San Francisco Nur wenige Stunden vor dem Beginn der Kämpfe in der Ukraine gingen auf zahlreichen Computern in der Ukraine Forderungen nach digitalen Lösegeldzahlungen ein. Sie waren nach einer Analyse der US-Sicherheitsfirma Symantec nur ein Ablenkungsmanöver, um eine groß angelegte Cyberattacke auf Organisationen aus dem Finanzsektor, der Luftfahrt, der IT-Industrie sowie der Verteidigungsbehörden zu starten. Auch Web sites in den EU-Staaten Litauen und Lettland seien betroffen.
Die Forderung nach Lösegeld sollte die Opfer wohl in die Irre führen, vermuten die Sicherheitsforscher. Während die Mitarbeitenden in den Organisationen noch überlegten, ob sie das Lösegeld zahlen sollten oder nicht, hätten die Cyberwaffen im Hintergrund die Computersysteme zerstört. Hunderte Systeme seien betroffen.
Ziel der Waffe sei es, die zentrale Einheit eines Computer systems, den sogenannten Grasp Boot Document zu zerstören, der für den Begin der Geräte wichtig ist. Anschließend seien die Geräte nicht mehr einsetzbar.
Der Sicherheitsexperte Juan Andrés Guerrero-Saade vom US-amerikanisch-israelischen Unternehmen SentinelOne hat einer solchen Cyberwaffe den Namen „HermeticWiper“ gegeben und attestiert ihr in seiner Analyse ein hohes Maß an technischen Details.
Prime-Jobs des Tages
Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.
In Sicherheitskreisen gilt eine hohe Komplexität als Indiz, dass die Cyberwaffe von staatlichen Stellen entwickelt wurde. Der Aufbau habe Ähnlichkeiten mit Cyberwaffen von der im Iran vermuteten Hackergruppe APT33 sowie der in Nordkorea vermuteten Hackergruppe Lazarus. Das Ziel der Attacke steht nach Ansicht von Sicherheitsexperte Guerrero-Saade fest: „Damit sollten Schäden, Behinderungen und Verwüstungen angerichtet werden.“
>> Lesen Sie dazu: Telekom-Chef Höttges warnt vor Cyberattacken in der Ukrainekrise: „Die Bedrohung ist da“
Ein Group des tschechischen Sicherheitsunternehmens Eset registrierte zuletzt ebenfalls Hunderte Attacken mit „HermeticWiper“. Die Attacke – so vermuten die Tschechen in ihrer Analyse – sei seit mindestens zwei Monaten vorbereitet worden.
Ihren Namen verdankt die Cyberwaffe einem verwendeten Zertifikat der zypriotischen Computerspielefirma Hermetica Digital. Hinter dem Unternehmen steht der 24-jährige Entwickler Polis Trachonitis, der zuletzt gegenüber der Nachrichtenagentur Reuters bestritt, in irgendeiner Kind mit der Attacke im Zusammenhang zu stehen. „Ich bin Zypriote und habe mit Russland nichts zu tun“, erklärte Trachonitis.
Ein Sprecher des US-Sicherheitsdienstleisters Cloudflare, der auch von vielen Firmen in Europa eingesetzt wird, sagte dem Handelsblatt: „Cyberangriffe auf ukrainische Web sites haben leicht zugenommen und sind hartnäckiger geworden.“ Weiter sagte der Sprecher: „Das Internet funktioniert in der Ukraine größtenteils weiter.“ Generell sei ein Anstieg der Internetnutzung registriert worden, da viele Ukrainer das Web aktuell für die Suche nach Nachrichten und Informationen nutzen.
Cyberattacken legen Regierungsseiten in der Ukraine lahm
Neben dem Einsatz gezielter Cyberwaffen wurden weitere Attacken im Web registriert. Bei den Attacken handelt es sich um sogenannte Distributed-Denial-of-Service-Angriffe, kurz DDoS. Dabei werden Server mit einer Flut sinnloser Anfragen bombardiert, bis sie zusammenbrechen.
„Ungefähr ab 16 Uhr (15 Uhr MEZ) begann eine weitere huge DDoS-Attacke auf unseren Staat“, schrieb Digitalminister Mychajlo Fedorow am Mittwoch im Nachrichtenkanal Telegram. Von der Überlastung durch die große Anzahl von Anfragen betroffen seien die Parlamentsseite, das Regierungsportal und die Seite des Außenministeriums.
In der vergangenen Woche hatte ein ähnlicher Angriff eine kleinere Anzahl von Web sites in der Ukraine gestört. Die Cyberbehörden im Vereinigten Königreich und in den USA machten umgehend russische Hacker für diesen Angriff verantwortlich. Moskau bestritt jedoch, daran beteiligt gewesen zu sein.
Im Januar hatte die ukrainische Regierung Russland bereits beschuldigt, hinter einer weiteren DDoS-Welle und einer kleineren, weniger ausgefeilten Welle von „Wiper“-Angriffen zu stecken. Der Zugang zu den meisten Web sites wurde innerhalb weniger Stunden wiederhergestellt.
Sorge vor globaler Eskalation der Cyberattacken
Die Angriffe könnten sich schnell über die Ukraine und Nachbarstaaten hinaus ausweiten. Etwa die Chipindustrie sei stark von der Ukraine abhängig, hatte kürzlich das Weiße Haus in Washington gewarnt. Nach Schätzungen des Analysehauses Techcet stammen über 90 Prozent der US-Lieferungen von Neon in Halbleiterqualität aus der Ukraine, während 35 Prozent des US-Palladiums aus Russland bezogen werden.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hatte zuletzt eine Warnung vor russischen Cyberangriffen auf US-Netze herausgegeben, die sich an frühere Warnungen der CISA über die Risiken russischer Cyberangriffe für kritische US-Infrastrukturen anschließt. Die Europäische Zentralbank (EZB) hat die europäischen Finanzinstitute vor dem Risiko russischer Cyberangriffe im Falle von Sanktionen und damit verbundenen Marktstörungen gewarnt.
„Wir haben beobachtet, dass Bedrohungsgruppen, die von US-Regierungsbehörden der russischen Regierung zugeschrieben werden, in den letzten Monaten Aufklärungsmaßnahmen gegen die industrielle Infrastruktur der USA, einschließlich wichtiger Strom- und Erdgasstandorte, durchgeführt haben“, erklärte Rob Lee, CEO des Cybersicherheitsunternehmens Dragos, dem US-Magazin „Harvard Enterprise Evaluation“.
Auch Firmen in Deutschland könnten betroffen sein. Denn die Ukraine hat eine starke IT-Industrie. Viele Firmen greifen auf ukrainische Dienstleister zurück. Nach Angaben des ukrainischen Außenministeriums verlassen sich mehr als 100 der weltweit führenden 500 Unternehmen zumindest teilweise auf IT-Dienstleistungen aus der Ukraine. Mehrere ukrainische IT-Firmen gehören zu den 100 besten Outsourcing-Optionen für IT-Dienstleistungen weltweit.