Als eine estnische Logistikfirma im Herbst 2022 eine verdächtige Datei in ihren Systemen fand, wirkte es zunächst wie ein alltäglicher Vorfall: Große Unternehmen werden häufig von Cyberkriminellen und Spionen angegriffen, oft geschieht dies zunächst automatisiert – und meist kommen die Angreifer nicht weit, weil Sicherheitssysteme anspringen und mögliche Schadsoftware aufhalten. So war es auch in diesem Fall: Die beauftragte IT-Sicherheitsfirma WithSecure sah keinen großen Schaden und legte den Fall zu den Akten.
Bis die Datei ein knappes Jahr später wieder auftauchte, als der WithSecure-Sicherheitsforscher Mohammad Kazem Hassan Nejad eine Spur verfolgte. Eine europäische Regierungseinrichtung hatte dem IT-Sicherheitsunternehmen Teile einer Schadsoftware geschickt, die man wiederum bei einem anderen Opfer gefunden hatte. Hassan Nejad darf nicht mehr dazu verraten, nur so viel: Diese Behörde hatte den Verdacht, dass die Schadsoftware Teil eines Angriffs russischer Staatshacker ist.
Der Sicherheitsforscher durchsuchte das Archiv gefundener Bedrohungen von WithSecure, in der Fachsprache nennt sich das Telemetrie, und fand Übereinstimmungen mit der Datei der Firma aus Estland. Nach einer anfänglichen Analyse vermutete er ebenfalls, dass es sich um Schadsoftware einer staatlichen russischen Hackinggruppe handeln könnte. Er analysierte die Datei über einige Monate und verglich die Schadsoftware mit Cyberwaffen, die in der Vergangenheit vom russischen Geheimdienst eingesetzt wurden. "Aus heutiger Perspektive können wir sagen, dass es sich mit großer Wahrscheinlichkeit um ein Tool von Sandworm handelt", sagt Hassan Nejad gegenüber ZEIT ONLINE.
Sandworm ist eine berüchtigte Hackergruppe des russischen Geheimdienstes GRU, die seit ungefähr zehn Jahren aktiv ist und hauptsächlich Ziele in der Ukraine angreift. Mit Beginn des russischen Angriffskriegs auf die Ukraine hatten Fachleute erwartet, dass der Cyberwar eine größere Rolle spielen würde, denn Sandworm hatte zuvor mit seinen Cyberangriffen einen enormen Schaden angerichtet. Am bekanntesten in der westlichen Welt ist NotPetya, eine Schadsoftware unter anderem auf der Basis entwendeter US-amerikanischer Cyberwaffen, die sich 2017 rasend schnell um die Welt verbreitete und in großem Stil Computersysteme löschte. Das verursachte einen weltweiten Milliardenschaden. Weniger bekannt, aber potenziell gefährlicher waren Angriffe auf die ukrainische Stromversorgung im Dezember 2015 und erneut im Dezember 2016, die für kurzfristige Blackouts sorgten.
Das jetzt entdeckte Tool, das WithSecure Kapeka getauft hat, russisch für kleiner Storch, ist ein Puzzlestein zur Beantwortung der Frage, ob sich der russische Geheimdienst mit seinen Cyberoperationen in den vergangenen Jahren zurückgehalten hat – oder ob das nur so schien. Zu Beginn des russischen Angriffskriegs gab es einige folgenreiche Sabotageangriffe auf Websites der ukrainischen Regierung sowie eine Cyberattacke auf das Viasat-Satellitennetzwerk, die Auswirkungen bis nach Deutschland hatte. Doch die befürchteten digitalen Angriffe auf physische Infrastruktur blieben weitgehend aus.
Eine Erklärung könnte sein, dass der Krieg alle Kräfte benötigt und schlicht weniger Kapazitäten vorhanden sind, um ausgefeilte Cyberangriffe zu entwickeln. Eine andere könnte sein, dass physische Zerstörung mit Bomben leichter zu erreichen ist als mit Cyberwaffen – dass die Notwendigkeit für den Cyberwar also zurückgeht in Zeiten des Angriffskriegs. Die dritte Erklärung könnte sein, dass die Angriffe im Verborgenen weitergehen und der russische Geheimdienst seine Präsenz in westlichen Netzwerken unbemerkt weiter ausbaut. In diese Richtung deutet die aktuelle Entdeckung von WithSecure.
