Cyberautopsie Teil 3

Der Angriff auf das ukrainische Stromnetz schreibt Geschichte

Oktober ist traditionell National Cybersecurity Month und EU-Cybersicherheits-Monat. Einen ganzen Monat lang haben sich Experten, Anbieter sowie unterschiedlichste Institutionen dem Thema Cybersicherheit aus verschiedenen Perspektiven gewidmet. 

Aus diesem Anlass rekapitulieren wir in diesem Jahr vier schwerwiegende Cybersicherheitsvorfälle. Vorfälle, die möglicherweise hätten verhindert werden können. 

Anzeige

Das Cyber-Opfer:

Das ukrainische Unternehmen „Kyivoblenergo“, ein regionaler Stromversorger.

Einzelheiten zum Fall:  

Der regionale ukrainische Stromversorger Kyivoblenergo ist zu einer eher zweifelhaften Ehre gekommen: Kyivoblenergo ist der erste Stromnetzbetreiber der Welt, der durch einen Cyberangriff lahmgelegt wurde. Alles begann, als das Kontrollzentrum Prykarpattyaoblenergo am 23. Dezember 2015 Opfer eines Cyberangriffs wurde. Ziel des Angriffs waren die Computer- und SCADA-Systeme des Unternehmens. Zusätzlich wurden 30 Umspannwerke drei Stunden lang abgeschaltet. Annähernd 230.000 Kunden mussten ohne Strom auskommen – etwa die Hälfte der Haushalte in der Region Iwano-Frankiwsk in der Ukraine (mit zirka 1,4 Millionen Einwohner). Verwendet wurde eine Malware namens BlackEnergy. 

Ukrainische Regierungsbeamte behaupteten ziemlich schnell, die Ausfälle seien durch einen Cyberangriff verursacht worden, und gaben russischen Sicherheitsdiensten die Schuld.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Die Cyber-Historie: 

Erstmalig wurde mit Kyivoblenergo ein Stromversorger von Cyberkriminellen gehackt.

Die Ereignisse: 

Der Angriff auf das Kraftwerk passierte am Nachmittag. Währen ein Mitarbeiter an seinem Schreibtisch Papiere sortierte, fiel ihm etwas Merkwürdiges auf. Wie von Zauberhand begann sich auf seinem Computer der Cursor von selbst auf dem Bildschirm zu bewegen. 

Der Mitarbeiter beobachtete, damals wahrscheinlich noch mit offenem Mund, wie sich der Cursor auf die Schaltflächen zu bewegte, mit denen die Leistungsschalter eines Umspannwerks gesteuert werden, und er auf ein Kästchen klickte, um sie zu öffnen. Dadurch wurde das Umspannwerk abgeschaltet und 225.000 Einwohner standen im Dunkeln.  

Der Mitarbeiter bemühte sich zwar nach Kräften, die Kontrolle über den Computer zurückzuerlangen. Aber es war zu spät. Die Angreifer hatten ihn bereits ausgeloggt. 

Das Medium Wired bekam einen kurzen Clip des Angriffs zugestellt, den Sie sich hier ansehen können. Auch die NATO erstellt ein kurzes Video auf dem Folgendes dokumentiert wurde: 

Man könnte meinen, dass die Angreifer mit ihren Bemühungen zufrieden sein würden – aber nein. Sie griffen zwei weitere Verteilerzentren an, wodurch sich die Zahl der vom Netz genommenen Umspannwerke fast verdoppelte. Die Cyberkriminellen deaktivierten zusätzlich die Notstromversorgung von zwei der drei Verteilerzentren. Sogar die Stromnetzbetreiber selbst hatten keinen Strom. 

Die betroffenen Systeme / Parteien: 

Zwischen 200.000 und 230.000 Einwohner der Ukraine.

Die Vorgehensweise:

Die Ereignisse, die zum eigentlichen Angriff führten, begannen mit Aktivitäten im Frühjahr 2015. Darunter eine Spear-Phishing-Kampagne, die sich gegen IT-Mitarbeiter und Systemadministratoren verschiedener Stromversorger in der Ukraine richtete. Bei der Kampagne wurde eine böswillige E-Mail an die Mitarbeiter von drei Unternehmen verschickt. Durch Klicken auf den Anhang öffnete sich ein Popup-Fenster, in dem der E-Mail-User aufgefordert wurde, Makros für das Dokument zu aktivieren. Auf diese Weise infizierte ein Programm namens BlackEnergy3 den Rechner und öffnete den Hackern eine Backdoor.

