Seit zwei Tagen geht nichts mehr bei Kyivstar. Die Millionen Kunden des Internet- und Mobilfunkanbieters können nach wie vor weder telefonieren noch surfen. Ursache ist ein massiver Cyberangriff, der laut Angaben des Unternehmens die Infrastruktur der Firma "signifikant beschädigt" habe. Daher sah man sich dazu gezwungen, viele Systeme physisch abzuschalten, um weiteren Zugriff zu unterbinden. Wie lange Kyivstar noch buchstäblich "offline" sein wird, ist unklar.

Eine Wiederherstellung der Dienste, zumindest im Bereich der Telefonie, wurde am Mittwochabend angekündigt. Kyivstar hat nach eigenen Angaben 24,3 Millionen Mobilfunkkunden und 1,1 Millionen Kunden als reiner Internetanbieter. Die Attacke vom Dienstag sorgte auch abseits privater Telekommunikation für Schwierigkeiten. Ukrainische Medien berichteten etwa vom Ausfall von Zahlungsterminals und Straßenbeleuchtung in Lwiw, die am Mittwochmorgen manuell abgeschaltet werden musste, da ferngesteuerte Netzschalter nicht angesteuert werden konnten.

Seit Dienstag liegt sämtliche Telekommunikation von Kyivstar lahm. REUTERS/ALINA SMUTKO

Solntsepek

Klarer wird hingegen die Antwort auf die Frage nach den Verantwortlichen für den Angriff. Zu diesem hat sich nämlich die russische Gruppierung Solntsepek bekannt. Sie soll schon in der Vergangenheit einen anderen ukrainischen Mobilfunkanbieter erfolgreich attackiert und auch das Luftalarmsystem der Hauptstadt Kiew lahmgelegt haben.

"Wir, die Solntsepek-Hacker, übernehmen die volle Verantwortung für die Cyberattacke auf Kyivstar", heißt es in einer an Präsident Wolodymyr Selenskyj gerichteten Botschaft im Telegram-Kanal der Gruppe. "Wir haben zehn Computer, mehr als 4.000 Server und alle Cloudspeicher und Back-up-Systeme zerstört." Man habe Kyivstar als Ziel ausgesucht, weil das Unternehmen als Dienstleister für die ukrainische Armee und Regierungsstellen fungiere. Auch alle anderen, die der Armee helfen, sollten "sich vorbereiten".

Parallel zu Solntsepek reklamierte auch eine weitere Gruppe, firmierend als "Killnet", den Angriff für sich, lieferte aber im Gegensatz zu Solntsepek keinen Nachweis in Form von Screenshots, die mutmaßlich Einblicke in die Systeme von Kyivstar geben.

Es wird vermutet, dass Solntsepek eine weitere Tarnoperation von Sandworm sein könnte. DER STANDARD/Pichler/Midjourney

Tarnname für Sandworm?

Es liegt nahe, dass der Angriff im Auftrag des russischen Staates erfolgt ist. Denn Cyberattacken durch Solntsepek konnten immer wieder auf die "Einheit 74455" des russischen Militärgeheimdienstes GRU zurückgeführt werden. Dabei handelt es sich ebenfalls um eine Hackergruppe, die man auch besser unter dem Namen Sandworm kennt.

In Betracht zu ziehen ist auch die Möglichkeit, dass Solntsepek gar keine getrennte Entität, sondern schlicht eine Tarnung für Sandworm ist. Die vom Militär angestellten Hacker gaben sich in der Vergangenheit auch schon als Ransomware-Gang und "Hacktivisten" aus und versuchten auch, Angriffe auf die Olympischen Winterspiele 2018 in Südkorea nordkoreanischen Hackern in die Schuhe zu schieben.

Ungeklärt ist noch das Motiv für den Angriff. Vom Säen allgemeiner Verunsicherung bis hin zu militärtaktischen Implikationen oder der Verschleierung von Spionage sind unterschiedliche Szenarien denkbar. Untersucht wird noch, wie der Angriff gelingen konnte. Kyivstar selbst spricht davon, dass der Account eines Mitarbeiters kompromittiert wurde und schließlich als Einfallstor diente. (gpi, 14.12.2023)