Große Aufregung um Cybervorfälle in der Ukraine

Die gesamte NATO war am Wochenende in Aufruhr. Es hagelte Vergeltungsdrohungen und Solidaritätsserklärungen, dann stellte sich der angebliche Cyberangriff auf die Ukraine als etwas ganz Anderes heraus.

Von Erich Moechel

Die Cybervorfälle in der Ukraine haben die gesamte NATO in Aufruhr versetzt. Am Montag jagte eine Solidaritätserklärung der NATO-Staaten die nächste, ohne dass näher bekannt war, was tatsächlich vorgefallen war. Experten hatten am Wochenende vergeblich vor übereilten Schlussfolgerungen gewarnt.

Tatsächlich passiert ist bis jetzt gut wie nichts. Ein paar Dutzend ukrainische Websites wurden verunstaltet, das ist längst wieder rückgängig gemacht. Dazu wurde von Microsoft auf einer begrenzten Anzahl von Behörden-PCs Schadsoftware entdeckt. Die wichtigste Nachricht zum Thema ging dabei völlig unter. In Russland wurde die berüchtigte REvil-Erpresserbande gerade schachmatt gesetzt.

Das FSB gibt bekannt

Am Donnerstag hatte der russische Inlandsgeheimdienst FSB die Verhaftung von gut einem Dutzend Mitgliedern der REvil-Gang bekanntgegeben. „Als Ergebnis einer Reihe koordinierter Ermittlungs- und Suchmaßnahmen an 24 Adressen von 14 Mitgliedern der organisierten kriminellen Gemeinschaft wurde Bargeld beschlagnahmt. Über 426 Millionen Rubel, einschließlich Kryptowährung, 600.000 US-Dollar, 500.000 Euro sowie Computer und 20 Premium-Autos“ seien sichergestellt worden, heißt es in der Aussendung des FSB. Insgesamt sollen fast fünf Millionen Euro beschlagnahmt worden sein. Und weiter heißt es: „Vertreter der zuständigen US-Behörden werden über die Ergebnisse der Operation informiert.“

Die REvil-Gang, der von den russischen Behörden „unerlaubter Umgang mit Fremdwährungen“ vorgeworfen wird, war nach den spektakulären Raubzügen vor allem in den USA Ende Juni 2021 von der Bildfläche verschwunden. Im Herbst hatte sich die Gruppe dann langsam wieder formiert und ihre Commmand/Control-Server erneut in Betrieb genommen, der aktuelle Schlag des FSB kam für alle Beobachter völlig unerwartet. „Infolge der gemeinsamen Handlungen des FSB und des russischen Innenministeriums hat die organisierte kriminelle Gemeinschaft aufgehört zu existieren, die für kriminelle Zwecke verwendete Informationsinfrastruktur wird neutralisiert“, heißt es auf der Website des FSB dazu. Aus den USA traf mittlerweile bereits die Bestätigung ein, dass unter den in mehreren russischen Städten festgenommenen Cyberkriminellen auch die Angreifer auf die „Colonial Pipeline“ sind. Ein Ableger der REvil-Gang hatte das Zahlungssystem dieser Pipeline und damit die Benzinversorgung von großen Teilen der US-Ostküste lahmgelegt.

Was in der Ukraine (nicht) passiert ist

In der Ukraine wurde bis jetzt kein Cyberangriff durchgeführt, sondern „nur“ eine potentiell gefährliche Schadsoftware auf Rechnern verschiedener ukrainischer Behörden gefunden. Sie ist vom Typus eines „Wipers“, eine Schadsoftware, die Festplatten so überschreibt, dass die Rechner unbrauchbar werden. In diesem Fall war die Malware dafür konstruiert, die sogenannte „Master Boot Record“ zu verschlüsseln. Da sich der Rechner dadurch nicht mehr starten lässt, kann nicht einmal nachträglich entschlüsselt werden. Diese Konstruktion war oberflächlich als Erpressersoftware getarnt.

Das erinnert natürlich an die verheerenden Attacken mit der durchaus ähnlichen Schadsoftware „Not-Petya“ auf die Ukraine aus dem Jahr 2016. Diese Malware hatte freilich ein Zusatzmodul, nämlich einen sogenannten Wurm, der Not-Petya unkontrolliert im Netz verbreitete, enorme Schäden außerhalb der Ukraine waren die Folge. Microsoft hatte jedoch nur die eigentliche Schadsoftware auf den ukrainischen Rechnern gefunden, einen Wurmfortsatz hatte sie nicht. All das hätte man freilich erst in Erfahrung bringen sollen, bevor man - wie im Fall der NATO-Staaten - wie am Fließband Solidaritätserklärungen absetzte. Wie aber kam diese Schadsoftware auf die Rechner der ukrainischen Behörden? Das „Malware Hunters Team“, eine Gruppe von Cyberforensikern, die ihre Ergebnisse auf Twitter teilt, hat dafür eine verblüffend plausible Hypothese aufgestellt.

Behördliche „Software-Piraterie“ war der Grund

Am Montag veröffentliche das Internet-Portal der ukrainischen Cyberpolizei ein kurzes Resümee des Vorfalls. Darauѕ sticht ein Begriff ganz besonders hervor, es wird nämlich die Wahrscheinlickeit eines „Lieferketten-Angriffs“ erwähnt. Genau das vermuten auch die oben zitierten Cyber-Forensiker, denen war nämlich aufgefallen, dass es bei ukrainischen Behörden noch immer Usus ist, gecrackte Microsoft-Programme zu verwenden. Sogar die Anleitung zur Wiederherstellung der verunzierten Websites wurde laut den Malware Hunters mit einem solchen gecrackten Word-Programm verfasst.

Am Dienstag präsentierten diese Forensiker ein halbes Dutzend Dokumente mit der Endung .docx, die allesamt von offiziellen Websites der Ukraine stammen und alle mit gecrackten Softwareversionen der Office-Suite von Microsoft erstellt worden war. Die Analyse Microsoft schweigt sich über diesen Umstand aus. Tags davor hatte die Kommunikations- und Informationsagentur der NATO ein Abkommen mit der Ukraine zur Zusammenarbeit bei nicht näher definierten „technolgischen Projekten“.

Dr. Strangelove und die NATO

„Es wäre schlichtweg verrückt, wenn der Dritte Weltkrieg deshalb ausbräche, weil Politiker Cybervorfälle nicht richtig und vernünftig einschätzen können. Unter diesen Umständen kommt man sich vor wie in einem Dr. Strangelove-Film“, sagte der Cyberanalyst Lukasz Olejnik dazu. Gemeint ist der dystopische Film „Dr. Strangelove, oder wie ich lernte, die Bombe zu lieben“ von Stanley Kubrick, der mit einem Atomkrieg endet. An der Grenze zur Ukraine stehen nämlich 100.000 Mann starke russische Einheiten, nebenan in Belarus hält der Diktator Lukaschenko die Bevölkerung mit Militär und Geheimpolizei in Schach.