Zwar sollten alle Unternehmen stets auf Angriffe aus allen Richtungen vorbereitet sein. Doch es kann hilfreich sein zu wissen, worauf man achten muss, wenn das Risiko eines Angriffs steigt. Ich habe mich dazu entschlossen, die Geschichte der bekannten oder vermuteten Aktivitäten des russischen Staates im Cyberumfeld zu überprüfen und zu beurteilen, welche Arten von Aktivitäten zu erwarten sind beziehungsweise wie Organisationen darauf vorbereitet sein können.
Destabilisierende Denial-of-Service-Angriffe
Die früheste bekannte Aktivität geht auf den 26. April 2007 zurück, als die estnische Regierung eine Statue zum Gedenken an die Befreiung Estlands von den Nazis durch die Sowjetunion an einen weniger prominenten Ort versetzte. Diese Aktion erzürnte die russischsprachige Bevölkerung Estlands und destabilisierte die Beziehungen zu Moskau. Kurz darauf kam es zu Unruhen auf den Straßen, zu Protesten vor der estnischen Botschaft in Moskau und zu einer Welle von DDoS-Angriffen auf estnische Regierungs– und Finanzdienstleistungs-Websites.
Vollständig vorbereitete Tools und Anleitungen zur Beteiligung an DDoS-Angriffen erschienen in russischen Foren fast unmittelbar nach der Verlegung der Statue. Diese Angriffe richteten sich gegen Websites des Präsidenten, des Parlaments, der Polizei, der politischen Parteien und der wichtigsten Medienunternehmen.
Zwar wurden andere "russische Patrioten" dazu aufgerufen, bei der Bestrafung Estlands zu helfen, doch handelte es sich dabei wohl kaum um eine Graswurzelbewegung*, die mit Werkzeugen und einer Liste von Zielen aus dem Nichts auftauchte. Dieselbe Taktik wurde später von Anonymous zur Verteidigung von Wikileaks angewandt, wobei ein Werkzeug namens Low Orbit Ion Canon (LOIC) zum Einsatz kam.
Am 4. Mai 2007 intensivierten sich die Angriffe und zielten zusätzlich auf Banken ab. Genau sieben Tage später endeten die Angriffe um Mitternacht so abrupt, wie sie begonnen hatten.
Alle beschuldigten sofort Russland, doch ist es nahezu unmöglich, verteilte Denial-of-Service-Angriffe zuzuordnen. Es wird jetzt allgemein angenommen, dass diese DDoS-Angriffe das Werk des Russian Business Network (RBN) waren, einer berüchtigten Gruppe des organisierten Verbrechens in Russland mit Verbindungen zu Spamming, Botnets und pharmazeutischen Partnerprogrammen. Ihre Dienste wurden offenbar genau eine Woche lang "in Anspruch genommen", um diese Angriffe durchzuführen.
Am 19. Juli 2008 begann eine neue Welle von DDoS-Angriffen, die sich gegen Nachrichten- und Regierungswebsites in Georgien richtete. Diese Angriffe verstärkten sich auf mysteriöse Weise am 8. August 2008 dramatisch, als russische Truppen in die separatistische Provinz Süd-Ossetien einmarschierten. Die Angriffe richteten sich zunächst gegen georgische Nachrichten- und Regierungsseiten, später auch gegen Finanzinstitute, Unternehmen, Bildungseinrichtungen, westliche Medien und eine georgische Hacker-Website.
Wie bei den früheren Angriffen auf Estland erschien eine Website mit einer Liste von Zielen sowie einer Reihe von Tools mit Anleitungen zu deren Verwendung. Auch hier wurde versucht, die Angriffe den "Patrioten" zuzuschreiben, die sich gegen die georgische Aggression wehrten. Doch der Großteil des tatsächlichen Angriffsverkehrs stammte von einem bekannten großen Botnetz, das vermutlich von RBN kontrolliert wurde.
Digitale Verunstaltung und Spam
Zu den Angriffen auf Georgien gehörten auch die Verunstaltung von Websites und massive Spam-Kampagnen, mit denen die georgischen Posteingänge verstopft werden sollten. All dies diente offenbar dazu, das Vertrauen in die Fähigkeit Georgiens, sich selbst zu verteidigen und zu regieren, zu erschüttern und die Regierung daran zu hindern, effektiv mit ihren Bürgern und der Außenwelt zu kommunizieren.
