Microsoft-Bericht über russische Cyberangriffe auf die Ukraine

Microsoft hat zerstörerische Cyberangriffe auf die Ukraine festgestellt und am 27. April 2022 einen Sonderbericht mit dem Titel „Special Report: Ukraine“ veröffentlicht. Das DHS (Department of Homeland Security) warnt die Ukraine, dass die Häufigkeit russischer Cyberangriffe zunehmen und möglicherweise noch aggressiver werden könnte. Cyber-Bedrohungsakteure haben bereits beträchtlichen Schaden angerichtet und könnten eine Reihe von Schwachstellen ausnutzen, die entweder bereits bestehen oder als Folge der jüngsten Cyber-Angriffe entstanden sind.

Zahlreiche Nachrichten und soziale Medien weltweit untersuchen und berichten über die jüngsten Ereignisse des zweiten Ukraine-Kriegs. Das Cyber-Element dieses Konflikts ist so weit fortgeschritten, dass Microsoft als führendes Technologieunternehmen eine Sonderuntersuchung durchführen musste, um das Ausmaß des Schadens zu ermitteln, der dadurch verursacht wurde und wird.

Dieser Artikel verfolgt mehrere Ziele. Das erste ist die Analyse der russischen Cyberangriffsstrategien und -ziele; das zweite ist die Offenlegung der Arten von Cyberangriffen und Malware, die russische Bedrohungsakteure einsetzen, während sich das dritte um die Folgen der von Russland angestifteten Cyberangriffe dreht.

Russische Cyberkriege in Frieden und Konflikt

Ein Cyberkrieg mit Russland kann je nach Ziel und Umfeld unterschiedliche Formen annehmen. Die Intensität, Hartnäckigkeit und Methoden, mit denen Cyberangriffe durchgeführt werden, sind in Friedens- und Kriegszeiten unterschiedlich.

Cyber-Kriegsführung in Friedenszeiten

Das Wort „Frieden“ sollte für bare Münze genommen werden, da russische Cyber-Bedrohungsakteure Angriffe durchführen, auf die viele Länder nur in Konfliktzeiten zurückgreifen würden. In Friedenszeiten verfolgen Cyber-Akteure mehrere Ziele, darunter auch, aber nicht nur, folgende:

  1. Schwächung der kritischen Infrastruktur des Ziels
  2. Verringerung der Ressourcen des Ziels
  3. Anzetteln oder Orchestrieren von Revolten
  4. Einschüchterung der Zielperson, damit sie entweder bestimmte Handlungen vornimmt oder unterlässt
  5. Verursachung ziviler Unruhen und Schwächung des politischen Zusammenhalts des Ziellandes

Die Russen erreichen diese Ziele auf vielfältige Weise. Die Bedrohungsakteure setzen eine Reihe ausgeklügelter Malware ein, verbreiten Desinformationen und starten Verleumdungskampagnen, aber noch wichtiger ist, dass sie dem Ziel zeigen, dass sie sich seiner Cyberschwachstellen voll bewusst sind.

Russische Cyberkriege im Konflikt

Putins Cyberwar-Methoden sind in Kriegszeiten ganz anders. Es wird die tödlichste Schadsoftware eingesetzt, die Ausdauer der Angriffe ist dramatisch höher, und im Gegensatz zu sporadischen Einschüchterungs-/Prüfungsangriffen sind Cyberangriffe im Krieg chirurgisch präzise und mit anderen kinetischen, militärischen, Luft-, See- und Landangriffen koordiniert. Cyberangriffe in Kriegszeiten haben weitaus verheerendere Folgen, wie z. B.:

  1. Vollständige Störung wichtiger Einrichtungen, die zu kritischen Infrastrukturen gehören
  2. Die Verbreitung von Desinformation belastet die logischen Ressourcen
  3. Kompromittierte Kommunikationskanäle
  4. Langfristige Stromausfälle

Störung der wichtigsten Einrichtungen

Die meisten Cyberangriffe seit dem russischen Angriff in der Ukraine richteten sich gegen wichtige Einrichtungen wie nationale Tankstellen, Krankenhäuser, Infanteriekasernen und vor allem gegen die IT-Komponenten der Infrastruktur. Cyberangriffe auf das ukrainische Militär und die ukrainischen Banken hat zu einer großen Unruhe in der Bevölkerung geführt. In Verbindung mit einem Mangel an lebenswichtigen Gütern waren viele Bürger wochenlang nicht in der Lage, Lebensmittel, Wasser oder saubere Kleidung zu kaufen. Eine besonders schwierige Aufgabe für die ukrainische Regierung war es auch, den Überblick über die Menschen zu behalten, die ihre Häuser verloren hatten oder während des Krieges vermisst wurden. Bevor beispielsweise das Kernkraftwerk in Saporischschja von Bodentruppen eingenommen wurde, war es Ziel einer Reihe von Mikro-Cyberangriffen, die die Aufklärungsversuche behinderten.

