Wie-Hacker-der-Ukraine-den-Strom-abdrehten
21. Jänner 2016, 10:52
Vor Weihnachten kam es in zahlreichen Regionen zu Stromausfällen durch
Cyberangriffe – ein Stand der Dinge
Zu Beginn der Weihnachtszeit sorgte ein großflächiger Stromausfall in
der Ukraine für Aufregung. Viele tausend Menschen saßen über Stunden
hinweg im Dunklen. Bald stellte sich heraus, dass der Blackout keinem
technischen Gebrechen oder einem Wetterereignis geschuldet war, sondern
womöglich einem Cyberangriff zuzuordnen sei.
Doch längst sind nicht alle Details bekannt. Der ukrainische
Geheimdienst will Hinweise entdeckt haben, dass russische Hacker hinter
den Ausfällen stecken. Wired hat die bisherigen Ereignisse und
Erkenntnisse zusammengefasst.
Ablauf
Gegen fünf Uhr Nachmittags Ortszeit am 23. Dezember meldete der
Energieversorger der Verwaltungsregion Ivano-Frankiwsk, gelegen im
Südosten der Ukraine, auf seiner Website, dass es in der gleichnamigen
Regionalhauptstadt zu einem Stromausfall gekommen sei. Da man die
Ursache noch nicht kenne, solle niemand die Hotline anrufen, man könnte
nicht prognostizieren, wann die Versorgung wiederhergestellt sei.
Kurz darauf gab man bekannt, dass der Blackout weitreichender sei, als
zuvor angenommen. Acht Bezirke der Region waren betroffen. Während in
der Hauptstadt selbst die Lichter wieder angingen, dauerte die
Wiederherstellung außerhalb deutlich länger.
Monitoring-System überlistet
Schließlich meldete die Stromfirma, dass der Ausfall wahrscheinlich
durch "Außenstehende" verursacht worden sein dürfte und das Callcenter
aufgrund massenhafter Anrufe technische Probleme habe. Auch ein weiteres
Energieunternehmen, Kyivoblenergo, meldete ähnliches. Hier waren 80.000
Kunden plötzlich vom Strom getrennt und auch hier war der Telefonservice
durch ein Bombardement an Anrufen praktisch außer Gefecht gesetzt.
Es folgten Medienberichte darüber, dass die digitalen Einbrecher nicht
nur Stromausfälle verursacht hätten, sondern auch Monitoring-Systeme
lahmgelegt hätten. Anscheinend war es ihnen gelungen, die ausgelieferten
Daten "einzufrieren", sodass Operatoren die Ausfälle erst mit Verspätung
bemerkten. Dazu sei es ihnen gelungen, aus der Ferne Schalter in
Umspannwerken umzulegen, sodass Mitarbeiter dort hin fahren und das
Problem vor Ort beheben mussten.
TDoS-Angriffe auf Callcenter
Weitere Details nennt Nikolai Koval, ein ehemaliger Mitarbeiter des
ukrainischen CERT, der den betroffenen Unternehmen bei der Aufarbeitung
der Vorfälle assistiert. Er spricht davon, dass die Call Center
zeitgleich zum Beginn der Stromsabotage mit TDoS-Attacken, also
telefonischen Denial-of-Service-Angriffen, eingedeckt worden waren.
Im Klartext: Die Kundenhotline wurde mit einer enormen Zahl an Fake-Anrufen
bombardiert, die es Betroffenen beinahe unmöglich machte, in die Leitung
zu kommen. Koval erklärt, dass die falschen Anrufe allem Anschein nach
aus dem Ausland getätigt wurden.
Gut orchestriert
Zu guter letzt konnten sich die Eindringlinge auch Fernzugriff auf PCs
und Server der Firmen sichern. Diese legte man mit einer Malware namens
Killdisk lahm. Killdisk überschreibt wichtige Systemdateien und den
Master Boot Record, was dazu führt, dass infizierte Systeme ausfallen
und sich nicht wieder starten lassen.
Ein US-Experte namens Robert Lee sieht die verwendeten Mittel an sich
als nicht sonderlich hochentwickelt an, zeigt sich aber beeindruckt von
der zeitlichen Koordination des Angriffs. Wenngleich nur zwei
Energieversorger die Attacken öffentlich meldeten, sollen laut Koval bis
zu acht betroffen gewesen sein.
Weitreichender Zugriff
Wann genau sich die Angreifer erstmals Zugriff auf die Systeme
verschafft hatten, ist nicht klar. Es dürfte aber Zusammenhänge zu
früheren Attacken geben. Im März half das ukrainische CERT etwa einem
anderen Energieerzeuger dabei, einen solchen abzuwehren. Die
eingesetzten Mittel – darunter ein Trojaner namens "BlackEnergy", der
auch Killdisk mitbringt, war damals zum Einsatz gekommen. Eine weiter
entwickelte Variante konnte man beim vorweihnachtlichen Blackout
entdecken.
Die Malware selbst sei aber nur als Zugangs- und Spähtool genutzt
worden. Die Sabotage selbst sei den Hackern gelungen, weil sie offenbar
die Kontrolle über die Rechner von Operatoren übernehmen konnten. Denn
eine andere Schadsoftware sei nicht entdeckt worden.
Indizien, aber keine Beweise für russische Beteiligun
Bleiben noch die Anschuldigungen in Richtung Russland. Die politischen
Spannungen beider Unternehmen sind schon länger stark, insbesondere
seitdem Russland die Halbinsel Krim im Jahr 2014 annektiert hat. Denkbar
wäre etwa eine Vergeltung für einen Stromausfall in dieser Region,
verursacht durch ukrainische Aktivisten, die – nicht über das Internet,
sondern physisch – ein Umspannwerk lahmgelegt hatten.
Das Sicherheitsunternehmen iSight Partners hält aufgrund des Einsatzes
von BlackEnergy Russland für verantwortlich. Es soll ein Werkzeug einer
Hackergruppe sein, die der Putin-Regierung nahe steht. Bei Eset ist man
sich hingegen längst nicht so sicher. So ließe sich derzeit gar nicht
sagen, ob BlackEnergy nur von einer oder von mehreren Gruppen eingesetzt
wird.
Viel mehr Schaden möglich
Angriffe wie diese sind laut Lee längst nicht die Spitze des Möglichen.
Auch die physische Zerstörung von Equipment zur Energieerzeugung sei
machbar. Das US-amerikanische Stromnetz sie gegen derlei Attacken zwar
besser abgesichert, weil aber viele Systeme vollautomatisiert seien,
würden Wiederherstellungsmaßnahmen aber deutlich länger dauern. (gpi,
21.01.2016)
Links
Wired
iSight Partners
Eset
http://derstandard.at/2000029479150/Wie-Hacker-der-Ukraine-den-Strom-abdrehten