Die Ukraine steht ja seit längerem im Fokus diverser (vermutlich Russland naher) Cyber-Gruppen. Gerade haben Präsidentschaftswahlen stattgefunden. Der Sicherheitsdienstleister FireEye hat nun Anfang 2019 erneut Spear-Phishing-Angriffe auf die Ukraine beobachtet, die dieses Mal von Sicherheitsdiensten der Volksrepublik Luhansk ausgingen. Aber die Bedrohungen durch Cyber-Angriffe nehmen weltweit zu, wobei auch der Verlust von Menschenleben einkalkuliert oder in Kauf genommen wird.
Anzeige
Zum Hintergrund
Die so genannte Volksrepublik Luhansk ist ein selbsternannter, international weitgehend nicht anerkannter Staat, der durch Russland im Osten der Ukraine entstanden ist. Es handelt sich um einen von zwei selbsternannten Staaten innerhalb der Ukraine, die sich gegenseitig anerkennen und darüber hinaus nur von Südossetien, einem ähnlich abtrünnigen Staat im besetzten Georgien, offiziell anerkannt werden.
Angriff von Sicherheitsdiensten der Volksrepublik Luhansk
FireEye hat eine Spear-Phishing-Kampagne identifiziert, die von den Sicherheitsdiensten der selbsternannten Volksrepublik Luhansk ausgeht. Die laufende Aktion begann bereits 2014, als die Volksrepublik Luhansk gegründet wurde. Hier ein Beispiel einer Spear-Phishing-Mail, die am 22. Jan. 2019 mit dem Betreff "SPEC-20T-MK2-000-ISS-4.10-09-2018-STANDARD" unter dem Absender Armtrac, ein Rüstungshersteller in Großbritannien, verschickt wurde.
(Spear Phishing E-Mail, Quelle: FireEye)
Die Spear-Phishing-Kampagne scheint sich auf die ukrainische Regierung zu konzentrieren. FireEye geht davon aus, dass die Akteure Informationen sammeln, um ihre politischen und militärischen Ambitionen in der Region zu unterstützen. Weitere Informationen zum Angriff auf die Ukraine finden sich im englischsprachigen FireEye Blog.
Anzeige
Steigende Bedrohung weltweit
Obwohl Cyber-Spionage regelmäßig als Instrument der Staatsmacht eingesetzt wird, ist dieses Vorgehen nicht nur auf Staaten beschränkt. So wie neue staatliche Akteure konsequent von dieser Praxis angezogen werden, entwickeln auch viele substaatliche Akteure entsprechende Fähigkeiten. Insbesondere solche, die mit den Ressourcen eines staatlichen Sponsors ausgestattet sind.
FireEye sucht regelmäßig nach Bedrohungsakteuren in Gebieten, in denen anhaltende Konflikte und andere geopolitische Elemente eine große Chance bieten, neue Bedrohungen zu erkennen. Nicht nur in der Ukraine, sondern auch im Nahen Osten, in Taiwan, Südkorea und anderen Gebieten suchen wir nach Informationen über Akteure aus Russland, dem Iran, Nordkorea, China und anderen Ländern. "Es ist nicht ungewöhnlich, dass aufkommende, geografisch begrenzte Aktionen im Laufe der Zeit voranschreiten und über ihre Regionen hinausgehen.
"Dies ist bei mehreren Akteuren der Fall, die wir regelmäßig in der Ukraine beobachten, wo sich die Bedrohungen für Wahlen und Industrie ausgeweitet haben, wie wir es bei den Wahlen 2016 und dem NotPetya-Event bereits erlebt haben.", sagt John Hultquist, Director of Intelligence Analysis bei FireEye.
Passend zur FireEye-Info, die mir vor einigen Tagen zuging, bin ich gestern bei Zeit Online auf diesen Artikel zum Thema gestoßen. Dieser befasst sich damit, dass Cyber-Angriffe von staatsnahen Akteuren auf kritische Infrastruktur nun auch vor dem Verlust von Menschenleben als Folge nicht mehr halt machen. Erst Mitte 2018 wurde ein großflächiger Angriff auf kritische Kraftwerksinfrastruktur in Deutschland bekannt.
Schlecht geschützte Systeme und Skript-Kiddies
Ein Problem sind auch die oft extrem schlecht geschützten oder ungepatchten Systeme in Industrie und Privathaushalten sowie das 'Dual-Use' privater Geräte wie Smartphones in Firmen. So können Angriffe ggf. über solche Infektionsketten gelingen. Hier könnte eine geplante EU-Regel zu Software-Updates zukünftig zumindest eine Verbesserung in Sachen Versorgung mit Updates bringen.
Das Zweite: Malware lässt sich inzwischen aus Baukästen zusammen klicken. Mit dabei auch Script-Kiddies, die sich so etwas mal schnell als Scherz erstellen und sich dabei auch selbst infizieren. Sicherheitsforschern vom MalwareHunterTeam oder Misterch0c weiten auf Twitter auf solche Fälle hin. Heise hat gerade diesen Artikel zu einem neuen Trend veröffentlicht. Da ist es nur eine Frage der Zeit, dass eine fatale Kombination aus Auto-Script und schlecht gesicherter Infrastruktur zu einem Kollateralschaden führen. Es muss ja nicht der zielgerichtete Virus für Steuerungssysteme wie bei den oben erwähnten Angriffen auf die Kraftwerksinfrastruktur sein. Eine Ransomware in den mit Windows laufenden Kontrollsystemen, die diese unbrauchbar macht, reicht schon.
Anzeige
Jede Art von Computerschädling kann Schaden anrichten, daher die Bezeichnung. Sorgfalt muss stets präsent sein.
Als Abwehrmittel stehen nicht immer sofort die richtigen Lösungen zur Verfügung.
Aber was Jeder tun kann: Sämtliche Soft- und Firmware aktuell halten und richtig konfigurieren, und volle Wachsamkeit an jedem genutzten Gerät. Das setzt voraus, sich die notwendige Zeit für Vorsicht und Umsicht einzuräumen. Lieber zwei mal hinsehen, als einmal zu wenig. Zeit ist Geld darf nicht oberste Priorität haben.
Dazu gehört außerdem, möglichst regelmäßig viele einschlägige Stellen im Internet konsultieren, um im Bilde zu bleiben, aus welcher Richtung Gefahr drohen könnte.
Zusammengenommen ist das schon eine ganze Menge.
Leider werden die Hacker immer einen Schritt voraus sein, liegt in der Natur der Sache.
Und in diesem speziellen Fall richten sich die Angriffe ja nicht gegen den Normalnutzer.