wir zum jüngsten kinetischen Konflikt, der
Invasion der Krim im Jahr 2014. Seit 2009 wird ein Informationskrieg auf
niedrigem Level gegen die Ukraine geführt, wobei viele Angriffe mit
Ereignissen zusammenfallen, die als Bedrohung für russische Interessen
interpretiert werden könnten, wie etwa ein NATO-Gipfel und Verhandlungen
zwischen der Ukraine und der EU über ein Assoziierungsabkommen. Im März
2014 berichtete die New York Times, dass die Schadsoftware “Snake” in das Büro des ukrainischen Premierministers
und mehrere entfernte Botschaften eingedrungen war, als in der Ukraine
regierungsfeindliche Proteste begannen. Gegen Ende des Jahres 2013 und
zu Beginn des Jahres 2014 veröffentlichte ESET außerdem Untersuchungen,
die Angriffe auf militärische Ziele und Medien dokumentierten und als “Operation Potao Express”
bezeichnet wurden. Wie zuvor führte eine einheimische Cybergruppe
namens “Cyber Berkut” DDoS-Angriffe und Web-Verunstaltungen durch, ohne
jedoch größeren Schaden anzurichten. Sie sorgte jedoch für große
Verwirrung, und allein das hat in Konfliktzeiten Auswirkungen.
Zu Beginn des Konflikts übernahmen Soldaten ohne Abzeichen die Kontrolle über die Telekommunikationsnetze der Krim und den einzigen Internetknotenpunkt in der Region und verursachten einen Informationsstopp. Die Angreifer missbrauchten ihren Zugang zum Mobilfunknetz, um antirussische Demonstranten zu identifizieren und ihnen SMS-Nachrichten zu schicken, in denen stand: “Sehr geehrter Anschlussinhaber, Sie sind als Teilnehmer an einem Massenaufruhr registriert.” Nachdem sie die Kommunikationsfähigkeit der Krim isoliert hatten, manipulierten die Angreifer auch die Mobiltelefone von Mitgliedern des ukrainischen Parlaments und hinderten sie daran, wirksam auf die Invasion zu reagieren. Wie in Military Cyber Affairs erwähnt, liefen die Desinformationskampagnen auf Hochtouren: “In einem Fall bezahlte Russland eine einzige Person dafür, mehrere verschiedene Web-Identitäten zu besitzen. Ein Akteur in St. Petersburg gab an, als drei verschiedene Blogger mit zehn Blogs zu agieren und gleichzeitig auf anderen Websites zu kommentieren. Eine andere Person wurde angestellt, um 126 Mal alle zwölf Stunden Nachrichten und soziale Medien zu kommentieren.”
Lähmende Stromzufuhr
Am 23. Dezember 2015 wurde etwa der Hälfte der Einwohner von
Iwano-Frankiwsk (Ukraine) abrupt der Strom abgestellt. Es wird allgemein
angenommen, dass dies das Werk von staatlich unterstützten russischen
Hackern war. Die ersten Angriffe begannen mehr als sechs Monate
vor dem Stromausfall, als Mitarbeiter in drei Stromverteilungszentren
ein infiziertes Microsoft Office-Dokument mit einem Makro öffneten, das
Malware namens BlackEnergy installieren sollte. Den Angreifern gelang
es, sich Fernzugriffsdaten für das SCADA-Netzwerk (Supervisory Control
and Data Acquisition) zu verschaffen und die Kontrolle über die
Steuerungen der Umspannwerke zu übernehmen, um die Leistungsschalter zu
öffnen. Anschließend beeinträchtigten sie die Remote-Kontrollen, um zu
verhindern, dass die Schalter geschlossen werden können, um die
Stromversorgung wiederherzustellen. Darüber hinaus setzten die Angreifer
einen “Wiper” ein, um die zur Steuerung des Netzes verwendeten Computer
zu zerstören, und führten gleichzeitig einen telefonischen
Denial-of-Service-Angriff (TDoS) durch, indem sie die
Kundendienstnummern überfluteten und so die Kunden, die versuchten, die
Ausfälle zu melden zu frustrierten.
Fast ein Jahr später, am 17. Dezember 2016, gingen in Kiew erneut die Lichter aus. Ein Zufall? Wahrscheinlich nicht. Diesmal hieß die verantwortliche Schadsoftware Industroyer/CrashOverride und war weitaus ausgefeilter. Die Malware war mit modularen Komponenten ausgestattet, die das Netzwerk scannen konnten, um SCADA-Steuerungen zu finden und deren Sprache beherrscht. Außerdem verfügte sie über eine Wiper-Komponente, um das System zu löschen. Der Angriff schien weder mit BlackEnergy noch mit dem bekannten Wiper-Tool KillDisk in Verbindung zu stehen, aber es bestand kein Zweifel, wer dahintersteckte.
