Wie Russland für den Cyber-Krieg aufgerüstet hat

Wie zettelt man einen Krieg nicht nur in der realen, sondern auch in der virtuellen Welt an? Russland hat dazu in den letzten Jahren viel Expertise gesammelt. Bevorzugter Übungs­platz für diese Cyber-Attacken: die Ukraine. Eine Analyse in sechs Akten.

Von Eva Wolfangel (Text) und Alexander Glandien (Illustration), 07.03.2022

Die Republik ist ein digitales Magazin für Politik, Wirtschaft, Gesellschaft und Kultur – finanziert von seinen Leserinnen. Es ist komplett werbefrei und unabhängig. Lösen Sie jetzt ein Abo oder eine Mitgliedschaft!

Am Morgen dieses verhängnis­vollen Dienstags war Wladimir Malezhik bester Dinge ins Büro in Kiews historisch bedeutendem Stadtteil Chokolivka gefahren. Schliesslich steht ein langes Wochen­ende bevor: Der Constitution Day (Tag der Verfassung) ist ein wichtiger Feiertag in der Ukraine. Als die ersten Kunden bei ihm anrufen an jenem 27. Juni 2017 und sich beklagen, dass ihre Daten verschlüsselt seien, denkt sich Cloud-Unternehmer Malezhik erstmal nichts dabei.

«Damals verging kein Tag ohne IT-Probleme», sagt er im Rückblick, an einem grauen Winter­tag in Kiew, und schaut aus dem Fenster auf ein ebenso graues Industrie­gebiet. Malezhik hilft seinen Kundinnen mit seinem Backup-Service. «Immer wieder klickt jemand auf eine Phishing-E-Mail und alles ist verschlüsselt.» Doch der 27. Juni 2017 änderte alles. Was zunächst wie alltägliche IT-Probleme aussieht, entpuppt sich als massiver Cyber-Angriff, der als die verheerende NotPetya-Attacke und damit als Vorbotin eines Cyber-Kriegs in die Geschichte eingehen wird.

Knapp fünf Jahre nach dem 27. Juni 2017, im Winter 21/22: Erneut verschlüsselte und gelöschte Daten in mehreren Systemen der ukrainischen Regierung, von Banken und regierungs­nahen Unternehmen. Kurz darauf der Einmarsch russischer Truppen. Kann man das, was gerade in der Ukraine geschieht, auch einen Cyber-Krieg nennen? Oder eher einen hybriden Krieg? Welche Rolle spielen digitale Angriffe auf das Land jetzt – und welche Kapazitäten hat Russland in diesem Bereich?

Russland hat sich jedenfalls lange auf einen Cyber-War vorbereitet, staatliche russische Akteure haben ihre Kapazitäten für Cyber-Angriffe in den vergangenen Jahren massiv ausgebaut. Sie können unterdessen viel mehr, als ein paar Websites lahm­legen – und sind damit unberechenbarer geworden. Gespräche über die jüngste Vergangenheit mit IT-Fachleuten aus der Ukraine zeigen: Das Land ist nicht nur regelmässig Opfer von Attacken, sondern auch Labor und Übungs­platz für die grösseren digitalen Angriffe, die die ganze Welt bedrohen.

Wer sich die Vorfälle der vergangenen acht Jahre genauer anschaut, kann dabei zusehen, wie die russischen Staatshacker ihre Kapazitäten immer weiter ausbauen: Angefangen bei gehackten Websites von Medien und Wahl­kommissionen über das massenhafte Löschen von Daten bis zu den Blackouts durch Angriffe auf Energie­werke und eine lebens­bedrohende Attacke auf eine petro­chemische Fabrik in Saudi­arabien. In den Computer­systemen der Welt hat sich über die Jahre ein digitaler Feind eingenistet. Ob und wie heftig er als Nächstes zuschlägt: Niemand weiss es.

1. Akt: Angriff auf die Medien

Wer verstehen will, was im Cyber­space in der Ukraine geschieht, sollte mit Oleksii Yasinskyi von der ukrainischen Sicherheits­firma ISSP in Kiew sprechen. Kaum einer hat die mutmasslich russischen Angriffe so intensiv verfolgt und analysiert wie der 46-jährige IT-Sicherheits­experte – auch weil ihn seine Biografie immer wieder ins Zentrum dieser Angriffe geführt hat. Während die Welt erst angesichts der verheerenden NotPetya-Attacke darauf aufmerksam wurde, wozu russische Staats­hackerinnen fähig sind, sah Yasinskyi entsprechende Zeichen schon viel früher: «Ab 2014 wurde die Ukraine der Spielplatz für russische Cyber-Angriffe», sagt er.

