Blackout in der Ukraine: Cyberangriff konnte abgewehrt werden

Die Ukraine ist nur knapp einem Cyberangriff auf ihr Stromnetz entkommen. Wäre die Attacke erfolgreich gewesen, wären 2 Millionen Haushalte von einem Blackout getroffen worden. 

Der Angriff wurde von der slowakischen Cybersicherheitsfirma ESET zusammen mit dem Computer-Notfallteam der Ukraine, CERT-UA, aufgedeckt. Es ist bereits der dritte große Hackerangriff auf das ukrainische Stromnetz.

Der erste fand 2015 statt und löste einen mehrstündigen Stromausfall aus. 2016 fand der zweite Angriff statt. Die Folge war ein einstündiger Ausfall, der ein Fünftel von Kiew betraf. Die Angreifer*innen der russischen Hackergruppe Sandworm hatten damals die Schadsoftware "Industroyer" eingeschleust und damit Umspannwerke vom Netz genommen.

Industroyer2 

Die Malware war das erste bekannte Programm, das spezifisch für den Angriff auf Stromnetze entwickelt wurde. Die im aktuellen Fall genutzte Software wurde von ESET „Industroyer2“ getauft, da sie als eine neue Variante der 2016 eingesetzten Malware identifiziert wurde. Wie genau die Angreifer es geschafft haben, sie in das Verteilernetzwerk des bisher nicht genannten Strombetreibers einzuschleusen, ist derzeit unbekannt.

Bei einem früheren Angriff von Sandworm wurden Phishing-Mails eingesetzt. Andere Hackergruppen platzierten bei ähnlichen Attacken infizierte USB-Sticks auf Parkplätzen vor Kraft- und Umspannwerken, in der Hoffnung, dass Mitarbeiter*innen sie finden und aus Neugier an ihre Arbeits-Computer anstecken. Manchmal werden auch Mitarbeiter*innen erpresst oder bestochen, um Schadsoftware einzuspielen.

Spuren verwischen

Zusätzlich wurde die Malware CaddyWiper gefunden. Sie wurde bereits bei Angriffen auf ukrainische Banken verwendet. Die Schadsoftware soll verhindern, dass der Stromanbieter die Kontrolle über seine Systeme wieder zurückerlangt. Sie löscht Daten und soll damit so auch Spuren verwischen und Systeme unbrauchbar machen. ESET hatte bereits zu Beginn des Krieges vor dem Einsatz dieser Malware gewarnt (futurezone berichtete). Zudem nutzten die Hacker weitere Wiping-Programme, um die Laufwerke der angegriffenen Computersysteme so zu löschen, dass die Daten nicht wieder hergestellt werden können.

Ukraine wehrt sich gegen russische Hacker

ESET und CERT-UA sind stark davon überzeugt, dass auch der aktuelle Angriff von Sandworm ausgeführt wurde. Die Gruppe soll laut US-Justizministerium für den russischen Geheimdienst arbeiten. Wie der ukrainische Vize-Chef des staatlichen Digitalisierungs- und Sicherheitsservices SSSCIP, Viktor Zhora, bei einer Pressekonferenz mitteilte, konnte sich die Ukraine aber spezifisch auf die Abwehr von Angriffen russischer Hacker vorbereiten: „Wir haben es mit einem Gegner zu tun, der uns konstant fordert. Seit 2014 erleben wir ständig Angriffe. Unser Wissen, diese Attacken abzuwehren, ist einzigartig.“

Verbindung zu früheren Angriffen

Bei der ersten großen Attacke von Sandworm auf das ukrainische Stromnetz im Jahr 2015 begann die Gruppe mit Phishing-Mails. So verteilte sie Microsoft-Dokumente, die mit Schadsoftware versehen waren. Über diese konnten sie sich über Monate hinweg vom Verwaltungsnetzwerk des betroffenen Stromanbieters in das Verteilernetzwerk vorarbeiten.

Damals konnte Sandworm mehrere Umspannwerke vom Netz trennen. Sie löschten zudem Daten, damit die Systeme unbrauchbar werden und sich der Angriff länger zieht. Das Callcenter des betroffenen Versorgers wurde zusätzlich mit einer DDoS-Attacke lahmgelegt. Dabei werden in kürzester Zeit so viele Zugriffe auf einen Server durchgeführt, dass dieser zusammenbricht. Trotzdem konnte die Stromversorgung binnen 3 Stunden wieder hergestellt werden. Damals waren etwa 225.000 Haushalte für mehrere Stunden vom Blackout betroffen.

Die aktuelle Attacke soll mindestens 2 Wochen im Voraus geplant worden sein. ESET konnte erste Spuren der Malware vom 23. März entdecken. Sie sollte am Abend des 8. Aprils ausgeführt werden und den Angriff auslösen. Laut CERT-UA soll es bereits im Februar einen ersten Cyberangriff gegeben haben.

Österreich wappnet sich gegen Cyberangriffe

In Österreich steht das Innenministerium in ständigem Austausch mit Einrichtungen kritischer Infrastruktur. Wie ein BMI-Sprecher der futurezone mitteilte, werden Warnungen über mögliche Cyberangriffe und Hackerattacken regelmäßig von der Direktion Staatsschutz und dem Bundesnachrichtendienst an die Betreiber weitergeleitet.

Für das österreichische CERT ist die aktuelle Attacke keine Neuigkeit: "Die Firmen, die für die österreichische Stromversorgung arbeiten, verfolgen seit Jahren die internationalen Entwicklungen in diesem Bereich mit großer Aufmerksamkeit", teilt ein Sprecher der futurezone auf Anfrage mit. Die Gefahr durch Cyberangriffe sei seit Jahren Teil des Risikomanagements in der Branche, "wodurch entsprechenden Gegenmaßnahmen getroffen wurden", heißt es. 

Energiebetreiber kennen Risiken

Man würde technische Sicherheitsvorkehrungen bei der IT treffen, sich aber auch gezielt auf etwaige Vorfälle vorbereiten, um im Falle eines Angriffs schnell reagieren zu können, so das CERT. Mit einem eigenen Team, dem Austrian Energy CERT, hat man ein spezifisches Notfallteam eingesetzt, das Cyberangriffe auf den Energiesektor verhindern soll.

Bisher sind keine vergleichbaren Angriffe auf österreichische Betreiber bekannt. Allerdings gebe es immer wieder Versuche von Datendiebstahl und Erpressung im Energiesektor. "Die Energiebranche ist sich ihrer Verantwortung für das Land bewusst und nimmt die Absicherung gegen Cyberattacken sehr ernst", so das CERT. 

Wäre der Angriff auf die Ukraine geglückt, hätte das keine Auswirkungen auf das europäische Stromnetz gehabt, bestätigt ein Sprecher des Austrian Power Grid der futurezone. Die Ukraine erhält seit Mitte März Notfallunterstützung aus Europa. Gegen solche Angriffe wurde das europäische Stromnetz aber abgesichert.