Wie russische Hacker der Ukraine zusetzen
Im vergangenen Herbst nahm die russische Armee gezielt Kraftwerke und Stromleitungen in der Ukraine unter Beschuss. Begleitet wurden die Raketen- und Drohnen-Angriffe, die Hunderte ukrainische Städte und Dörfer von der Stromversorgung abschnitten, von einer Reihe von Cyberattacken. Diese Angriffe auf kritische Infrastruktur seien die größte Cyberbedrohung, sagt Victor Zhora, der stellvertretende Leiter der ukrainischen Cybersicherheitsbehörde SSSCIP.
Im vergangenen Jahr registrierten die ukrainischen Cybersicherheitsstellen 2.194 Angriffe auf zivile und staatliche Ziele in dem Land. Neben Unternehmen, Telekomanbietern und Banken seien zuletzt verstärkt Energieversorger Ziele von Attacken geworden, führt Zhora bei einer Videokonferenzschaltung im Rahmen der Sphere-Konferenz des finnischen Sicherheitsunternehmens With Secure aus, die vergangene Woche stattgefunden hat.
➤ Mehr lesen: So bereitet die Ukraine ihre Soldaten auf Drohnenagriffe vor
Im Vergleich zum Vorjahr hätten kritische Ereignisse im Bereich der Informationssicherheit um 26 Prozent zugenommen. Die Intensität der Angriffe sei auch im heurigen Jahr nicht zurückgegangen. Viele der Attacken würden die konventionellen Angriffe Russlands unterstützen und seien Bestandteil der russischen Kriegsführung, sagt Zhora: "Wir erleben den ersten Cyberkrieg."
Cybergangs mischen mit
Durchgeführt werden die Angriffe mit der Unterstützung russicher Cybergangs, die mit den Cybertruppen der russischen Geheimdienste zusammenarbeiten. Rund 70 solcher Gruppen würden Russland im Cyberkrieg unterstützen, sagt Zhora.
Dem Zusammenbruch von Teilen des Stromnetzes im Herbst folgte auch die Verbreitung von Fake-News in sozialen Netzwerken. Sie machten die ukrainische Regierung für die Stromausfälle verantwortlich und hatten das Ziel, die Glaubwürdigkeit der Ukraine zu untergraben. Dasselbe Ziel verfolgten die Angreifer*innen bereits zuvor mit simultanen Attacken auf Regierungs- und Medien-Websites, wo ebenso Fake-News ausgespielt wurden.
Daten von Bürger*innen im Visier
Neben der Verbreitung von Desinformationen und Attacken auf kritische Infrastruktur, sei vor allem Spionage das Ziel russischer Cyberattacken, sagt Zhora. Russische Angreifer*innen würden auch versuchen, so viele Informationen wie möglich über ukrainische Bürger*innen zu sammeln.
Man habe auch zunehmend Angriffe auf Organisationen beobachtet, die personenbezogene Daten von Bürger*innen gespeichert haben. Die Attacken sollen helfen, Leute zu identifizieren, die in Verbindung mit ukrainischen Behörden oder dem ukrainischen Militär stehen und die den russischen Angreifer*innen gefährlich werden könnten, sagt Zhora.
Gut vorbereitet
Die Ukraine sei auf die russischen Cyberattacken gut vorbereitet. Auch weil Russland schon lange vor dem Einmarsch russischer Truppen im Februar 2022 Angriffe auf die Ukraine durchgeführt habe. Russische Hacker*innen würden seit 2014 kritische Infrastruktur in dem Land ins Visier nehmen, sagt Zhora. Als prominentestes Beispiel nennt er den Angriff mit der Schadsoftware NotPetya auf ukrainische Firmen und Behörden im Jahr 2017. Der hatte als Kollateralschaden weltweit Systemausfälle zur Folge.
NotPetya habe wesentlich zur Stärkung der ukrainschen Cyberabwehr beigetragen, sagt Zhora. Infolge des Angriffs sei nicht nur die Zusammenarbeit mit privaten Unternehmen und der Schutz kritischer Infrastruktur verstärkt worden. Auch die internationale Kooperation im Kampf gegen Cyberattacken habe zugenommen. Es gebe einen regen Informationsaustausch mit den NATO-Staaten, sagt Zhora. Im Kampf gegen die russischen Cyberangriffe könnte die Ukraine auch auf die Unterstützung großer Techkonzerne wie Microsoft, Amazon und Google zählen.