Einer der ersten eindeutig politisch motivierten Angriffe auf ukrainische Computer­systeme findet wenige Tage vor den ukrainischen Präsidentschafts­wahlen im Oktober 2014 statt: Ein Cyber-Angriff legt die Computer­systeme der Zentralen Wahl­kommission lahm. Eine prorussische Hacktivisten­gruppe namens CyberBerkut erklärt sich für den Angriff verantwortlich. Auch wenn das System rechtzeitig vor der Wahl wieder funktioniert, bleiben die Hacker offenbar weiterhin im System: Jedenfalls veröffentlichen sie am Wahltag ein Foto und verkünden, dass der rechte Kandidat Dmytro Yarosh die Wahl gewonnen habe – da sind die Wahllokale noch nicht einmal geschlossen. «Die Meldung wurde von den russischen Medien ausgeschlachtet», erinnert sich Yasinskyi, der damals noch in der Sicherheits­abteilung des Telekommunikations­unternehmens Kyivstar arbeitete.

Kurz darauf wechselt Yasinskyi zu Starlight Media, dem grössten Medien­unternehmen des Landes mit mehreren Fernseh­sendern. Kaum dort, trifft er auf russische Angreiferinnen: 2015 verschaffen sich Eindringlinge Zugang zu den internen Systemen von Starlight Media, übernehmen deren Youtube-Kanal und veröffentlichen den Werbe­clip eines Kandidaten der Kommunal­wahlen. «Wir haben das sofort gestoppt, das Video war nur wenige Sekunden online», erinnert sich Yasinskyi. Doch der Angriff ist grösser, wie der Sicherheits­forscher feststellt: Yasinskyi findet eine massive Infektion des Unternehmens mit einer Schad­software namens «Black Energy». Diese wird dem russischen Geheim­dienst zugeschrieben. Die Täter hatten versucht, all ihre Spuren sowie die Daten auf den Systemen des Medien­unternehmens zu löschen, scheiterten aber aus unklaren Gründen. So konnte Yasinskyi den Angriff genauer analysieren und herausfinden, dass die Angreiferinnen schon seit mindestens sechs Monaten in den Systemen aktiv waren.

Es sind Versuche, die Demokratie des Landes zu destabilisieren. Das ist eine bekannte Strategie, die Fachleute auch rund um die US-Wahlen 2016 beobachtet hatten: Durch gefälschte Hinweise auf vermeintlichen Wahl­betrug und andere Unregelmässigkeiten soll Misstrauen verbreitet werden. Auch im Vorfeld der US-Wahlen 2020 gab es Einfluss­versuche, unter anderem in den sozialen Medien, wo mit falschen Nachrichten wohl Verwirrung gestiftet und dadurch die Demokratie geschwächt werden sollte. Eine Analyse des Tech-Konzerns Microsoft ergab, dass hinter den Angriffen auf US-Politiker 2016 und 2020 unter anderem die Gruppe «Fancy Bear» steckt: So nennen Sicherheits­forscher eine Hacker­gruppe des russischen Geheim­dienstes GRU.

In diesen frühen Hacks zeigt sich, dass die russischen Angreiferinnen gut darin sind, Lücken zu finden – und dass viele Systeme nicht gut geschützt sind. Die Angriffe sind ein Anfang, nur mässig ausgefeilt. Und, wie die misslungene Spuren­löschung im System von Starlight Media zeigt, auch noch von Pannen begleitet.

2. Akt: Angriff auf die Elektrizitäts­werke – aus der Ferne manuell

Im Jahr nach dem Angriff auf Starlight Media zünden die russischen Angreifer eine nächste Eskalations­stufe. 2015 und 2016, jeweils kurz vor Weihnachten, werden die Systeme einiger Elektrizitäts­werke in der Ukraine gestört – und zwischen diesen beiden Angriffen ist eine deutliche Steigerung zu sehen. 2015 dringen die Hackerinnen mit der bewährten Black-Energy-Malware in die Systeme von drei Elektrizitäts­werken ein. Sie übernehmen die Steuerungs­computer der Anlagen aus der Ferne, um händisch Teile der Systeme herunter­zufahren.

Das funktioniert ähnlich wie mit dem Programm Team­viewer, mit dem man die Kontrolle über den eigenen Computer an eine Person in der Ferne übergeben kann. Ein solcher Angriff ist verhältnis­mässig einfach, weil die Angreifer die Tools der Ingenieurinnen nutzen – sie müssen lediglich genügend personelle Kapazitäten haben, um das dann in Echtzeit zu tun.