E-Mail-Enthüllung
Im Juni 2016, während des engen Präsidentschaftswahlkampfs
zwischen Hillary Clinton und Donald Trump, trat eine neue Figur namens Guccifer 2.0
auf den Plan, die behauptete, das Demokratische Nationalkomitee gehackt
zu haben und dessen E-Mails an Wikileaks weiterzuleiten. Obwohl dies
nicht offiziell Russland zugeschrieben wird, tauchte es zusammen mit
anderen Desinformationskampagnen während der Wahl 2016 auf und es wird
allgemein angenommen, dass der Kreml dahintersteckt.
Angriffe auf die Lieferkette: NotPetya
Russlands hartnäckige Angriffe auf die Ukraine waren noch nicht
vorbei, und am 27. Juni 2017 verschärften sie die Situation, als sie
eine neue Malware mit dem Namen NotPetya auf den Markt brachten.
NotPetya war als neue Ransomware getarnt und wurde über eine gehackte
Lieferkette eines ukrainischen Anbieters von Buchhaltungssoftware
verbreitet. Tatsächlich handelte es sich aber gar nicht um Ransomware.
Sie verschlüsselte zwar einen Computer, konnte aber nicht entschlüsselt
werden, so dass das Gerät effektiv gelöscht und unbrauchbar gemacht
wurde. Die Opfer waren nicht auf ukrainische Unternehmen
beschränkt. Die Malware verbreitete sich innerhalb weniger Stunden
weltweit, wobei vor allem Organisationen betroffen waren, die in der
Ukraine tätig waren, wo die mit Sprengfallen versehene
Buchhaltungssoftware eingesetzt wurde. Es wird geschätzt, dass NotPetya
weltweit einen Schaden von mindestens 10 Milliarden US-Dollar verursacht
hat.
Unter falscher Flagge
Als die Olympischen Winterspiele in PyeongChang am 9. Februar
2018 eröffnet wurden, stand ein weiterer Angriff kurz bevor, der die
Welt in Atem hielt. Der Malware-Angriff setzte alle Domain-Controller im
gesamten olympischen Netzwerk außer Gefecht und verhinderte, dass
alles, vom WLAN bis zu den Ticketschaltern, ordnungsgemäß funktionierte.
Wie durch ein Wunder gelang es dem IT-Team, das Netzwerk zu isolieren,
die Malware wiederherzustellen und von den Systemen zu entfernen, so
dass am nächsten Morgen alles wieder funktionierte, ohne dass ein Fehler
auftrat. Dann war es an der Zeit, eine Malware-Analyse durchzuführen,
um herauszufinden, wer das gesamte Olympia-Netzwerk angreifen und
lahmlegen wollte. Die Zuordnung von Malware ist schwierig, aber es gab
einige Hinweise, die hilfreich sein könnten, oder es handelte sich um
falsche Fährten, die auf eine unbeteiligte dritte Partei hindeuten
sollten. Die “Beweise” schienen auf Nordkorea und China zu deuten, aber
es war fast zu offensichtlich, um Nordkorea die Schuld zu geben. Am Ende
fand Igor Soumenkov von Kaspersky Lab mit brillanter Detektivarbeit
eine heiße Fährte, die direkt auf Moskau zeigte.
Einige Jahre später, kurz vor den Feiertagen Ende 2020, wurde ein Angriff auf die Lieferkette bekannt, der auf die SolarWinds Orion-Software abzielte, die für die Verwaltung der Netzwerkinfrastruktur großer und mittlerer Unternehmen auf der ganzen Welt, einschließlich vieler US-Bundesbehörden, eingesetzt wird. Die Aktualisierungsmechanismen der Software wurden gekapert und zur Installation einer Hintertür verwendet. Die Prominenz der Opfer in Verbindung mit dem durch die heimlich installierte Backdoor ermöglichten Zugriff macht diesen Angriff möglicherweise zu einem der größten und schädlichsten Cyberspionage-Angriffe der modernen Geschichte. Das U.S. Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA), das Office of Director of National Intelligence (ODNI) und die National Security Agency (NSA) gaben eine gemeinsame Erklärung ab, in der es heißt, dass ihre Ermittlungen darauf hindeuten, dass..: “…ein Advanced Persistent Threat-Akteur, wahrscheinlich russischen Ursprungs, für die meisten oder alle der kürzlich entdeckten, laufenden Cyberangriffe auf Regierungs- und Nichtregierungsnetzwerke verantwortlich ist. Zum jetzigen Zeitpunkt gehen wir davon aus, dass es sich dabei um eine nachrichtendienstliche Maßnahme handelt und auch weiterhin handeln wird.”