Schwindende Moral der Soldaten und Bürger

Die Moral ist einer der wichtigsten Faktoren in jeder Schlacht. Sie beeinflusst den Willen, trotz aller Widrigkeiten zu kämpfen, und inspiriert die Soldaten zu heldenhaftem Handeln, selbst wenn sie mit einer überwältigenden Macht konfrontiert sind. Nach einer Reihe erfolgreicher Cyberangriffe auf ukrainische Krankenhäuser, Banken und andere Teile der Infrastruktur begann die Moral sowohl der Bürger als auch der Soldaten zu sinken. Raketen auf der einen Seite und Cyberangriffe auf der anderen Seite führten zu einem Zustand der Verwirrung und Verzweiflung.

Landesweite Stromausfälle

Der jüngste Angriff auf das ukrainische Militär durch einen offensichtlichen DDoS-Cyberangriff war nicht der erste. Ende 2015 führte eine Gruppe russischer Hacker erfolgreich einen massiven Cyberangriff durch, der das nationale Stromnetz des Landes für volle sechs Stunden lahmlegte. Im zweiten Ukraine-Krieg wurde eine Kombination aus Cyberangriffen und kinetischen Angriffen eingesetzt, die drei Elektrizitätswerke fast zerstörten und große Stromausfälle verursachten. Diese vielschichtigen Angriffe, die mit dem Beschuss am 3. Mai ihren Höhepunkt erreichten, haben einen großen Teil der Ukraine im Dunkeln gelassen. Obwohl die ukrainische Infrastruktur über Notstromaggregate verfügt, mit denen das Hauptnetz wochen-, wenn nicht monatelang funktionieren würde, waren Tausende von Haushalten ohne Strom.

Cyberangriffe und Diplomatie

Ein Land hat nur minimale (wenn überhaupt) diplomatische Einflussmöglichkeiten, wenn es ein anderes Land angreift. In der Regel gehen Länder defensive und offensive Bündnisse ein und rufen ihre Freunde zur Unterstützung ihrer Bemühungen auf. Cyberangriffe werden oft zur Ergänzung der Diplomatie eingesetzt. Mit Hilfe von Hackerangriffen werden bestimmte Ziele so markiert, dass das Ziel nur vermuten kann, wer der Schuldige war. Dies ist in gewissem Sinne eine Machtdemonstration.

Während ein Angriff auf ein Land mit Truppen und Artillerie am Boden eine eindeutige Kriegserklärung darstellt, überschreitet eine Cyber-„Sondierung“ diese Grenze nicht. Sie zeigt lediglich, dass sich das angreifende Land Zugang zu den kritischen Systemen des Ziellandes verschaffen und es bei Bedarf mit einem Knopfdruck erheblich schwächen könnte. Ein aktuelles Beispiel veranschaulicht diese Situation perfekt. Der ukrainische Präsident Wolodymyr ersuchte am 8. April das finnische Parlament um Hilfe; das Land wurde angeblich als Warnung mit einem DDoS-Cyberangriff belegt.

In dieser Hinsicht dienen Cyberangriffe der Durchsetzung von Diplomatie durch Einschüchterung. Im Gegensatz zur Friedensdiplomatie zwischen befreundeten Ländern, die auf gegenseitige Verbesserungen hinarbeiten, ist die von Hackern unterstützte Kriegsdiplomatie nicht so langlebig, kann aber wesentlich effektiver sein.

Malware im zweiten Krieg eingesetzt

Zahlreiche Arten von Malware aus dem ersten Ukraine-Krieg konnten erst Jahre später identifiziert werden. Der Microsoft-Bericht hat mehrere besonders gefährliche Arten von Viren und bösartiger Software aufgespürt, die im zweiten Krieg eingesetzt wurden und auf die wir in den folgenden Abschnitten eingehen:

Whisper Gate

Whisper Gate ist eine hochentwickelte Art von Malware, die mehrere Funktionen erfüllt. Sie überschreibt die Daten des betroffenen Systems und verhindert, dass das System startet, bis die Malware entfernt wird. Außerdem wird ein gefälschter Hinweis angezeigt, der dem Systembetreiber signalisiert, dass das Gerät kompromittiert wurde. Weitere Funktionen sind:

  • Ransomware-Aspekt als letzte Komponente
  • Er verschlüsselt beschädigte Dateien mit ganz bestimmten Dateierweiterungen und verweigert jedem außer dem Angreifer den Zugriff.
  • Es dauert Monate, um sie zu entschlüsseln.