Wenige Spuren, die automatisch verwischt werden
Ganz einfach sei es nicht gewesen, die wenigen Spuren
zuzuordnen, die von dem aktuellen Angriffswerkzeug zu finden waren, sagt Hassan Nejad
im Interview. Denn erstens gehen staatliche Gruppen mit ihren Cyberwaffen nicht
gerade verschwenderisch um, "es gibt oft nur wenige, sehr gezielte Angriffe".
Viele Daten gibt es also nicht. Und zweitens beinhalten diese Waffen häufig
auch Mechanismen, mit denen sie ihre Entdeckung zu verhindern versuchen und
ihre Spuren verwischen.
Auch von dem versuchten Angriff auf das Unternehmen in Estland sind nur Bruchstücke übrig geblieben. Genau genommen wohl die erste Stufe: eine Hintertür, eine Backdoor, die die Angreifer dort implementiert haben. Damit verschaffen sich Eindringlinge Zugang zu fremden Netzen und sorgen für "Persistenz". Das heißt, sie halten die Tür offen, verstecken sich aber möglichst gut im Netzwerk und versuchen, unauffällig zu spionieren und Daten abzuziehen. Sobald sie eingedrungen sind, verwischt die Schadsoftware erste Spuren. Nach und nach können Angreifer Kontrolle über das System gewinnen, in dem sie immer weiter vordringen. Durch diese Kontrolle können sie Funktionalitäten wie Sabotage- oder Verschlüsselungsangriffe nachladen.
"Als die Datei 2022 bei der Firma in Estland entdeckt wurde, handelte es sich nicht mehr um einen aktiven Angriff", sagt Hassan Nejad, "wir vermuten, dass es sich bei unserer Entdeckung um ein frühes Stadium handelte, in dem die Angreifer ihre Opfer ausspionieren und entscheiden, ob es das ist, wonach sie suchen." Von daher könnte es sein, dass das estnische Opfer einfach Glück hatte und die Angreifer nicht interessiert an seinen Daten waren. Es könnte sich aber auch um eine erfolgreiche Spionageoperation handeln, deren Spuren später verwischt wurden, dass also alle für die Angreifer relevanten Daten abgezogen wurden und man sich dann aus dem System zurückgezogen hat. "Das ist im Nachhinein schwer nachzuvollziehen."
Unklar ist auch, wie es zwei weiteren Opfern in der Ukraine ergangen ist. Als sich Hassan Nejad auf Spurensuche begab, fand er nicht nur in den eigenen Daten von WithSecure einen Treffer, sondern auch in VirusTotal – einem Tool von Google, in das Betroffene Dateien laden können, um zu überprüfen, ob es sich um Schadsoftware handelt. Sicherheitsfirmen wiederum können auf die hochgeladenen Daten zugreifen. "Wir vermuten, dass es sich um zwei weitere Opfer aus der Ukraine handelt", sagt Hassan Nejad. Diese haben die Dateien im Mai 2023 und im Juni 2022 hochgeladen. Mehr sei aber über diese Opfer nicht in Erfahrung zu bringen gewesen.
Als eine estnische Logistikfirma im Herbst 2022 eine verdächtige Datei in ihren Systemen fand, wirkte es zunächst wie ein alltäglicher Vorfall: Große Unternehmen werden häufig von Cyberkriminellen und Spionen angegriffen, oft geschieht dies zunächst automatisiert – und meist kommen die Angreifer nicht weit, weil Sicherheitssysteme anspringen und mögliche Schadsoftware aufhalten. So war es auch in diesem Fall: Die beauftragte IT-Sicherheitsfirma WithSecure sah keinen großen Schaden und legte den Fall zu den Akten.
Bis die Datei ein knappes Jahr später wieder auftauchte, als der WithSecure-Sicherheitsforscher Mohammad Kazem Hassan Nejad eine Spur verfolgte. Eine europäische Regierungseinrichtung hatte dem IT-Sicherheitsunternehmen Teile einer Schadsoftware geschickt, die man wiederum bei einem anderen Opfer gefunden hatte. Hassan Nejad darf nicht mehr dazu verraten, nur so viel: Diese Behörde hatte den Verdacht, dass die Schadsoftware Teil eines Angriffs russischer Staatshacker ist.