Russischer Cyberkonflikt im Jahr 2022
Im Jahr 2022 nehmen die cyberpolitischen Spannungen wieder zu
und stehen kurz vor der Zerreißprobe. Am 13. und 14. Januar 2022 wurden
zahlreiche Websites der ukrainischen Regierung verunstaltet und Systeme
mit als Ransomware getarnter Malware infiziert. Mehrere Komponenten
dieser Angriffe erinnern an die Vergangenheit. Bei der Malware handelte
es sich nicht um Ransomware, sondern lediglich um einen ausgeklügelten Wiper,
wie er auch bei den NotPetya-Angriffen eingesetzt wurde. Außerdem
wurden viele falsche Fährten hinterlassen, die darauf schließen lassen,
dass es sich um das Werk ukrainischer Dissidenten oder polnischer
Partisanen handeln könnte. Ablenken, verwirren, leugnen und versuchen zu
spalten scheint jetzt das Standardrepertoire zu sein. Am Dienstag, den
15. Februar 2022, wurde eine Reihe von DDoS-Angriffen auf ukrainische
Regierungs- und Militärseiten sowie auf drei der größten ukrainischen
Banken gestartet. In einem beispiellosen Schritt hat das Weiße Haus bereits einige Geheimdienstinformationen freigegeben und die Angriffe dem russischen GRU zugeschrieben.
Das russische Playbook für Cyberkriegsführung
Was nun? Unabhängig davon, ob die Lage weiter eskaliert, werden
die Cyberoperationen mit Sicherheit weitergehen. Seit dem Sturz von
Viktor Janukowitsch im Jahr 2014 ist die Ukraine einer ständigen Flut
von Angriffen ausgesetzt, die in unterschiedlichem Maße Höhen und Tiefen
aufweisen. In Russlands offizieller “Militärdoktrin der Russischen
Föderation” aus dem Jahr 2010 heißt es: “die
vorherige Durchführung von Maßnahmen der Informationskriegsführung, um
politische Ziele ohne den Einsatz militärischer Gewalt zu erreichen, und
in der Folge im Interesse einer positiven Reaktion der Weltgemeinschaft
auf den Einsatz militärischer Gewalt.“ Dies deutet auf eine
Fortsetzung früherer Verhaltensweisen vor einem Konflikt hin und macht
DDoS-Angriffe zu einem potenziellen Anzeichen für eine bevorstehende
kinetische Reaktion. Mit der Informationskriegsführung kann der Kreml
versuchen, die Reaktion der übrigen Welt auf Aktionen in der Ukraine
oder auf andere Angriffsziele zu steuern. Falsche Fährten, falsche
Zuordnungen, gestörte Kommunikation und die Manipulation sozialer Medien
sind allesamt wichtige Bestandteile von Russlands
Informationskriegskonzept. Sie müssen keine permanente Tarnung für
Aktivitäten vor Ort oder anderswo schaffen, sondern lediglich für
genügend Verzögerung, Verwirrung und Widerspruch sorgen, damit andere,
gleichzeitig laufende Operationen ihre Ziele erreichen können.
Vorbereiten und schützen
Interessanterweise versuchen die Vereinigten Staaten und das
Vereinigte Königreich, einigen der Fehlinformationskampagnen
zuvorzukommen, was ihre Wirksamkeit einschränken könnte. Wir sollten
jedoch nicht davon ausgehen, dass die Angreifer aufhören werden, es zu
versuchen, also müssen wir vorbereitet und wachsam bleiben.
So sollten beispielsweise Organisationen in den Nachbarländern der Ukraine darauf vorbereitet sein, in Online-Betrügereien hineingezogen zu werden, auch wenn sie nicht direkt in der Ukraine tätig sind. Frühere Angriffe und Fehlinformationen sind nach Estland, Polen und in andere angrenzende Staaten durchgesickert, wenn auch nur als Kollateralschaden. Aus globaler Sicht sollten wir damit rechnen, dass eine Reihe von “patriotischen” Freiberuflern in Russland, d. h. Ransomware-Kriminelle, Phish-Autoren und Botnetzbetreiber, mit noch größerem Eifer als sonst gegen Ziele vorgehen werden, die als gegen das Mutterland gerichtet angesehen werden. Es ist unwahrscheinlich, dass Russland NATO-Mitglieder direkt angreift und die Inkraftsetzung von Artikel V riskiert. Die jüngsten Gesten Russlands zur Eindämmung von Kriminellen, die von der Russischen Föderation und ihren Partnern in der Gemeinschaft Unabhängiger Staaten (GUS) aus operieren, werden jedoch wahrscheinlich zu einem Ende kommen und stattdessen werden sich die Bedrohungen vervielfachen.
Zwar sollte eine tiefgreifende Verteidigung das Normalste der Welt sein, doch ist sie besonders wichtig, wenn wir mit einer Zunahme der Häufigkeit und Schwere von Angriffen rechnen müssen. Die Fehlinformationen und die Propaganda werden bald einen Höhepunkt erreichen, aber wir müssen auf der Hut sein, die Luken schließen und unsere Netze auf alles Ungewöhnliche überwachen, während die Konfliktzyklen abebben – selbst wenn sie bald enden. Denn wie wir alle wissen, kann es Monate dauern, bis Beweise für ein digitales Eindringen im Zusammenhang mit dem russisch-ukrainischen Konflikt auftauchen.
Originaler Blog-Beitrag von Jörg Schindler - Senior PR-Manager bei Sophos