Ukraine: Strom-Infrastruktur im Visier russischer Hacker

Ziel der Attacken sind u.a. Umspannwerke, um mit deren Ausfall das ukrainische Stromnetz lahmzulegen (HIER) und Blackouts herbeizuführen. Bei dieser konkreten Attacke ging es um die Stromversorgung von 2 Millionen Ukrainern (HIER). Bereits 2015 hatte ein Hackerangriff zu großräumigen Ausfällen der Stromversorgung geführt.

Was war geschehen?

Bei einer Pressekonferenz am Dienstag, 12.4., berichtete Viktor Zhora, hochrangiger Vertreter der ukrainischen IT-Sicherheitsbehörde, dass die Ukraine schon lange und seit Beginn des Krieges besonders massiven Attacken ausgesetzt sei und man große Anstrengungen unternommen habe, das Strom-Netz abzusichern. Dennoch sei es Hackern gelungen, die Systeme eines ungenannt gebliebenen Unternehmens zu kompromittieren, das zu den größten privaten Stromversorgern zählt und für die Stromversorgung von zwei Millionen Menschen verantwortlich sei (HIER). Die Hacker hätten um 16.10 Uhr am Freitag losschlagen wollen. Der Angriff konnte jedoch abgewehrt werden.

Zhora dazu:

„The hackers planned the electrical outages for 8 April, to strike on Friday evening, before the weekend. It looks like we have been extremely lucky to respond to this in a timely manner.“

„Die Hacker planten die Stromausfälle für den 8. April, um am Freitagabend vor dem Wochenende zuzuschlagen. Es sieht so aus, als hätten wir großes Glück gehabt, dass wir rechtzeitig darauf reagieren konnten“.

Unterstützt wurden die ukrainischen Sicherheitsbehörden von Experten der slowakischen IT-Sicherheitsfirma ESET und von Microsoft.

Militärisches Hacker-Kollektiv Sandworm verantwortlich?

Die Forscher von ESET arbeiteten eng mit dem ukrainischen CERT (Crisis Emergency Response Team) zusammen, um den Angriff bislang erfolgreich abzuwehren. Dabei entdeckten sie Hinweise auf eine Variante der Schadsoftware Industroyer, die für den Angriff 2015 verantwortlich gemacht wird. Die neue Variante läuft unter dem Namen Industroyer2 und wird einem Hacker-Kollektiv namens Sandworm zugerechnet.

Der Name Sandworm bezieht sich auf Codezeilen in früherer Malware, die Hinweise auf Frank Herberts Roman „Dune“ enthielten. Westliche IT-Experten und Geheimdienste gingen schon früher von einer Verbindung Sandworms zum russischen Militär-Nachrichtendienstes GRU aus (HIER). 2020 konnte das US-Justizministerium Sandworm eindeutig einer Militäreinheit des GRU zuordnen (HIER).

Mehrere Mitglieder des Hacker-Kollektivs werden vom FBI gesucht.

Im März erst hatte das amerikanische FBI ein Botnet gestoppt, das in großem Stil mittels Schadsoftware von Sandworm die Rechenleistung von zahlreichen gekaperten Computern für Cyberattacken genutzt hatte (HIER).

Die aktuellen Erkenntnisse zu den umfassenden Aktivitäten von Sandworm veröffentlicht ESET regelmäßig in einem Blog (HIER).

Fazit

Der Krieg in der Ukraine findet nicht nur auf dem Schlachtfeld statt, sondern auch im Internet. Seit Beginn des Krieges sind die russischen Attacken auf kritische ukrainische Infrastruktur, hier die Strom-Netze, massiv nach oben gefahren worden. Trotz verstärkter Abwehrmaßnahmen ist es dem russischen Militär-Hackerkollektiv Sandworm gelungen, in die Systeme eines privaten Stromversorgers für 2 Millionen Ukrainer einzudringen. Dieser Angriff konnte jedoch rechtzeitig abgewehrt und ein Blackout verhindert werden.

Passend zum Thema
Cyberspionage: Mit Fake-News zum Ukraine-Krieg in die Falle gelockt