«Ich hatte gleich ein ungutes Gefühl», erinnert sich Marina Krotofil an die Tage vor Weihnachten 2015. Die deutsche Cyber­sicherheits­expertin ukrainischer Herkunft analysierte den Vorfall damals als unabhängige Sicherheits­forscherin. Sie hatte sich schon seit einigen Jahren mit Cyber-Attacken auf kritische Infrastrukturen beschäftigt und auch mit den lebens­gefährlichen Folgen. Krotofil weiss: Hält so ein Strom­ausfall länger an, brechen die Trinkwasser­versorgung und die Versorgung mit Lebens­mitteln zusammen, das Telefon­netz fällt aus, auch Benzin wird schnell knapp. Damit fallen dann auch die Generatoren in Einrichtungen der Notfall­versorgung aus, etwa in Kranken­häusern. Dazu kommt die bedrohliche Kälte im ukrainischen Winter. «Zum ersten Mal wurde das Leben von Menschen bewusst aufs Spiel gesetzt», sagt sie.

Die Störungen liessen sich relativ schnell beheben, indem Mitarbeitende der betroffenen drei Kraftwerke die Umspann­werke manuell wieder in Betrieb nahmen. Die Attacken, die zeitgleich begonnen hatten und von denen Experten annehmen, dass dafür Dutzende Angreiferinnen parallel beschäftigt waren, dauerten lediglich zwischen einer und sechs Stunden. Betroffen waren Millionen Menschen.

Selbst wenn der Angriff nicht besonders ausgefeilt war: Mit diesen Kapazitäten sei es möglich gewesen, einen deutlich grösseren Schaden anzurichten, sagt Krotofil. Offenbar sei das aber nicht das Ziel gewesen. Alles deutet laut der Sicherheits­forscherin darauf hin, dass die Angreifer – die US-Regierung ordnete die Attacken schliesslich Russland zu – einen Testlauf durchgeführt hatten. «Jede Armee kennt das, dass ab und zu Übungen gemacht werden», sagt Krotofil. Das zeige aber auch das Potenzial der Angreiferinnen, warnt sie. Denn wenn es allein zu Übungs­zwecken möglich ist, eine derart koordinierte Attacke auf drei Unternehmen zu starten, spreche das nicht nur für eine gewisse Expertise, sondern auch für entsprechende Kapazitäten und eine militärische Organisation: «Du brauchst drei Teams, die gleichzeitig einen komplexen Angriff starten, ohne eine Verspätung, ohne dass etwas schiefgeht.»

Die Angreifer dürften mit ihrer Übung zufrieden gewesen sein. Das ganze Land war kurzfristig in Angst und Schrecken. Und bei Krotofil lösten sie eine böse Vorahnung aus: Das ist erst der Anfang. Schon drei Wochen später bestätigen sich ihre Vorahnungen. Am 19. Januar 2016 bekommt sie eine E-Mail zugespielt, die angeblich vom staatlichen ukrainischen Strom­versorger Ukrenergo verschickt wurde. Ihr Anhang enthält einen Computer­virus, der sich in Computer­systemen festsetzen und verbreiten kann. Die Angreiferinnen nehmen sich ein ganzes Jahr Zeit, um sich umzuschauen und einen Angriff zu planen, der jenen von 2015 in den Schatten stellen wird.

3. Akt: Automatische Schadsoftware im Elektrizitätswerk

Am 17. Dezember 2016 ist es so weit: Kurz vor Mitternacht fällt in grossen Teilen Kiews der Strom aus. Der IT-Sicherheits­experte und Forscher Oleksii Yasinskyi ist diesmal selbst betroffen. Er erinnert sich an den Blick aus dem Fenster seines Wohnblocks, der ihn erschaudern liess: So schwarz hat er seine Heimat­stadt Kiew noch nie gesehen: «Unser ganzer Wohnblock lag im Dunkeln, das ganze Viertel.» Das Strom­unternehmen Ukrenergo meldet eine massive Cyber-Attacke.

Yasinskyi untersucht den Vorfall damals im Auftrag Ukrenergos. Er sieht, dass die Angreifer über lange Zeit intensiv Daten gesammelt und gelernt haben, wie das System funktioniert. Als er schliesslich tatsächlich entsprechende Befehle im Code findet, die offenbar mit der Steuerung von Industrie­anlagen zu tun haben, schwant ihm: Das ist eine neue Stufe. Diesmal haben sich die Angreiferinnen nicht darauf verlassen, alles von Hand aus der Ferne zu steuern.

Auch Marina Krotofil ist alarmiert, als sie den Angriff analysiert. Im Gegensatz zu den Attacken ein Jahr zuvor brauchte es keine Menschen, die von irgendwo auf der Welt zeitgleich einen Angriff manuell steuerten. Die Schad­software konnte – einmal auf dem System angekommen – einen Angriff komplett automatisch ausüben. Die Angreifer brauchten dann nicht einmal mehr eine Internet­verbindung. Wie eine Zeitbombe war sie aus der Ferne scharf geschaltet worden für diesen Moment, die Tage um Weihnachten, kurz vor Mitternacht.