Weniger als ein Jahr später, im Januar 2009, begann eine weitere Serie von DDoS-Angriffen in Kirgisistan. Dies geschah zur gleichen Zeit, als die kirgisische Regierung über die Verlängerung des Mietvertrags für einen US-Luftwaffenstützpunkt in ihrem Land entschied. Ein Zufall? Es sah so aus, als ob die Aktion wieder vom RBN durchgeführt wurde, aber diesmal war es keine List von "Patrioten", die ihre digitale Meinung zum Ausdruck brachten.
Damit kommen wir zum jüngsten kinetischen Konflikt, der Invasion der Krim im Jahr 2014.
Desinformation und Isolation
Seit 2009 wird ein Informationskrieg auf niedrigem Level gegen die Ukraine geführt, wobei viele Angriffe mit Ereignissen zusammenfallen, die als Bedrohung für russische Interessen interpretiert werden könnten, wie etwa ein NATO-Gipfel und Verhandlungen zwischen der Ukraine und der EU über ein Assoziierungsabkommen.
Im März 2014 berichtete die New York Times, dass die Schadsoftware "Snake" in das Büro des ukrainischen Premierministers und mehrere entfernte Botschaften eingedrungen war, als in der Ukraine regierungsfeindliche Proteste begannen. Gegen Ende des Jahres 2013 und zu Beginn des Jahres 2014 veröffentlichte ESET außerdem Untersuchungen, die Angriffe auf militärische Ziele und Medien dokumentierten und als "Operation Potao Express" bezeichnet wurden.
Wie zuvor führte eine einheimische Cybergruppe namens "Cyber Berkut" DDoS-Angriffe und Web-Verunstaltungen durch, ohne jedoch größeren Schaden anzurichten. Sie sorgte jedoch für große Verwirrung, und allein das hat in Konfliktzeiten Auswirkungen.
Zu Beginn des Konflikts übernahmen Soldaten ohne Abzeichen die Kontrolle über die Telekommunikationsnetze der Krim und den einzigen Internetknotenpunkt in der Region und verursachten einen Informationsstopp. Die Angreifer missbrauchten ihren Zugang zum Mobilfunknetz, um antirussische Demonstranten zu identifizieren und ihnen SMS-Nachrichten zu schicken, in denen stand: "Sehr geehrter Anschlussinhaber, Sie sind als Teilnehmer an einem Massenaufruhr registriert."
Nachdem sie die Kommunikationsfähigkeit der Krim isoliert hatten, manipulierten die Angreifer auch die Mobiltelefone von Mitgliedern des ukrainischen Parlaments und hinderten sie daran, wirksam auf die Invasion zu reagieren. Wie in Military Cyber Affairs erwähnt, liefen die Desinformationskampagnen auf Hochtouren:
"In einem Fall bezahlte Russland eine einzige Person dafür, mehrere verschiedene Web-Identitäten zu besitzen. Ein Akteur in St. Petersburg gab an, als drei verschiedene Blogger mit zehn Blogs zu agieren und gleichzeitig auf anderen Websites zu kommentieren. Eine andere Person wurde angestellt, um 126 Mal alle zwölf Stunden Nachrichten und soziale Medien zu kommentieren."
Lähmende Stromzufuhr
Am 23. Dezember 2015 wurde etwa der Hälfte der Einwohner von Iwano-Frankiwsk (Ukraine) abrupt der Strom abgestellt. Es wird allgemein angenommen, dass dies das Werk von staatlich unterstützten russischen Hackern war. Die ersten Angriffe begannen mehr als sechs Monate vor dem Stromausfall, als Mitarbeiter in drei Stromverteilungszentren ein infiziertes Microsoft Office-Dokument mit einem Makro öffneten, das Malware namens BlackEnergy installieren sollte.