Der Informationskrieg sei ein zentrales Element des Krieges in der Ukraine, sagt Zhora. Die Bedeutung der Cyberkriegsführung werde in den kommenden Jahren zunehmen und habe auch weit über die Grenzen betroffener Staaten vor allem wirtschaftliche Auswirkungen. Auch deshalb sei es wichtig, die Verantwortlichen hinter den Cyberattacken zur Rechenschaft zu ziehen.
Cybergangs kopieren Konzerne
Im Sommer 2021 habe es einen kurzen Hoffnungsschimmer gegeben, die ausufernde Cyberkriminalität mit erpresserischer Software, sogenannte Ransomware, empfindlich schwächen zu können, sagt Mikko Hyppönen. Er ist leitender Sicherheitsforscher beim finnischem Cybersicherheitsunternehmen With Secure.
Nachdem Angriffe mit erpresserischer Software die 9.000 Kilometer lange US-Benzin-Pipeline Colonial zum Stillstand gebracht und zahlreiche US-Unternehmen lahmgelegt hatten, entschloss sich die US-Regierung zu weitreichenden Maßnahmen. Auf Angreifer*innen ausgesetztes Kopfgeld führte zu zahlreichen Verhaftungen. Dabei wurde auch die berüchtigte russische Revil-Gang öffentlichkeitswirksam aus dem Verkehr gezogen. Die Jagdsaison auf Cyberkriminelle ging jedoch bald zu Ende.
Als im Februar 2022 Russland in die Ukraine einmarschierte, habe sich das historische Fenster geschlossen, sagt Hyppönen: Es habe keine Verhaftungen mehr gegeben, viele der festgenommenen Angreifer*innen seien wieder freigelassen worden.
Subunternehmen
Laut einer vor kurzem veröffentlichten Studie von With Secure hat sich die Branche in den vergangenen Jahren zunehmend professionalisiert. "Die Gruppen haben Geschäftspraktiken großer Konzerne nachgeahmt und kopiert und in die Steigerung der Effizienz investiert", sagt Stephen Robinson, der bei dem Unternehmen Bedrohungslagen analysiert. Geschäftsbereiche wurden ausgelagert und an Subunternehmen vergeben.
Die Schadsoftware selbst wurde als Dienstleistung angeboten, das Auskundschaften von potenziellen Zielen, der Zugang zu Computersystemen, Verhandlungen mit Opfern und Geldwäschedienstleistungen wurden von Dritten übernommen. Dafür habe sich ein boomender krimineller Markt entwickelt.
Milliardengeschäft
Das führte so weit, dass laut With Secure eine Organisation von 5 verschiedenen Akteuren kompromittiert worden sei, die alle unterschiedliche Ziele - von der Erpressung über Datendiebstahl bis hin zum Schürfen von Kryptowährungen über Unternehmensserver - verfolgten. Allein mit erpresserischer Software seien seit 2020 rund 2 Milliarden Dollar eingenommen worden, heißt es in der Analyse. Die meisten Angriffe wurden in den USA, Kanada und Großbritannien verzeichnet. Unter den Branchen war die Bauindustrie am häufigsten betroffen.
Weil durch die Diversifizierung auch zunehmend weniger qualifizierte Akteur*innen Zugang zu Wissen und Dienstleistungen für Angriffe erhalten, sei davon auszugehen, dass die Zahl der Angreifer*innen in den kommenden Jahren weiter wachsen werde. Auch staatliche Angreifer*innen würden sich zunehmend am Schwarzmarkt an Dienstleistungen und Werkzeugen der diversifizierten Branche bedienen, warnt Robinson. Schließlich sei es billiger, fortschrittliche Schadsoftware zu kaufen, als eigene zu entwickeln.
Disclaimer: Die Kosten für die Reise zur Sphere-Konferenz nach Helsinki wurden von With Secure übernommen.