Was sowohl Yasinskyi als auch Krotofil betonen: Der Schaden hätte sehr viel grösser ausfallen können. Dass der Strom in diesem Fall bereits nach einer Stunde wieder da war und die Angreiferinnen seither das ukrainische Stromnetz verschonen, sei kein Zufall. Und es bedeute nicht, dass sie nicht in der Lage wären, mehr Schaden zu verursachen. «Es war eine Übung», sagt Yasinskyi, «sie sind mit ihrem Spiel noch nicht fertig.»

Intermezzo: Angriff auf eine Chemiefabrik in Saudiarabien

Nach den Lehren im Energie­sektor der Ukraine entwickelten die Angreifer offenbar ihre Fähigkeiten im sogenannten cyber­physischen Bereich weiter: Sie wurden immer besser darin, physischen Schaden anzurichten. Eine äusserst gefährliche Fähigkeit, wie sich im August 2017 zeigt.

In einer petro­chemischen Fabrik in Saudiarabien fällt ein Sicherheits­system aus – und wie eine genaue Analyse, unter anderem von Marina Krotofil, zeigt, ist auch hier ein ausgefeilter Cyber-Angriff die Ursache. Die Täter haben sich dafür seit langer Zeit in den Systemen der Fabrik bewegt und kennen diese wie ihre Hosen­tasche. Der Angriff, den die IT-Sicherheits­community «Triton» taufen wird, scheitert glücklicher­weise an einem Fehler der Angreifer, der schliesslich auch zu ihrer Entdeckung führt. Wären sie nicht gestoppt worden, hätten sie Menschen­leben gefährdet: Die Täterinnen hätten beispiels­weise eine Explosion herbei­führen oder grosse Mengen giftiger Gase austreten lassen können.

Das US-Sicherheits­unternehmen Fireeye hat nach eigenen Angaben Spuren im Code gefunden, die zu einem staatlichen russischen Forschungs­institut in Moskau führen. Fireeye betont aber, dass es keine konkreten Beweise gefunden hat, die eindeutig belegen, dass dieses Institut Triton entwickelt hat. Die US-Regierung hingegen scheint sich recht sicher zu sein – jedenfalls hat das amerikanische Finanz­ministerium im Oktober 2020 Sanktionen gegen das Institut verhängt.

Das US-Sicherheits­unternehmen Dragos bezeichnet die Gruppe hinter Triton als die «mit Abstand gefährlichste öffentlich bekannte Bedrohung», und gibt an, beobachtet zu haben, wie sie neue Ziele in den USA und Europa ausspioniert. Auch Sicherheits­forscherin Krotofil sieht immer wieder Spuren von Triton bei ihren Analysen in den Netzwerken kritischer Infrastrukturen – auch in Europa. Das heisse allerdings noch nichts Konkretes: «Das ist völlig normal, alle Angreifer scannen das Internet immerzu ab.» Sie suchen nach Lücken, vielleicht versuchen sie, einzelne Anlagen anzugreifen, vielleicht kommen sie sogar ein Stück weit, bewegen sich durch die Systeme. «Aber das heisst nicht, dass sie es schaffen, tatsächlich die Kontroll­systeme zu erreichen», sagt Krotofil, «denn das ist ein sehr langer, sehr aufwendiger Weg, ohne Garantie auf Erfolg.»

In Saudiarabien waren die Täterinnen kurz davor, eine Katastrophe auszulösen. Krotofil sieht Triton als eine bewusste und weit­reichende Entscheidung Russlands, in den Cyber-War zu investieren. Dass die Angreifer auf der Suche nach neuen Zielen sind, bedeute zwar nicht, dass der nächste lebens­gefährliche Angriff bereits vor der Tür steht. Aber sie bauten sich damit ein dauerhaftes Fundament für künftige Zwecke.

4. Akt: Die massive Cyber-Invasion

Der 27. Juni 2017 markiert den Tag der bislang grössten Cyber-Operation gegen die Ukraine. Das öffentliche Leben wird massiv ausgebremst und in einigen Fällen lahmgelegt. Auf einmal sind einige Regierungs- und Bank­websites nicht mehr zu erreichen. Alles ist verschlüsselt. Die Erpresserinnen verlangten Lösegeld. Es ist der Tag, an dem Cloud-Unternehmer Malezhik in seinem Büro die Anrufe seiner Kunden entgegennimmt, die über verschlüsselte Daten klagen.

