FM4-Logo

jetzt live:

Aktueller Musiktitel:

Hacker

CC0

Erich Moechel

Hybride US-Offensive trifft Russlands Cyberkomplex

Nach der bisher größten Cyberoffensive der USA stehen die Software-Entwickler der mithin gefährlichsten Gruppen auf den internationalen Fahndungslisten. Das wichtigste militärische Forschungsinstitut Russlands wurde vom internationalen Zahlungsverkehr abgeschnitten.

Von Erich Moechel

Hinter der aktuellen Serie von Anklagen und öffentlichen Sanktionen gegen russische Cyberagenten kommt die neue, hybride Strategie der USA klar zu Tage. Angriffe im Cyberspace werden zeitversetzt im öffentlichen Informationsraum beantwortet. Vor allem dazu dienen diese jüngsten Anklagen gegen wichtige Software-Entwickler und Angriffsplaner des russischen Cyberkomplexes. Es ist die bisher größte Offensive im Rahmen der neuen US-Cyberstrategie.

Erst am Freitag wurde das wichtigste Forschungsinstitut des russischen Militärs als Urheber einer Schadsoftware der Stuxnet-Klasse sanktioniert und damit vom internationalen Geldverkehr abgeschnitten. 2017 wurde mit dieser Schadsoftware versucht, durch Manipulationen an der Steuerungsanlage eine saudiarabische Raffinerie in die Luft zu jagen. Nicht weniger gefährlich ist die Tage davor angeklagte „Sandworm Group“, die für Schäden von geschätzten zehn Milliarden Dollar alleine im Jahr 2017 verantwortlich gemacht wird.

Industriesteuerungsanlage

FireEye

Eine solche Industrieschaltanlage wurde in Saudiarabien angegeriffen. Ganz oben ist das Back-Office mit Internetzugang, darunter der Bereich „Storage“, also interne Server und Speichermedien, beide Netzwerksegmente sind durch Firewalls getrennt. Darunter ist das SIS-Schaltsystem, nämlich Sensoren und Switches, ganz unten ist die Anlage zur Überwachung und Steuerung der Prozesse. Bis dorthin drangen die Angreifer vor und hatten dabei mindestens zwei Firewalls ausgetrickst. Die Analyse der Firma FireEye weist die Software als als russischen Ursprungs aus. Aus dieser Analayse sind die aktuellen Sanktionen des US-Handelsministeriums abgeleitet.

Die Malware, mit der das Schaltsystem einer Raffinerie in Saudi-Arabien angegriffen worden war, stand wochenlang frei zum Download im Netz.

Ein zentrales Forschungsinstitut

Das US-Handelsministerium, von dem diese Sanktionen ausgehen, beschuldigt das „Zentrale Wissenschaftliche Forschungsinstitut für Chemie und Mechanik“ (TsNIIKhM), die Triton-Schadsoftware entwickelt zu haben, mit der eine Raffinerie in Saudiarabien 2017 angegriffen worden war. Die Malware sei speziell auf einen bestimmten Typus von Schaltanlagen zugeschneidert worden. Gemeint sind die Triconex-Schaltanlagen der US-Firma Schneider Electric, die weit verbreitet sind. Über die Angreifer selbst schweigt sich die Sanktionsschrift aber seltsamerweise völlig aus. Das TsNIIKhM ist nicht irgendein Institut, sondern eine der wichtigsten militärischen Forschungseinrichtungen in Russland, in etwa vergleichbar mit der „Defense Advanced Agency“ (DARPA) der US-Streitkräfte.

Bemerkt wurde die „Triton“ oder „Trisis“ genannte Schadsoftware im August 2017, als die Steuerung Teile der petrochemischen Anlage selbsttätig abschaltete. Die automatische Abschaltung wurde durch eine Fehlfunktion der Triton-Malware ausgelöst, die zwar schon das Kommando übernommen hatte, aber dadurch nicht mehr dazukam, die eigentliche Schadfunktion auszulösen. Quasi in letzter Minute wurde der Angriff dadurch zum Fehlschlag, der durch einen Zufall fünf Monate später aufflog. Ein Sicherheitstechniker der Firma Schneider hatte die Gefährlichkeit dieser Software offenbar völlig unterschätzt und sie auf die Sicherheitsforschungsplattform „Virustotal“ hochgeladen, wo sie bis Anfang Jänner frei zur Verfügung stand. Daraufhin bestand bei Schneider Electric Erklärungsbedarf und die Zusammenhänge wurden bekannt.

Anklage gegen die Sandworm Group

Fotos zweier Männer

US-Justizministerium

Allen sechs Angeklagten der Sandworm-Gruppe wird die Entwicklung von Schadsoftware vorgeworfen, die bei sieben verschiedenen, teils sehr spektakulären Angriffen, zum Einsatz kam. Es handelt sich damit also nicht um Operative, sondern um die Software-Entwickler und Angriffsplaner. Dem Angeklagten Anatoly Kovalev wird außerdem vorgeworfen, den Angriff auf die Demokratische Partei bei den Präsidentschaftswahlen mitorganisiert zu haben.