Den Angreifern gelang es, sich Fernzugriffsdaten für das SCADA-Netzwerk (Supervisory Control and Data Acquisition) zu verschaffen und die Kontrolle über die Steuerungen der Umspannwerke zu übernehmen, um die Leistungsschalter zu öffnen. Anschließend beeinträchtigten sie die Remote-Kontrollen, um zu verhindern, dass die Schalter geschlossen werden können, um die Stromversorgung wiederherzustellen. Darüber hinaus setzten die Angreifer einen "Wiper" ein, um die zur Steuerung des Netzes verwendeten Computer zu zerstören, und führten gleichzeitig einen telefonischen Denial-of-Service-Angriff (TDoS) durch, indem sie die Kundendienstnummern überfluteten und so die Kunden, die versuchten, die Ausfälle zu melden zu frustrierten.
Fast ein Jahr später, am 17. Dezember 2016, gingen in Kiew erneut die Lichter aus. Ein Zufall? Wahrscheinlich nicht.
Diesmal hieß die verantwortliche Schadsoftware Industroyer/CrashOverride und war weitaus ausgefeilter. Die Malware war mit modularen Komponenten ausgestattet, die das Netzwerk scannen konnten, um SCADA-Steuerungen zu finden und deren Sprache beherrscht. Außerdem verfügte sie über eine Wiper-Komponente, um das System zu löschen. Der Angriff schien weder mit BlackEnergy noch mit dem bekannten Wiper-Tool KillDisk in Verbindung zu stehen, aber es bestand kein Zweifel, wer dahintersteckte.
E-Mail-Enthüllung
Im Juni 2016, während des engen Präsidentschaftswahlkampfs zwischen Hillary Clinton und Donald Trump, trat eine neue Figur namens Guccifer 2.0 auf den Plan, die behauptete, das Demokratische Nationalkomitee gehackt zu haben und dessen E-Mails an Wikileaks weiterzuleiten. Obwohl dies nicht offiziell Russland zugeschrieben wird, tauchte es zusammen mit anderen Desinformationskampagnen während der Wahl 2016 auf und es wird allgemein angenommen, dass der Kreml dahintersteckt.
Angriffe auf die Lieferkette: NotPetya
Russlands hartnäckige Angriffe auf die Ukraine waren noch nicht vorbei, und am 27. Juni 2017 verschärften sie die Situation, als sie eine neue Malware mit dem Namen NotPetya auf den Markt brachten.
NotPetya war als neue Ransomware getarnt und wurde über eine gehackte Lieferkette eines ukrainischen Anbieters von Buchhaltungssoftware verbreitet. Tatsächlich handelte es sich aber gar nicht um Ransomware. Sie verschlüsselte zwar einen Computer, konnte aber nicht entschlüsselt werden, so dass das Gerät effektiv gelöscht und unbrauchbar gemacht wurde.
Die Opfer waren nicht auf ukrainische Unternehmen beschränkt. Die Malware verbreitete sich innerhalb weniger Stunden weltweit, wobei vor allem Organisationen betroffen waren, die in der Ukraine tätig waren, wo die mit Sprengfallen versehene Buchhaltungssoftware eingesetzt wurde.
Es wird geschätzt, dass NotPetya weltweit einen Schaden von mindestens 10 Milliarden US-Dollar verursacht hat.
Unter falscher Flagge
Als die Olympischen Winterspiele in PyeongChang am 9. Februar 2018 eröffnet wurden, stand ein weiterer Angriff kurz bevor, der die Welt in Atem hielt. Der Malware-Angriff setzte alle Domain-Controller im gesamten olympischen Netzwerk außer Gefecht und verhinderte, dass alles, vom WLAN bis zu den Ticketschaltern, ordnungsgemäß funktionierte. Wie durch ein Wunder gelang es dem IT-Team, das Netzwerk zu isolieren, die Malware wiederherzustellen und von den Systemen zu entfernen, so dass am nächsten Morgen alles wieder funktionierte, ohne dass ein Fehler auftrat.
Dann war es an der Zeit, eine Malware-Analyse durchzuführen, um herauszufinden, wer das gesamte Olympia-Netzwerk angreifen und lahmlegen wollte. Die Zuordnung von Malware ist schwierig, aber es gab einige Hinweise, die hilfreich sein könnten, oder es handelte sich um falsche Fährten, die auf eine unbeteiligte dritte Partei hindeuten sollten.
Die "Beweise" schienen auf Nordkorea und China zu deuten, aber es war fast zu offensichtlich, um Nordkorea die Schuld zu geben. Am Ende fand Igor Soumenkov von Kaspersky Lab mit brillanter Detektivarbeit eine heiße Fährte, die direkt auf Moskau zeigte.