Es ist der Start der NotPetya-Attacke, die weltweit einen Milliarden­schaden anrichten wird und hinter der – nach allem, was man weiss – der russische Geheim­dienst steht. «Die ukrainische Regierung hatte kurz zuvor Sanktionen ausgesprochen gegen unzählige IT-Unternehmen aus Russland», erinnert sich Malezhik. Die Attacke gibt einen Vorgeschmack auf das, was im Cyber-War möglich ist. Am gleichen Morgen war ein Oberst des ukrainischen Militär­geheim­dienstes ermordet worden – mitten in Kiew durch eine Autobombe. Kurz darauf zerstört NotPetya einen grossen Teil der IT-Infrastruktur des Landes.

Während Malezhik rätselt, wie er seinen Kundinnen helfen kann, ist der IT-Sicherheits­experte Oleksii Yasinskyi auf dem Weg zur staatlichen Oschad­bank in Kiew. Nach der anstrengenden Analyse der ausgefeilten Angriffe auf die Strom­konzerne wirkt das Problem erstmal wie ein üblicher Ransom­ware-Angriff krimineller Hacker. Doch als Yasinskyi bei der Bank ankommt, wird ihm klar: Das ist etwas Besonderes. Das Ausmass des Problems baut sich buchstäblich vor seinen Augen auf. In der Ecke eines Raumes stapeln sich die Laptops meterhoch, mit denen die Bank­angestellten bis zu diesem Morgen gearbeitet haben – bis zeitgleich auf allen Bildschirmen die Nachricht auftauchte «Ups, Ihre Dateien sind verschlüsselt». Dazu: eine Lösegeld­forderung. «Auf der anderen Seite des Raums haben IT-Mitarbeitende eilig einen neuen Laptop nach dem anderen ausgepackt und eingerichtet», erinnert sich Yasinskyi.

Die Techniker der Bank hatten gar nicht erst versucht, das Lösegeld zu bezahlen (zum Glück, wie sich später heraus­stellen wird). Dafür ist keine Zeit, wenn die zweit­grösste Bank des Landes paralysiert ist. Sie hatten einfach alle verschlüsselten Laptops eingesammelt und waren ausgeschwärmt, um in den umliegenden Technik­geschäften so viele neue Geräte wie möglich zu kaufen. Die Oschad­bank hat mit ihren 6000 Filialen eines der grössten Filial­netze in der Ukraine, Millionen Kundinnen verlassen sich auf sie. Doch innerhalb weniger Minuten geht gar nichts mehr. Am Nachmittag bilden sich lange Schlangen an den wenigen funktionierenden Geld­automaten der Stadt.

Fachleute schätzen, dass beim Angriff mit NotPetya 10 Prozent aller Computer der gesamten Ukraine für immer verschlüsselt worden sind. Viele grosse Unternehmen sind betroffen, zentrale Infrastrukturen – mehrere Banken, zwei Flughäfen, die staatliche Eisenbahn­gesellschaft, sogar das Atom­kraftwerk in Tschernobyl. Bald sind Laptops und Computer Mangel­ware, viele Unternehmen brauchen Wochen, um ihre zerstörte Infrastruktur wieder­herzustellen.

Yasinskyi kopiert sich die Logdateien aus den Systemen der Oschad­bank und schaut sie sich im Büro genauer an. Andere Sicherheits­forscher analysieren derweil den Code aus Samples des Virus. Schnell war laut Yasinskyi klar, dass es sich um einen betrügerischen Virus handelte, der sich lediglich als Ransom­ware verkleidet hatte.

Die Bildschirm-Meldung mit der Forderung nach Lösegeld ist nur ein Trick, um die Opfer auf die falsche Fährte zu locken und die Gegen­massnahmen zu bremsen. «Die Dateien waren nicht so verschlüsselt, dass man sie mit einem Entschlüsselungs­code hätte retten können», sagt Yasinskyi. Um ihre Verfolgerinnen weiter in die Irre zu führen, hatten die Angreifer zudem einige Teile einer damals sehr aktiven Schad­software in den Code kopiert: Petya war ein Verschlüsselungs­trojaner, der damals häufig von Kriminellen genutzt wurde. Auch die Ransomware-Notiz auf den Bildschirmen war von dort kopiert. «Deshalb dachten alle zuerst, dass es sich um Petya handelt», sagt Yasinskyi. Der zentrale Unterschied war aber, dass sich die Daten nicht wieder entschlüsseln liessen. «Wir sagten deshalb: It is NOT Petya.» Seither heisst der Virus NotPetya.