Die anfänglichen Bemühungen brachten die Angreifer noch nicht sehr weit, so dass sie es bei diesem Versuch erst einmal beließen. Stattdessen führten sie über mehrere Monate hinweg umfangreiche Sondierungsarbeiten durch. Schließlich konnten sie sich Zugang zu den Windows-Domänencontrollern verschaffen, auf denen die Benutzerkonten für Netzwerke verwaltet werden. Hier sammelten sie Anmeldeinformationen/Zugangsdaten der Mitarbeiter, einige darunter auch für VPNs, mit denen sich die Netzmitarbeiter remote in das SCADA-Netzwerk einloggen konnten. Einmal im SCADA -Netzwerke hatten die Angreifer aber immer noch einiges zu tun. Langsam bereiteten sich auf das eigentliche Hauptereignis vor.

Das Ganze gipfelte gegen 15:30 Uhr am 23. Dezember darin, dass die Angreifer damit begannen, die sogenannten Unterbrecher zu öffnen. Das war der Punkt, an dem die Mitarbeiter des Kontrollzentrums in Prykarpattyaoblenergo merkten, dass jemand von außen die Kontrolle übernommen hatte.

Die Angreifer gingen besonders clever vor und bedachten so ziemlich alle Eventualitäten. So lösten sie sogar einen telefonischen Denial-of-Service-Angriff gegen das Kunden-Callcenter aus. Das sollte verhindern, dass Kunden den Ausfall melden können.

Ein Cybersicherheitsexperte von Dragos Security, der im betreffenden Wired-Artikel aus dem Jahr 2016 zitiert wurde, kommentierte, der Hack sei schlicht „brillant“ und weiter „Was Raffinesse betrifft, so konzentrieren sich die meisten Einschätzungen auf die bei einem Angriff verwendete Malware selbst. (…) Für mich ist das, was Raffinesse ausmacht, die Logistik, die Planung und der Betrieb und (…) was während der gesamten Dauer vor sich geht. Und das war in diesem Fall höchst raffiniert”. Und: „Raffinierte Akteure stecken konzertierte Anstrengungen selbst in ganz unwahrscheinliche Szenarien, um sicherzustellen, dass sie alle Aspekte dessen abdecken, was schief gehen könnte”. 

Laut Kaspersky war BlackEnergy, der beim Angriff in der Ukraine verwendete Trojaner, seit 2014 in Umlauf. Er wurde speziell ein eingesetzt, um DDoS-Angriffe durchzuführen, für die Cyberspionage und für Angriffen zur Informationsvernichtung – insbesondere bei Firmen aus der Energiebranche und solchen, die sonst noch SCADA-Systeme nutzen. 

Die abschließende Diagnose: 

Der Angriff auf das ukrainische Stromnetz gilt immer noch als einer der verheerendsten Angriffe aller Zeiten. Und der Fall ist möglicherweise noch immer nicht abgeschlossen …

Wie schon erwähnt, hat die ukrainische Regierung Russland fast unmittelbar nach dem Angriff der Urheberschaft beschuldigt. Offiziell wurde bis vor kurzem noch niemand angeklagt. 

Am 15. Oktober 2020 wies die Grand Jury des Bundes in Pittsburgh (PA) eine Anklage gegen sechs Hacker zurück. Alle sind Einwohner und Staatsangehörige der Russischen Föderation (Russland) und Beamte der Abteilung 74455 der russischen Hauptverwaltung für Aufklärung (GRU), ein militärischer Geheimdienst des Generalstabs der Streitkräfte. Die Gruppe ist auch (und vielleicht besser) als “Sandworm“ bekannt. 

Dieselbe Gruppe wird mit einem weiteren Großangriff in Verbindung gebracht: NotPetya, der Verluste in Höhe von fast 1 Milliarde Dollar verursachte. 

Sandworm ist möglicherweise für eine Reihe weiterer Cyberangriffen verantwortlich, die sich auf die nun verschobenen Olympischen Sommerspiele 2020 in Tokio auswirken sollten. Die britische Regierung äußerte ihre Besorgnis, dass möglicherweise die Spiele im nächsten Jahr das Ziel sein werden…

Amy Krigman, Public Relations Manager

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.