Kriege werden heutzutage schon lange nicht mehr bloß am Boden, auf See oder in der Luft ausgetragen. Im Zeitalter der hybriden Kriegsführung spielt gerade das Internet eine immer wichtigere Rolle. Immerhin geht es darum, die Handlungsfähigkeit des Feindes so gut wie möglich einzuschränken. Der aktuelle Einmarsch Russlands in die Ukraine stellt dabei keine Ausnahme dar.
Internet
Seit Donnerstagmorgen ist eine deutliche Beeinträchtigung des Internetbetriebs in einzelnen Städten der Ukraine zu beobachten, berichtet die auf solche Auswertungen spezialisierte Firma Netblocks. Dies dürfte sowohl auf laufende Cyberattacken Russlands als auch die Beschädigung der Infrastruktur zurückzuführen sein.
Im Fokus der Probleme stehen dabei die zwei größten Städte des Landes, Kiew und Charkiw. Vor allem aus letzterer berichten Nutzer über diverse Probleme wie einen Komplettausfall der Festnetzverbindungen. Dies zeichnet sich auch deutlich im Volumen des aus der Stadt gehenden Internetverkehrs ab, das derzeit laut Netblocks nur mehr bei rund 75 Prozent des Normalwerts liegt.
DDoS-Angriff
Bereits in der Vorwoche gab es Berichte über DDoS-Angriffe auf die Webseiten von zahlreichen ukrainischen Regierungsstellen sowie Unternehmen. Auch diese wurden nun offenbar wiederaufgenommen. Neben Regierungs-Webseiten waren am Donnerstag immer wieder auch ukrainische Banken nicht mehr erreichbar. Bei solchen Attacken, DDoS steht für Distributed Denial of Service, werden dermaßen viele Anfragen gleichzeitig an einen Server geschickt, dass dieser unter der Last zusammenbricht.
Nur ein Anfang
Trotzdem funktioniert die ukrainische Netzinfrastruktur angesichts der bekannten Expertise Russlands in diesem Bereich noch überraschend gut. Das könnte aber gute Gründe haben, scheinen doch parallel dazu gerade andere Attacken zu laufen, die erst zu einem späteren Zeitpunkt ihre volle Wirkung entfalten sollen – und für die die Angreifer selbst ein funktionierendes Internet brauchen.
So berichten die Sicherheitsforscher von Eset von massiven Angriffen auf ukrainische Rechner, bei denen eine bislang unbekannte Schadsoftware auf den Systemen installiert und für eine spätere Attacke in Stellung gebracht wird. Auf Befehl von außen könnte diese dann sämtliche Daten auf den befallenen Rechnern vernichten.
Spurensuche
Der aktuelle Angriff scheint dabei von langer Hand geplant zu sein. So zeigt eine Analyse der von den Sicherheitsforschern "HermeticWiper" getauften Schadsoftware, dass diese bereits am 28. Dezember erstellt wurde. Die erste aktive Infektion damit wurde erst am Mittwochnachmittag festgestellt, wenige Stunden später waren bereits hunderte Rechner damit befallen.
Interessant sind auch die technischen Details, die Eset bisher veröffentlicht hat. Die Schadsoftware scheint dabei mit einem echten digitalen Zertifikat der Firma Hermetica Digital signiert zu sein, zudem wird ein – an sich legitimer – Treiber der Software Partition Master missbraucht, um die Zerstörung der Daten vorzunehmen. In zumindest einem Fall scheint den Hackern der Einbruch über einen Active-Directory-Server von Microsoft gelungen zu sein, es könnte aber durchaus sein, dass hier verschiedene Angriffspunkte genutzt werden.
Hintergrund
Ähnliche Angriffe gab es gegen die Ukraine übrigens schon im Jahr 2017. Damals wurden die Systeme von tausenden ukrainischen Unternehmen mit einer Ransomware namens NotPetya infiziert. Dabei handelte es sich allerdings nur auf den ersten Blick um ein Stück Erpressersoftware. Wie sich schnell zeigte, hatte diese in Wirklichkeit ein sehr viel simpleres Ziel: die Zerstörung von Daten.
Bei all dem gilt es zu betonen, dass die Urheberschaft bei solchen Angriffen generell schwer zu bestimmen ist, da es viele Wege gibt, die Herkunft zu verschleiern. Insofern erfolgt die Zuordnung von Attacken oft mithilfe von externen Informationen, etwa Wissen über früher verwendete Software und Methoden und natürlich auch politische Hintergründe. In diesem Fall besteht unter Sicherheitsexperten aber allein schon aufgrund der zeitlichen Abläufe recht wenig Zweifel daran, dass Russland Urheber dieser Attacken ist. (Andreas Proschofsky, 24.2.2022)