Am Abend haben Yasinskyi und seine Kollegen ein klareres Bild: Es handelt sich um einen Computer­wurm, der sich rasend schnell ausbreitet – unter anderem durch das Update einer Steuer­software namens Medoc – und ausserdem seine Opfer täuscht. Die Daten sind nicht vorüber­gehend verschlüsselt, sie sind für immer verloren. Yasinskyi sieht, dass die Schad­software sich irgendwie die Anmelde­daten des Administrators aneignet – und damit lässt sie sich innerhalb eines Netzwerks nicht mehr aufhalten. Der Administratoraccount hat alle Rechte, mit ihm kann der Wurm andere Accounts übernehmen, alle Passwörter auslesen und sich bis in die hintersten Winkel eines Systems ausbreiten, was er in atem­beraubender Geschwindigkeit tut. Die Folgen sind verheerend. Yasinskyis Arbeit­geber ISSP bezeichnet den Angriff am nächsten Morgen als «massive, koordinierte Cyber-Invasion».

Ich will es genauer wissen: Warum verbreitete sich der Wurm so schnell?

NotPetya verbreitete sich durch das Update einer Steuer­software, die in der Ukraine so gut wie jeder nutzt: Medoc. Deshalb traf der Angriff auch internationale Unternehmen, die in der Ukraine Geschäfte machen wie Maersk oder Merck. Deren Systeme waren an jenem Tag im Juni 2017 innerhalb weniger Minuten für immer verschlüsselt. NotPetya ist damit auch einer der ersten Angriffe einer neuen Generation: Sogenannte Supply-Chain-Attacken infizieren Unternehmen über ihre Zulieferer – meist über eine verbreitete Software. Das macht diese Angriffe besonders effizient.

Einige westliche Firmen, die in der Ukraine Geschäfte machen, überlebten den Angriff nur knapp. Nach Schätzungen der US-Regierung belief sich der Gesamt­schaden auf über 10 Milliarden US-Dollar. Allein das Pharma­unternehmen Merck erlitt einen Verlust über 870 Millionen US-Dollar, das Versand­unternehmen FedEx 400 Millionen US-Dollar, der französische Industrie­konzern Saint-Gobain 384 Millionen und der Logistik­dienstleister Maersk 300 Millionen. Deutschland gilt als das Land, das nach der Ukraine am zweit­häufigsten betroffen war mit 9 Prozent aller Infektionen.

Selten sind sich Sicherheits­forscherinnen so einig, wer dahinter­steckte: Russland, genau genommen eine Elite-Hacker­gruppe des russischen Geheim­diensts GRU, die Sicherheits­forscher als «Sandworm» bezeichnen.

5 Akt: Die unauffälligen Schläfer

Einige Wochen nach dem NotPetya-Angriff, als alle bereits wieder zur Tages­ordnung übergegangen sind, macht Yasinskyi weitere beunruhigende Entdeckungen. Ihm war schon zuvor ein seltsames Muster aufgefallen: Fast alle betroffenen Unternehmen hatten einige Computer, die auf rätselhafte Weise von der Attacke verschont geblieben waren. NotPetya hatte einen Bogen um sie gemacht. Zunächst hielt er das für Glück: «Man kann sein Netzwerk viel leichter wieder aufbauen, wenn noch etwas davon vorhanden ist.» Und das nutzten die Unternehmen dankbar. Jeder atmete auf, wenn ein Teil der Infrastruktur verschont geblieben war – ein Server etwa oder ein Computer mit nicht verschlüsselten Daten. Das war immerhin eine Basis für den Wiederaufbau.

Aber irgendwann entdeckt Yasinskyi eine auffällige Systematik: «Von den meisten Unternehmen sind etwa 90 Prozent der Computer verschlüsselt worden, aber 10 Prozent nicht.» Welche Eigenschaft hatten jene Geräte gemein, die verschont geblieben waren? Sie waren meist ebenfalls Teil des Netzwerks, der Wurm hätte sie erreichen können und müssen. Was hat NotPetya daran gehindert, diese Geräte zu infizieren?

Als sich Yasinskyi einige der nicht­verschlüsselten Geräte genauer ansieht und auf deren Festplatten nach Spuren von NotPetya sucht, macht er eine unheimliche Entdeckung: Jedes von ihnen trug eine bestimmte Datei, nach der der Virus zunächst sucht, wenn er ein neues Gerät infiziert. Ist die Datei vorhanden, bleiben die Daten unverschlüsselt. Es ist ein Mechanismus, um manche Geräte bewusst auszunehmen. Die Täterinnen hatten ihn selbst eingerichtet. Yasinskyi dämmert es: «Es waren alle Geräte infiziert – aber nicht alle verschlüsselt.»

Die einzige Erklärung, die Yasinskyi dafür einfällt: So bleiben die Täter im System. Hätte NotPetya alle Geräte eines Unternehmens verschlüsselt, hätten die betroffenen Unternehmen diese komplett ersetzt – und damit eventuelle weitere verborgene Zugänge, die die Angreiferinnen eingebaut hatten, verschlossen. Wenn sie hingegen dafür sorgten, dass einige wenige Geräte erhalten blieben, konnten sie mittels gut versteckter Hinter­türen im System bleiben und sich später durch das Unternehmens­netzwerk auch wieder auf andere Geräte ausbreiten.