In normalen Situationen würde der Verteiler der Malware eine „Entschädigung“ verlangen und den Virus entfernen. In Kriegszeiten sind die betroffenen Rechner praktisch unbrauchbar und verlieren mit ziemlicher Sicherheit alle darauf befindlichen Daten.

Fox Blade

Fox Blade, besser bekannt als Hermetic Wiper, ist eine Wiper-Malware, die nach einem von der Firma Hemertica Digital gestohlenen Zertifikat benannt ist. Es ist einer der Viren, die am häufigsten für Angriffe auf zahlreiche ukrainische Organisationen und Unternehmen verwendet wurden, insbesondere während des zweiten Krieges.

Dieser Virus zielt hauptsächlich auf Microsoft Windows-Geräte ab und wurde entwickelt, um die systemeigenen Abwehrmechanismen zu umgehen. Wiper wurde nach seiner Fähigkeit benannt, das System „sauber zu wischen“ und dem Angreifer die Möglichkeit zu geben, Dateien zu löschen, auf die er Zugriff hat. Gewöhnliche Wiper sind nur in der Lage, den Zugriff auf Daten auf niedriger Ebene zu ermöglichen. Fox Blade ist ausgeklügelter und ermöglicht dem Angreifer den Zugriff auf hochrangige Privilegien. Mit Fox Blade kann jedes Windows-System vollständig gelöscht werden, einschließlich aller auf den Laufwerken enthaltenen Dateien.

Sonic Vote

Sonic Vote ist eine weniger fortschrittliche Variante des Hermetic Wiper und wird oft auch als „Hermetic Ransom“ bezeichnet. Anstatt dem Angreifer die Möglichkeit zu geben, jede Datei in einem kompromittierten Windows-System zu löschen, ermöglicht es dem Angreifer, die Dateien zu verschlüsseln und dem Besitzer den Zugriff zu verweigern. Während Hermetic Wiper im Allgemeinen dazu verwendet wird, kritische Systeme dauerhaft zu deaktivieren, eignet sich Sonic Vote eher für den Masseneinsatz.

In vielen Fällen verbringt das Team, das Sonic Vote bekämpft, Tage mit der Entschlüsselung von Daten, manchmal sogar Wochen, wenn wichtige Informationen auf dem Spiel stehen. Der Einsatz von Sonic Vote auf Tausenden von Windows-Systemen war ein strategischer Schachzug, um sowohl Verwirrung zu stiften als auch die Aufmerksamkeit der Verteidiger zu teilen.

Caddy Wiper

CaddyWiper ist eine weitere Art von Wiper-Malware, die einen ähnlichen Zweck erfüllt wie Hermetic Wiper. Er wurde entwickelt, um Dateien zu zerstören, indem er Daten mit ungültigen Werten überschreibt, bietet jedoch ein weitaus höheres Maß an Flexibilität. Der Angreifer kann seine Anonymität bewahren, indem er einzelne Informationen löscht, oder er kann einen umfassenden Angriff starten und das gesamte System und alles darin löschen. Wie alle Wiper gewährt Caddy Wiper dem Benutzer privilegierten Zugriff auf alle Systemdateien und kann auch zur Spionage verwendet werden.

DesertBlade

Dem Microsoft-Bericht zufolge handelt es sich bei dem DesertBlade-Hacking-Angriff um einen „begrenzten zerstörerischen Malware-Angriff“. Er zielte auf ein einziges ukrainisches Unternehmen und war so konzipiert, dass er alle Dateien außer dem System selbst überschrieb und löschte. Sie ist nicht so zerstörerisch wie Hermetic oder Caddy Wiper, macht das Gerät aber dennoch vorübergehend nicht mehr startfähig. Diese Malware wurde wahrscheinlich zusammen mit anderen Wipern eingesetzt, um den Verteidiger zu überrumpeln. Nach einer Flut von Hermetic- und Caddy Wiper-Angriffen war die Systemverteidigung nicht ausreichend auf DesertBlade-Viren vorbereitet.

