Seit Beginn der russischen Invasion in der Ukraine spielt sich der Krieg auf mehreren Ebenen ab – denn auch das Internet ist inzwischen eine gefährliche Waffe geworden. Die zu Google gehörenden Sicherheitsexperten von "Mandiant" zeigen in einer aufwändigen Analyse, wie ein Angriff der russischen Hacker-Gruppierung Sandworm auf die kritische Infrastruktur der Ukraine abgelaufen ist. Konkret handelt es sich bei den Attacken um mehrere Stromausfälle, die offenbar durch die Arbeit der Hacker verursacht worden sind.
Die Experten berichten, dass die Hacker spätestens ab Juni 2022 Zugriff auf die Infrastruktur eines Kraftwerks erlangt hatten. Zu diesem Zweck hätten sie eine Managementsoftware für industrielle Steuersysteme, eine sogenannte SCADA, unter ihre Kontrolle gebracht.
Veraltete Software erlaubte Steuerung von Systemen
Das genutzte Schlupfloch war offenbar eine veraltete Software auf dem Rechner des Opfers, die noch in der Lage war, direkte Befehle an ein Umspannwerk zu schicken. Das soll laut Hersteller seit 2014 nicht mehr möglich sein, doch das Update wurde – wie es in der Industrie lange üblich war – verschlafen.
Nach der Infiltration geschah monatelang nichts. Erst im Oktober sei dann eine versteckte Datei ausgeführt worden, die Sandworm auf dem System des Energieversorgers eingeschleust haben soll. Diese habe einen Schadcode ausgeführt, um diverse Schutzschalter auszulösen. Die Nachrichtenagentur "Reuters" schrieb die Stromausfälle damals dem Raketenbeschuss zu.
Zwei Tage später griff Sandworm dem Bericht zufolge erneut an. Demnach sei es den Hackern gelungen, eine auf Zerstörung ausgerichtete Schadsoftware namens "Caddywiper" auf den Systemen zu installieren. Das Ziel, so "Mandiant" sei die weitere Zersetzung der Systeme sowie das Verwischen von Spuren gewesen. In Folge kam es offenbar zu weiteren Störungen.
Die Sicherheitsexperten betonen, dass es keine fixen Belege dafür gebe, dass Sandworm und das Militär an einem Strang gezogen haben. Die lange Wartezeit und der zeitgleiche Beschuss der Ukraine legten dies allerdings nahe, heißt es.
Hackerangriff auf die Ukraine wohl ohne erhöhten Aufwand möglich
Überrascht habe bei dem Angriff im Oktober 2022 die Einfachheit der Attacke, so die Experten. Denn vormals – auch bei den Sandworm-Angriffen 2015 – sei das Lahmlegen von kritischer Infrastruktur aufgrund vollkommen anderer Betriebssysteme der Anlagen äußerst komplex gewesen. Diesmal, schreibt "Mandiant", sei der Angriff schneller, leichter und ohne größeren Aufwand für die Hacker vonstatten gegangen.
Insgesamt habe Sandworm wohl nur zwei Monate für die Entwicklung des Hacks benötigt, was den Schluss zulasse, dass "der Bedrohungsakteur wahrscheinlich in der Lage ist, schnell ähnliche Fähigkeiten gegen andere Systeme von verschiedenen Originalgeräteherstellern zu entwickeln, die weltweit eingesetzt werden." Das galt lange nicht als akute Gefahr, denn jeder Angriff auf derartige Systeme musste individuell und mit hohem Aufwand durchgeführt werden.
In Sicherheits-Kreisen ist Sandworm seit Jahren ein bekannter Akteur. Bereits in der Vergangenheit legte die Gruppe Stromnetze in der Ukraine lahm und soll unter anderem auch für die in Europa weitgehend bekannte Trojanerwelle Notpetya verantwortlich sein.
Noch im Februar 2022 hatte Sandworm mit Angriffen auf Router begonnen – und sorgte mit Cyclops Blink für zahllose infizierte Geräte (hier erfahren Sie mehr).
Hacker-Gruppen wie Sandworm arbeiten verschiedenen Berichten zufolge längst wie vollkommen normale Unternehmen. Es gibt Angestellte, Chefs und Unternehmensinhaber. Selbst sowas wie Grundgehälter und Krankengelder soll es in der Szene geben. Einziger Unterschied: Echte Namen tauchen nicht auf, jeder hat ein Pseudonym.
Lesen Sie auch:
