Auch wenn die Angriffe Russlands auf ukrainische Computersysteme im vergangenen Jahr massiv zugenommen haben, so darf doch eines nicht vergessen werden: Neu sind solche Attacken nicht. Schon seit Jahren hat Russland viel unternommen, um die Systeme des Gegenübers zu unterwandern und zu stören. Wie sich nun zeigt, ist man dabei auch durchaus in der Lage, sich in Geduld zu üben.

Neue Angriffe

In den vergangenen Tagen haben russische Angreifer gleich mehrere Webseiten der ukrainischen Regierung übernommen und dort Inhalte manipuliert. So weit nichts Außergewöhnliches, in den vergangenen Monaten gab es mehrere solcher Vorfälle. Bemerkenswert sind aber die Hintergründe, die das ukrainische Computer Emergency Response Team (Cert UA) nun öffentlich macht.

Demnach wurden für die aktuellen Attacken Hintertüren genutzt, die schon vor längerem platziert wurden und offenbar so gut getarnt waren, dass sie bisher nicht aufgefallen sind. Der erste Einbruch dürfte den russischen Hackern im Dezember 2021 gelungen sein. Parallel zum Beginn des Angriffskriegs sollen dann im Februar 2022 gleich drei Hintertüren – konkret CredPump, HoaxPen und HoaxApe – auf den Systemen eingerichtet worden sein.

Derzeit sind die ukrainischen Behörden sowie Sicherheitsexperten noch mit den Aufräumarbeiten sowie der Analyse des Vorfalls beschäftigt. Allerdings betont man, dass die Attacke zwar im Hinblick auf die Manipulation von Inhalten erfolgreich war, es aber keinerlei Störung des Betriebs von Regierungsdiensten gegeben habe.

Russischer Bär

Cert UA macht eine Hackergruppe namens Ember Bear (oder auch Lorec53 sowie UAC-0056) für die Attacke verantwortlich. Wie bei vielen dieser Gruppen vermuten Experten eine enge Kooperation mit dem russischen Staat. Entsprechend ist die Gruppe bisher vornehmlich mit Angriffen im Sinne des russischen Staates aufgefallen – etwa auf die Ukraine oder auch Georgien. Sie soll aber auch für Attacken auf westeuropäische und nordamerikanische Institutionen verantwortlich zeichnen. (apo, 24.2.2023)