Industroyer.B

Industroyer.B, benannt nach seinem Ziel, wurde geschaffen, um dem Angreifer Zugang zu industriellen Steuerungssystemen zu gewähren. Er ist der Wiper-Malware recht ähnlich, da er die Fähigkeit besitzt, Dateien zu überschreiben und zu löschen, auf die der Angreifer zugreifen kann. Es handelt sich eher um einen Spezialvirus, der speziell für industrielle Systeme entwickelt wurde.

Häufig gestellte Fragen

Was ist ein Cyberangriff aus Russland?

Ein Cyberangriff aus Russland ist eine orchestrierte Hacking-Operation, die ein oder mehrere Ziele haben kann. In der Regel zielen sie auf Ziele ab, die als Bedrohung für die nationale Sicherheit Russlands angesehen werden, das können Einzelpersonen, Unternehmen oder Regierungen sein. Im Fall des zweiten Ukraine-Kriegs richteten sich die Cyberangriffe nicht nur gegen die Ukraine, sondern auch gegen Länder, die ihr Hilfe anboten.

Vergeltungsangriffe sind insofern anders, als sie oft angekündigt werden. Als das Land eine Erklärung abgab, dass es Vergeltungsmaßnahmen gegen jeden ergreifen wird, der den Beitritt der Ukraine zum NATO-Pakt unterstützt, führten Cyber-Akteure einen DDoS-Angriff auf das finnische Parlament durch. Eine andere Form des Cyberangriffs ist ein Einschüchterungsangriff. Wenn ein Land offen erklärt, dass es plant, Söldner, Waffen oder Ressourcen in die Ukraine zu schicken, kann es nach einer Reihe von anhaltenden Hackerangriffen davon abgehalten werden, dies zu tun.

Wie reagiert die Ukraine auf die russische Cyber-Bedrohung?

Dies ist nicht der erste Informationskrieg zwischen Russland und der Ukraine. Während des ersten Ukraine-Krieges legte Russland das ukrainische Stromnetz lahm und führte eine Reihe von hartnäckigen Mikroangriffen durch, was zeigt, wie real und gefährlich die Bedrohung sein kann. Derzeit sind die russischen Taktiken, Technologien und Hacking-Techniken ganz anders. Die Ukraine ist nicht nur mit weitaus raffinierteren Cyberangriffen konfrontiert, sondern muss sich auch gegen eine viel größere kinetische Kraft verteidigen. Die Ukraine verlässt sich in hohem Maße auf ihre Spionageabwehr, um neue Bedrohungen aufzuspüren und darauf zu reagieren, aber der mehrgleisige Angriff von Cyberangriffen und kinetischer Zerstörung ist weitaus gefährlicher als während des ersten Ukraine-Kriegs.

Wie würde ein russischer Cyberangriff aussehen?

Während des zweiten Krieges setzte Russland vor allem Malware aus der Wiper-Familie ein. Diese Viren wurden absichtlich so entwickelt, dass sie die Antivirensysteme von Microsoft umgehen und dem Angreifer Zugriff auf Systemdateien gewähren. In den meisten Fällen setzten die russischen Cyberangriffe eine Kombination aus mehreren Wipern ein (DesertBlade, HermeticWiper, Industroyer und andere). Fast alle diese Viren konnten alle Daten auf dem Zielsystem löschen. Darüber hinaus konnte die Malware sensible Daten kopieren und verschlüsseln, wodurch wichtige Informationen an die russischen Behörden gelangten.

Wann begann der Cyberkrieg in der Ukraine im Jahr 2022?

Der erste Cyberangriff während des zweiten Ukraine-Kriegs wurde am 22. März 2022 gestartet. Cyber-Bedrohungsakteure setzten einen Caddy Wiper ein, woraufhin täglich Hermetic Wiper, Sonic Vote und Industroyer-Viren gestartet wurden.

Schlussfolgerung

In Kriegszeiten ist der Zugang zu Informationen wohl noch wichtiger als militärische Stärke und moderne Waffen. Diejenige Seite, die zuerst in der Lage ist, sich genaue Informationen zu beschaffen, hat die Oberhand. Russische Cyberangriffe sind nicht nur eine Bedrohung für Organisationen in der Ukraine, sondern auch für Unternehmen in Amerika, Europa und Australien, da diese Länder die Ukraine in dem aktuellen Krieg offen unterstützen. Am besten schützen Sie sich, indem Sie sich für die DIESEC-Risikomanagement-Services anmelden und Ihre IT-Sicherheitsmaßnahmen von unseren Cybersecurity-Experten überprüfen und verbessern lassen. Kontaktieren Sie uns noch heute für ein kostenloses Beratungsgespräch!