Einige Jahre später, kurz vor den Feiertagen Ende 2020, wurde ein Angriff auf die Lieferkette bekannt, der auf die SolarWinds Orion-Software abzielte, die für die Verwaltung der Netzwerkinfrastruktur großer und mittlerer Unternehmen auf der ganzen Welt, einschließlich vieler US-Bundesbehörden, eingesetzt wird. Die Aktualisierungsmechanismen der Software wurden gekapert und zur Installation einer Hintertür verwendet.
Die Prominenz der Opfer in Verbindung mit dem durch die heimlich installierte Backdoor ermöglichten Zugriff macht diesen Angriff möglicherweise zu einem der größten und schädlichsten Cyberspionage-Angriffe der modernen Geschichte.
Das U.S. Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA), das Office of Director of National Intelligence (ODNI) und die National Security Agency (NSA) gaben eine gemeinsame Erklärung ab, in der es heißt, dass ihre Ermittlungen darauf hindeuten, dass..:
"…ein Advanced Persistent Threat-Akteur, wahrscheinlich russischen Ursprungs, für die meisten oder alle der kürzlich entdeckten, laufenden Cyberangriffe auf Regierungs- und Nichtregierungsnetzwerke verantwortlich ist. Zum jetzigen Zeitpunkt gehen wir davon aus, dass es sich dabei um eine nachrichtendienstliche Maßnahme handelt und auch weiterhin handeln wird."
Russischer Cyberkonflikt im Jahr 2022
Im Jahr 2022 nehmen die cyberpolitischen Spannungen wieder zu und stehen kurz vor der Zerreißprobe. Am 13. und 14. Januar 2022 wurden zahlreiche Websites der ukrainischen Regierung verunstaltet und Systeme mit als Ransomware getarnter Malware infiziert.
Mehrere Komponenten dieser Angriffe erinnern an die Vergangenheit.
Bei der Malware handelte es sich nicht um Ransomware, sondern lediglich um einen ausgeklügelten Wiper, wie er auch bei den NotPetya-Angriffen eingesetzt wurde.
Außerdem wurden viele falsche Fährten hinterlassen, die darauf schließen lassen, dass es sich um das Werk ukrainischer Dissidenten oder polnischer Partisanen handeln könnte.
Ablenken, verwirren, leugnen und versuchen zu spalten scheint jetzt das Standardrepertoire zu sein.
Am Dienstag, den 15. Februar 2022, wurde eine Reihe von DDoS-Angriffen auf ukrainische Regierungs- und Militärseiten sowie auf drei der größten ukrainischen Banken gestartet. In einem beispiellosen Schritt hat das Weiße Haus bereits einige Geheimdienstinformationen freigegeben und die Angriffe dem russischen GRU zugeschrieben.
Das russische Playbook für Cyberkriegsführung
Was nun? Unabhängig davon, ob die Lage weiter eskaliert, werden die Cyberoperationen mit Sicherheit weitergehen. Seit dem Sturz von Viktor Janukowitsch im Jahr 2014 ist die Ukraine einer ständigen Flut von Angriffen ausgesetzt, die in unterschiedlichem Maße Höhen und Tiefen aufweisen.
In Russlands offizieller "Militärdoktrin der Russischen Föderation" aus dem Jahr 2010 heißt es:
Dies deutet auf eine Fortsetzung früherer Verhaltensweisen vor einem Konflikt hin und macht DDoS-Angriffe zu einem potenziellen Anzeichen für eine bevorstehende kinetische Reaktion.
Mit der Informationskriegsführung kann der Kreml versuchen, die Reaktion der übrigen Welt auf Aktionen in der Ukraine oder auf andere Angriffsziele zu steuern.
Falsche Fährten, falsche Zuordnungen, gestörte Kommunikation und die Manipulation sozialer Medien sind allesamt wichtige Bestandteile von Russlands Informationskriegskonzept. Sie müssen keine permanente Tarnung für Aktivitäten vor Ort oder anderswo schaffen, sondern lediglich für genügend Verzögerung, Verwirrung und Widerspruch sorgen, damit andere, gleichzeitig laufende Operationen ihre Ziele erreichen können.