Solche «Sleeper Agents», wie Yasinskyi sie nennt, hat er schon öfter gesehen: Angreifer versuchen, auch nach einer erfolgreichen Attacke unentdeckt im System zu bleiben, als unauffällige Schläfer. In gut versteckten Dateien, die kaum zu finden sind. Sie wollen einen Fuss in der Tür behalten für Spionage und künftige Attacken. Die Strategie der Angreiferinnen ist in der Regel erfolg­reich, sagt Yasinskyi: «Die Wahrheit ist: Du wirst einen Angreifer nicht los in deinem System.»

Genau das scheint die russische Elite-Hacker­gruppe Sandworm seit Jahren zu machen, wie die Recherchen von Yasinskyi zeigen. Im schlichten Konferenz­raum von ISSP projiziert er eine eng bedruckte Infografik auf den Bildschirm: darauf unzählige Cyber-Attacken, unter anderem jene von 2015 und 2016 auf ukrainische Energie­versorger, jene auf Starlight Media 2015, diverse Attacken auf Ministerien wie das Finanz­ministerium in Kiew. Darunter in leuchtend roten Feldern die Attacken von 2017: Xdata – eine Ransom­ware, die ebenfalls durch die Hintertür der Steuer­software Medoc verbreitet wurde, NotPetya und einige weniger bekannte.

Zwischen ihnen finden sich Felder mit durch­nummerierten «Medoc-Backdoors», das erste von April 2017. Yasinskyis Verdacht ist erschreckend: Bereits im April haben die russischen Angreiferinnen die Updates der Steuer­software manipuliert und Angriffe durch diese verbreitet. Lange bevor NotPetya zuschlug. Wären diese Angriffe auf Medoc entdeckt worden, hätte NotPetya verhindert werden können.

Die Grafik wirkt wie die Waggons eines Zugs – erst eine überarbeitete Hintertür, dann ein Angriff. Der letzte Angriff in der Reihe ist NotPetya. Was, so fragt sich Yasinskyi im Dezember 2021, kommt wohl als Nächstes?

6. Akt: Die Löschattacke kurz vor dem Krieg

Am Nachmittag vor dem Einmarsch russischer Truppen in die Ukraine verbreitet sich eine sogenannte Wiper-Schad­software in zahlreichen ukrainischen Systemen. Insbesondere in denen von Unternehmen, die Vertrags­partner der ukrainischen Regierung sind. Die Software ist laut Einschätzung von Sicherheits­experten durchaus ausgefeilt. «Wiper» bedeutet eine Löschattacke: Damit werden Computer­festplatten und ganze Systeme gelöscht. In diesem Fall offenbar besonders gründlich. Die beiden Sicherheits­unternehmen ESET aus der Slowakei sowie Symantec aus den USA fanden die Schad­software auf Hunderten Systemen ihrer Kundschaft in der Ukraine und offenbar auch in den Nachbarländern Lettland und Litauen. Sicherheits­forscherinnen vergleichen den Lösch­algorithmus unter anderem mit dem Angriff auf Sony Pictures 2014, bei dem innerhalb von wenigen Minuten weltweit ungefähr die Hälfte aller Daten von Sony gelöscht waren. Hinter diesem Angriff steckte Nordkorea. Im jetzigen Fall der Ukraine ist es sehr wahrscheinlich, dass staatliche russische Akteure die Urheber sind – entsprechende Analysen laufen noch.

Im Gegensatz zu «Hermetic Wiper», wie ESET den Lösch­angriff im Vorfeld des Einmarsches russischer Truppen nannte, haben die weit weniger ausgefeilten DDoS-Attacken (Angriffe mit dem Ziel, Websites im Internet unerreichbar zu machen) im Januar und Februar aus der Sicht von Sicherheits­forscherin Marina Krotofil nur eine geringe Rolle gespielt für die russische Angriffs­strategie: «Sie verfolgten keinen grösseren strategischen Zweck als die allgemeine Demoralisierung der Bevölkerung und die Einschüchterung der nationalen Cyber-Kräfte.» Aus ihrer Sicht sind die Angriffe von russischer Seite aber strategisch nicht besonders schlau: «Die kontinuierlichen Angriffe seit 2014 machten das Land mental und technisch widerstands­fähiger» – die Ukraine sei viel besser darauf vorbereitet, strategische Operationen zu vereiteln. Nicht zuletzt rückten die USA als Verbündete näher an die Ukraine und helfen auch in der digitalen Verteidigung. Das Weisse Haus hat mehrfach angekündigt, die Ukraine bei Cyber-Angriffen zu unterstützen und auch auf diese zu reagieren.

