Als Russland am 24. Februar 2022 in die Ukraine einmarschierte, wusste trotz vieler Einschätzungsversuche niemand, welche Rolle Cyberangriffe bei einer umfassenden Invasion spielen könnten. Eine Analyse des Cyberexperte Chester Wisniewski von Sophos.
Russland habe seit der Besetzung der Krim im Jahr 2014 Cyberangriffe auf die Ukraine durchgeführt, und es schien unvermeidlich, dass diese Tools weiterhin eine Rolle spielen würden, insbesondere nach den Angriffen auf das ukrainische Stromnetz und der weltweiten Verbreitung des NotPetya-Wurms.
Eine der Herausforderungen bei der Bewertung der Wirksamkeit oder Auswirkung von Cyberangriffen bestehe darin, zu sehen, wie sie in das "große Ganze" passen. Wenn wir uns mitten in einem Konflikt befinden, verschleiere und verzerre der "Informationsnebel" des Krieges oft unsere Sicht auf die Wirksamkeit einer bestimmten Aktion.
Nach Angaben des Ukrainischen Staatsdienstes für besonderen Kommunikations- und Informationsschutz (SSSCIP), sei die Ukraine seit Beginn des Krieges 1.123 Mal angegriffen worden.
- 36,9 % der Ziele betrafen die Regierung/Verteidigung und die Angriffe hätten zu 23,7 % aus "bösartigem Code" und zu 27,2 % aus dem Sammeln von Informationen bestanden.
- Die Cyber-Komponente des Krieges hätte fast 24 Stunden vor der Landinvasion begonnen. "In meinem Tagebuch über den Konflikt notierte ich, dass DDoS-Angriffe und Wiper-Angriffe am 23. Februar gegen 16 Uhr Ortszeit begannen".
- Unmittelbar danach sei es sehr unübersichtlich, da eine Vielzahl von Angriffen und Techniken parallel zum Einsatz kamen.
Strategie 1: Zerstörung
- Da sich der Krieg für Russland nicht nach Plan entwickelte, seien einige dieser Techniken bisher in verschiedenen Phasen des Krieges unterschiedlich eingesetzt worden.
- Die erste und offensichtlichste sei die destruktive Malware-Phase gewesen. Ab Januar 2022 begannen laut SSSCIP russische und pro-russische Angreifer, Wiper- und Bootsektor-verändernde Malware freizusetzen, die darauf abzielte, den Inhalt eines Systems zu löschen oder es funktionsunfähig zu machen.
- Sie hätten in erster Linie auf ukrainische Dienstleister, kritische Infrastrukturen und Regierungsbehörden abgezielt.
Diese Angriffe seien während der ersten sechs Wochen des Konflikts fortgesetzt und dann abgeschwächt worden.
- Die meisten dieser Aktivitäten hätten sich auf den Zeitraum vom 22. bis 24. Februar konzenriert - also im direkten Vorfeld und während der Invasion.
- Diese Aktivitäten hatten durchaus Auswirkungen auf verschiedene Systeme in der Ukraine, scheinen aber letztlich keinen positiven Einfluss auf den Erfolg der russischen Landinvasion gehabt zu haben.
Ein Grund dafür könnte sein, dass die ukrainische Regierung einige Tage vor diesen Angriffen viele ihrer offiziellen Online-Funktionen in eine Cloud-Infrastruktur, die von nicht an den Kämpfen beteiligten Dritten verwaltet und kontrolliert wird, verlagerte.
- Dadurch seien Störungen vermieden und die Ukraine konnte viele Dienste aufrechterhalten und mit der Welt zu kommunizieren.
- Dies erinnere an ein ähnliches Vorgehen, als Georgien während der DDoS-Angriffe Russlands auf das Land im Jahr 2008 wichtige Regierungswebsites in Drittländer verlegt hatte.
Ein weiterer zerstörerischer Angriff sei die Attacke auf die Viasat-Satellitenkommunikationsmodems gewesen, die in ganz Mittel- und Osteuropa im Einsatz waren - und das gerade als die Invasion begann.
- Laut Raphael Satter von Reuters habe ein "hochrangiger ukrainischer Cybersicherheitsbeamter" erklärt, dass dies zu " einem wirklich enormen Kommunikationsverlust gleich zu Beginn des Krieges" geführt habe.
- Dieser Angriff habe auch NATO-Mitgliedern Kollateralschäden zugefügt und habe unter anderem den Betrieb von mehr als 5.800 Windkraftanlagen in Deutschland gestört.
Dies sei wahrscheinlich der wirkungsvollste aller Angriffe, die bisher während des Krieges durchgeführt wurden.
- "In Anbetracht der Tatsache, dass die meisten Experten spekuliert haben, dass Russland einen 72-Stunden-Krieg geplant hatte, hätte eine Unterbrechung der militärischen Kommunikation bei einem Aufgehen dieser Strategie erhebliche negative Auswirkungen für die Ukraine haben können", so Wisniewski.
- Zudem seien die ukrainischen Kommandeure in der Lage gewesen, sich neu zu gruppieren und alternative Verbindungen herzustellen, um die Unterbrechung zu minimieren. Langfristig habe sich gezeigt, dass Russland weitaus mehr mit der Befehlskette zu kämpfen habe als die Ukraine.
- Vielleicht teilweise aufgrund der Unterstützung von Technologieunternehmen wie Microsoft und ESET sowie US-Geheimdiensten war der Erfolg der Ukraine bei der Abwehr zerstörerischer Angriffe beeindruckend.
Eine der raffiniertesten Malware-Bedrohungen, die auf kritische Infrastrukturen abzielten, sei erkannt und neutralisiert worden, als sie im Netzwerk eines ukrainischen Energieversorgers entdeckt worden sei.
- Die als Industroyer2 bekannte Malware sei eine Kombination aus herkömmlichen Wipern, die auf Windows, Linux und Solaris abzielten, und ICS-spezifischer Malware, die auf die Betriebstechnologie (OT) abzielte, die zur Steuerung und Überwachung des Stromnetzes verwendet wird.
Microsoft habe in einem kürzlich erschienenen Bericht darauf hingewiesen, dass viele russische Cyberangriffe offenbar mit konventionellen Angriffen in Dnipro, Kiew und auf dem Flughafen Vinnytsia koordiniert wurden.
- Aber es gebe immer noch keine Beweise dafür, dass die Cyber-Komponente zu offensichtlichen Fortschritten in der russischen Offensive beigetragen hätte.
"Nach meiner Einschätzung haben destruktive Cyber-Operationen bisher so gut wie keinen Einfluss auf den Ausgang realer Kriegsgeschehnisse gehabt. Sie haben vielen Leuten zusätzliche Arbeit beschert und zahlreiche Schlagzeilen gemacht, aber was sie nicht getan haben, ist, den Krieg spürbar zu beeinflussen", so Wisniewski
pm, ots, Quelle: Chester Wisniewski, Sophos
Foto: ThisIsEngineering