Vorbereiten und schützen
Interessanterweise versuchen die Vereinigten Staaten und das Vereinigte Königreich, einigen der Fehlinformationskampagnen zuvorzukommen, was ihre Wirksamkeit einschränken könnte. Wir sollten jedoch nicht davon ausgehen, dass die Angreifer aufhören werden, es zu versuchen, also müssen wir vorbereitet und wachsam bleiben.
So sollten beispielsweise Organisationen in den Nachbarländern der Ukraine darauf vorbereitet sein, in Online-Betrügereien hineingezogen zu werden, auch wenn sie nicht direkt in der Ukraine tätig sind. Frühere Angriffe und Fehlinformationen sind nach Estland, Polen und in andere angrenzende Staaten durchgesickert, wenn auch nur als Kollateralschaden.
Aus globaler Sicht sollten wir damit rechnen, dass eine Reihe von "patriotischen" Freiberuflern in Russland, d. h. Ransomware-Kriminelle, Phish-Autoren und Botnetzbetreiber, mit noch größerem Eifer als sonst gegen Ziele vorgehen werden, die als gegen das Mutterland gerichtet angesehen werden.
Es ist unwahrscheinlich, dass Russland NATO-Mitglieder direkt angreift und die Inkraftsetzung von Artikel V riskiert. Die jüngsten Gesten Russlands zur Eindämmung von Kriminellen, die von der Russischen Föderation und ihren Partnern in der Gemeinschaft Unabhängiger Staaten (GUS) aus operieren, werden jedoch wahrscheinlich zu einem Ende kommen und stattdessen werden sich die Bedrohungen vervielfachen.
Zwar sollte eine tiefgreifende Verteidigung das Normalste der Welt sein, doch ist sie besonders wichtig, wenn wir mit einer Zunahme der Häufigkeit und Schwere von Angriffen rechnen müssen. Die Fehlinformationen und die Propaganda werden bald einen Höhepunkt erreichen, aber wir müssen auf der Hut sein, die Luken schließen und unsere Netze auf alles Ungewöhnliche überwachen, während die Konfliktzyklen abebben – selbst wenn sie bald enden. Denn wie wir alle wissen, kann es Monate dauern, bis Beweise für ein digitales Eindringen im Zusammenhang mit dem russisch-ukrainischen Konflikt auftauchen.
* https://de.wikipedia.org/wiki/Graswurzelbewegung
Der englische Originaltext von Chester Wisniewski ist zu finden unter
Über den Autor Chester Wisniewski
Chester Wisniewski ist Principal Research Scientist bei Sophos, einem führenden Anbieter von Next-Generation-Sicherheitslösungen. Er verfügt über mehr als 20 Jahre Berufserfahrung.
Chester analysiert die riesigen Mengen an Angriffsdaten, die von den SophosLabs gesammelt werden, um relevante Informationen zu destillieren und weiterzugeben, damit die Branche ein besseres Verständnis für die sich entwickelnden Bedrohungen, das Verhalten von Angreifern und effektive Sicherheitsmaßnahmen erhält. Er hat Unternehmen bei der Entwicklung von Verteidigungsstrategien im Unternehmensmaßstab unterstützt, war als technischer Leiter an der Entwicklung der ersten E-Mail Security Appliance von Sophos beteiligt und hat einige der größten globalen Marken bei der Sicherheitsplanung beraten.
Chester lebt in Vancouver und hält regelmäßig Vorträge auf Branchenveranstaltungen, darunter die RSA Conference, Virus Bulletin, Security BSides (Vancouver, London, Wales, Perth, Austin, Detroit, Los Angeles, Boston und Calgary) und andere. Er ist als einer der besten Sicherheitsforscher der Branche anerkannt und wird regelmäßig von der Presse konsultiert, u. a. in BBC News, ABC, NBC, Bloomberg, CNBC, CBC und NPR.
Wenn er nicht gerade mit der Bekämpfung von Cyberkriminalität beschäftigt ist, verbringt Chester seine Freizeit mit Kochen, Radfahren und der Betreuung von Neueinsteigern im Sicherheitsbereich durch seine ehrenamtliche Arbeit bei InfoSec BC. Chester ist auf Twitter (@chetwisniewski).
LinkedIn: https://www.linkedin.com/groups/9054356/
Twitter: @sophos_info
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de