Epilog: Die Zukunft des Cyber-War

Was heisst das alles für die Gegenwart und die Zukunft des Cyber-War? Die russischen Aktivitäten sind nur bedingt einzig­artig, betont Krotofil: «Viele Nationen bauen gerade ihre Kapazitäten für digitale Angriffe aus.» So wie auch in der analogen Welt Waffen und Kapazitäten bereit­gehalten werden für den Fall eines Krieges. Ob analog oder digital – Angriffe seien in der Theorie immer einfacher als in der Praxis: Bei Militär­aktionen wie bei Cyber-Attacken kann Unvorhergesehenes geschehen – so wie beim Triton-Angreifer, der an irgendeinem Faktor in der Realität scheiterte, den er nicht bedacht hatte. Die Tatsache, dass Russland in derart komplexe Angriffe wie Triton investiere, sei aber auf jeden Fall sehr beunruhigend.

Spätestens mit Triton wurde ein Programm geschrieben, das den Angriff vollständig automatisiert. Das hebt die russischen Staats­hackerinnen auf eine Stufe mit denen der USA und Israels. Die einzigen Nationen, die bisher – zumindest soweit öffentlich bekannt – in der Lage sind, derart ausgefeilte automatisierte Attacken auf Industrie­anlagen auszuführen und dabei tief in deren Steuerung einzudringen. Die beiden Länder hatten 2010 mit Stuxnet einen berühmt gewordenen Angriff auf eine iranische Uran­aufbereitungs­anlage gestartet, der das dortige Atom­programm stoppen sollte.

Aktuell nutzt das russische Militär nach dem Einmarsch eher seine Möglichkeiten vor Ort und aus dem Luftraum, um kritische Infrastrukturen in der Ukraine anzugreifen. Von daher stehen wenn, dann eher westliche Infrastrukturen im Fokus russischer Cyber-Angriffe. Russlands Präsident Putin hat mit markigen Worten angekündigt, jedem Angriff zu begegnen mit Konsequenzen, die die Angreifer «in ihrer Geschichte noch nie erlebt haben». Wer auch immer sich in die russischen Verhältnisse einmische, müsse mit entsprechenden Massnahmen rechnen. Angesichts der Sanktionen gegen Russland steigt die Gefahr russischer Cyber-Angriffe auf westliche Länder zur Vergeltung. «Es kann dadurch auch zu Ausfällen oder Einschränkungen bei kritischen Infrastrukturen wie etwa Strom und Wasser kommen», sagt Manuel Atug, ein deutscher Sicherheits­experte für kritische Infrastrukturen.

Dabei ist es wichtig, wenn das Thema hybride Kriegs­führung nun mehr Aufmerksamkeit bekommt, denn diese findet nicht nur in Kriegs­zeiten statt, im Gegenteil, erklärt Atug, der auch Sprecher der unabhängigen Arbeits­gruppe Kritis ist: «Der Zweck hybrider Kriegs­führung ist es, im Vorfeld eines militärischen Eindringens beispiels­weise die Kommunikation des Gegners mit digitalen Attacken lahmzulegen oder den Energie­sektor anzugreifen, damit der Gegner schon vor dem Einmarsch geschwächt ist.» Solche Angriffe benötigten einen langen Vorlauf an Vorbereitung, und diese fänden in Friedens­zeiten statt. Atug: «Cyber-Spionage – auch Aufklärung genannt – wird daher die ganze Zeit vorgenommen.»

Atug geht davon aus, dass sich staatliche Akteure wie Geheim­dienste und Militärs verschiedener Länder auch in den kritischen Infra­strukturen Europas bewegen und diese ausspionieren. Sie dort zu finden, das sei nicht einfach: «Staatliche Akteure haben das Ziel, lange unentdeckt zu bleiben und spionieren zu können», sagt er. «Im Krieg werden diese Zugänge dann für offensive Angriffe mit cyber­physischen Auswirkungen eingesetzt.» Aus seiner Sicht sollte das verboten sein: «Es ist eine ernsthafte Bedrohung für die Zivil­bevölkerung, ein erhebliches Risiko für die Aufrecht­erhaltung kritischer Infrastrukturen.»

Ob und wo es in den kommenden Wochen auch zu Angriffen auf westliche Infra­strukturen kommt, ist offen. Die Angreiferinnen sind zu gut versteckt. Sicher ist nur: Die russischen Staats­hacker haben ihre Füsse in vielen Hinter­türen – längst nicht mehr nur in der Ukraine, sondern auf der ganzen Welt.

4141

Unterstützen Sie unabhängigen Journalismus mit einem Monatsabonnement oder einer Jahresmitgliedschaft!

seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source