Wie die Angriffe mit NotPetya im Detail funktionierten sowie die tragende Rolle des NSA-Exploits EternalBlue

Die böse Sandworm Group

Die berüchtigte Sandworm-Gruppe wurde nicht sanktioniert, sondern vom US-Justizministerium formell angeklagt. Allen sechs namentlich genannten Beschuldigten werden die Entwicklung von Schadsoftware und die Planung der mithin schwersten Cyberattacken gegen westliche Ziele der letzten fünf Jahre vorgeworfen. Allein schon aus der Liste der verwendeten Malwares - NotPetya, KillDisk, BlackEnergy, and OlympicDestroyer - geht hervor, welche Funktion sie haben. Das sind allesamt sogenannte „Wiper“, die Festplatten überschreiben oder so verschlüsseln, dass eine Wiederherstellung der Daten unmöglich ist.

Vor allem durch „NotPetya“ wurden in Schäden in der Höhe von geschätzten zehn Milliarden angerichtet. Getarnt als „Petya“ - eine seit 2015 bekannte, relativ primitive Malware von Verschlüsselungserpressern - wurden die Rechner und Schaltanlagen von Stromversorgern und Telekoms in der Ukraine verwüstet. Da „NotPetya“ auch noch mit einer Wurmfunktion ausgestattet war und sich dadurch selbstständig und unkontrolliert verbreitete, waren die Kollateralschäden dieses Angriffs auf die Ukraine enorm. Das prominenteste Opfer aber war der US-Pharmakonzern Merck, wo Produktionsanlagen wochenlang stillgestanden sind.

Petya Screenshot

CC0 - Public Domain

Mit diesem Splash-Screen des originalen „Petya“-Malware konnten die Angreifer die Sicherheitsforscher gerade einmal zwei Tage hinters Licht führen. Sehr bald stellte sich heraus, dass hinter dem Petya-Splashscreen keinswegs diese bekannte - und recht primitive - Verschlüsselungsmalware werkte, sondern eine professionelle, selbstverbreitende Suite für Zerstörungsangriffe. Daher stammt auch die Bezeichnung „NotPetya“.

Sanktionen aus Deutschland

Was die Anklage geflissentlich verschweigt, ist dass der in NotPetya verbaute „Exploit“ aus dem Arsenal der NSA stammte, die damit jahrelang eine kapitale Windows-Sicherheitslücke ausgenützt hatte. Im Mammut-Leak von NSA-Software durch die bis heute unbekannten „Shadow Brokers“ kam im Frühjahr 2017 ein mächtiger Exploit namens EternalBlue ans Licht, der alle Windows-Sicherheitsmechanismen auf einen Schlag aushebelte. Die NSA hatte EternalBlue zu gezielten Spionagezwecken benutzt, die Sandworm Group verwendete ihn jedoch, um Rechner von Steuerungsanlagen zu übernehmen und mit einer Wipersoftware die Festplatten zu ruinieren.

Der Angriff von APT28 hatte das gesamte Netz des deutschen Bundestags 2015 so gründlich verseucht, dass 20.000 PCs getauscht werden mussten.

Zwischen diesen beiden Schlägen gegen den russischen CyberKomplex schaltete sich die EU am Donnerstag mit Sanktionen gegen den Angriff auf den deutschen Bundestag in die Kampagne ein. Sanktioniert wurde die gesamte als „Fancy Bear“ alias „APT 28“ aka „Sofacy“ und „Strontium“ sattsam bekannte Truppe, die im Beschluss des EU-Ministerrats vom 22. Oktober als „Einheit 26165“ bezeichnet werden. Ein Mitglied dieser Truppe wurde namentlich benannt, dieselben Sanktionen wurden über Igor Kostyukov, den Oberkommandanten des russischen CIA-Gegenstücks GRU verhängt.

Was die US-Strategie bezweckt

Worauf diese Strategie der öffentlichen Bloßstellung, de facto Einreiseverboten in der gesamten westlichen Welt und Ausschlüssen vom internationalen Zahlungsverkehr erreicht werden soll, liegt auf der Hand. Sämtliche Sanktionen richten sich nicht gegen operative Cyberagenten, die relativ einfach ersetzt werden können, sondern gegen Systemarchitekten, Software-Entwickler und strategische Planer. Diese Kräfte sind nur schwer ersetzbar, denn derart Qualifizierten winken hochbezahlte technische Positionen in der Industrie.

Diese Doppelstrategie, Cyberangriffe nach herkömmlicher militärischer Logik sowohl mit einem Gegenschlag im Cyberraum zu beantworten und zeitversetzt dann im Informationsraum nachzulegen, zielt auf die technische Führungsebene im russischen Cyberkomplex. Einreise- und Flugverbote rund um den Globus, Ausschluss vom internationalen Geldverkehr und Beschlagnahme aller Devisenkonten samt drohenden Gefängnisstrafen sind für IT-Techniker der Oberklasse so ziemlich das Gegenteil von dem, was in ihrer Lebensplanung steht.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: