Hybride US-Offensive trifft Russlands Cyberkomplex
Von Erich Moechel
Hinter der aktuellen Serie von Anklagen und öffentlichen Sanktionen gegen russische Cyberagenten kommt die neue, hybride Strategie der USA klar zu Tage. Angriffe im Cyberspace werden zeitversetzt im öffentlichen Informationsraum beantwortet. Vor allem dazu dienen diese jüngsten Anklagen gegen wichtige Software-Entwickler und Angriffsplaner des russischen Cyberkomplexes. Es ist die bisher größte Offensive im Rahmen der neuen US-Cyberstrategie.
Erst am Freitag wurde das wichtigste Forschungsinstitut des russischen Militärs als Urheber einer Schadsoftware der Stuxnet-Klasse sanktioniert und damit vom internationalen Geldverkehr abgeschnitten. 2017 wurde mit dieser Schadsoftware versucht, durch Manipulationen an der Steuerungsanlage eine saudiarabische Raffinerie in die Luft zu jagen. Nicht weniger gefährlich ist die Tage davor angeklagte „Sandworm Group“, die für Schäden von geschätzten zehn Milliarden Dollar alleine im Jahr 2017 verantwortlich gemacht wird.
FireEye
Die Malware, mit der das Schaltsystem einer Raffinerie in Saudi-Arabien angegriffen worden war, stand wochenlang frei zum Download im Netz.
Ein zentrales Forschungsinstitut
Das US-Handelsministerium, von dem diese Sanktionen ausgehen, beschuldigt das „Zentrale Wissenschaftliche Forschungsinstitut für Chemie und Mechanik“ (TsNIIKhM), die Triton-Schadsoftware entwickelt zu haben, mit der eine Raffinerie in Saudiarabien 2017 angegriffen worden war. Die Malware sei speziell auf einen bestimmten Typus von Schaltanlagen zugeschneidert worden. Gemeint sind die Triconex-Schaltanlagen der US-Firma Schneider Electric, die weit verbreitet sind. Über die Angreifer selbst schweigt sich die Sanktionsschrift aber seltsamerweise völlig aus. Das TsNIIKhM ist nicht irgendein Institut, sondern eine der wichtigsten militärischen Forschungseinrichtungen in Russland, in etwa vergleichbar mit der „Defense Advanced Agency“ (DARPA) der US-Streitkräfte.
Bemerkt wurde die „Triton“ oder „Trisis“ genannte Schadsoftware im August 2017, als die Steuerung Teile der petrochemischen Anlage selbsttätig abschaltete. Die automatische Abschaltung wurde durch eine Fehlfunktion der Triton-Malware ausgelöst, die zwar schon das Kommando übernommen hatte, aber dadurch nicht mehr dazukam, die eigentliche Schadfunktion auszulösen. Quasi in letzter Minute wurde der Angriff dadurch zum Fehlschlag, der durch einen Zufall fünf Monate später aufflog. Ein Sicherheitstechniker der Firma Schneider hatte die Gefährlichkeit dieser Software offenbar völlig unterschätzt und sie auf die Sicherheitsforschungsplattform „Virustotal“ hochgeladen, wo sie bis Anfang Jänner frei zur Verfügung stand. Daraufhin bestand bei Schneider Electric Erklärungsbedarf und die Zusammenhänge wurden bekannt.
Anklage gegen die Sandworm Group
US-Justizministerium
Wie die Angriffe mit NotPetya im Detail funktionierten sowie die tragende Rolle des NSA-Exploits EternalBlue
Die böse Sandworm Group
Die berüchtigte Sandworm-Gruppe wurde nicht sanktioniert, sondern vom US-Justizministerium formell angeklagt. Allen sechs namentlich genannten Beschuldigten werden die Entwicklung von Schadsoftware und die Planung der mithin schwersten Cyberattacken gegen westliche Ziele der letzten fünf Jahre vorgeworfen. Allein schon aus der Liste der verwendeten Malwares - NotPetya, KillDisk, BlackEnergy, and OlympicDestroyer - geht hervor, welche Funktion sie haben. Das sind allesamt sogenannte „Wiper“, die Festplatten überschreiben oder so verschlüsseln, dass eine Wiederherstellung der Daten unmöglich ist.
Vor allem durch „NotPetya“ wurden in Schäden in der Höhe von geschätzten zehn Milliarden angerichtet. Getarnt als „Petya“ - eine seit 2015 bekannte, relativ primitive Malware von Verschlüsselungserpressern - wurden die Rechner und Schaltanlagen von Stromversorgern und Telekoms in der Ukraine verwüstet. Da „NotPetya“ auch noch mit einer Wurmfunktion ausgestattet war und sich dadurch selbstständig und unkontrolliert verbreitete, waren die Kollateralschäden dieses Angriffs auf die Ukraine enorm. Das prominenteste Opfer aber war der US-Pharmakonzern Merck, wo Produktionsanlagen wochenlang stillgestanden sind.
CC0 - Public Domain
Sanktionen aus Deutschland
Was die Anklage geflissentlich verschweigt, ist dass der in NotPetya verbaute „Exploit“ aus dem Arsenal der NSA stammte, die damit jahrelang eine kapitale Windows-Sicherheitslücke ausgenützt hatte. Im Mammut-Leak von NSA-Software durch die bis heute unbekannten „Shadow Brokers“ kam im Frühjahr 2017 ein mächtiger Exploit namens EternalBlue ans Licht, der alle Windows-Sicherheitsmechanismen auf einen Schlag aushebelte. Die NSA hatte EternalBlue zu gezielten Spionagezwecken benutzt, die Sandworm Group verwendete ihn jedoch, um Rechner von Steuerungsanlagen zu übernehmen und mit einer Wipersoftware die Festplatten zu ruinieren.
Der Angriff von APT28 hatte das gesamte Netz des deutschen Bundestags 2015 so gründlich verseucht, dass 20.000 PCs getauscht werden mussten.
Zwischen diesen beiden Schlägen gegen den russischen CyberKomplex schaltete sich die EU am Donnerstag mit Sanktionen gegen den Angriff auf den deutschen Bundestag in die Kampagne ein. Sanktioniert wurde die gesamte als „Fancy Bear“ alias „APT 28“ aka „Sofacy“ und „Strontium“ sattsam bekannte Truppe, die im Beschluss des EU-Ministerrats vom 22. Oktober als „Einheit 26165“ bezeichnet werden. Ein Mitglied dieser Truppe wurde namentlich benannt, dieselben Sanktionen wurden über Igor Kostyukov, den Oberkommandanten des russischen CIA-Gegenstücks GRU verhängt.
Was die US-Strategie bezweckt
Worauf diese Strategie der öffentlichen Bloßstellung, de facto Einreiseverboten in der gesamten westlichen Welt und Ausschlüssen vom internationalen Zahlungsverkehr erreicht werden soll, liegt auf der Hand. Sämtliche Sanktionen richten sich nicht gegen operative Cyberagenten, die relativ einfach ersetzt werden können, sondern gegen Systemarchitekten, Software-Entwickler und strategische Planer. Diese Kräfte sind nur schwer ersetzbar, denn derart Qualifizierten winken hochbezahlte technische Positionen in der Industrie.
Diese Doppelstrategie, Cyberangriffe nach herkömmlicher militärischer Logik sowohl mit einem Gegenschlag im Cyberraum zu beantworten und zeitversetzt dann im Informationsraum nachzulegen, zielt auf die technische Führungsebene im russischen Cyberkomplex. Einreise- und Flugverbote rund um den Globus, Ausschluss vom internationalen Geldverkehr und Beschlagnahme aller Devisenkonten samt drohenden Gefängnisstrafen sind für IT-Techniker der Oberklasse so ziemlich das Gegenteil von dem, was in ihrer Lebensplanung steht.
Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.
Publiziert am 28.10.2020