{"id":262846,"date":"2022-02-23T23:56:18","date_gmt":"2022-02-23T22:56:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=262846"},"modified":"2022-02-24T01:05:24","modified_gmt":"2022-02-24T00:05:24","slug":"massiver-cyberangriff-auf-webseiten-in-der-ukraine-23-2-2022","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/02\/23\/massiver-cyberangriff-auf-webseiten-in-der-ukraine-23-2-2022\/","title":{"rendered":"Massiver Cyberangriff auf Webseiten in der Ukraine & Wiper Malware gefunden (23.2.2022)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der bewaffnete Konflikt, mit dem Russland die Ukraine bedroht, springt auch auf das Internet \u00fcber. Nachdem bereits Mitte Februar 2022 Webseiten in der Ukraine angegriffen wurden, findet seit dem 23. Februar 2022 ein massiver Angriff auf diverse Seiten der Regierung in der Ukraine, auf Banken etc. statt. Zudem zirkuliert eine destruktive Malware (Wiper) in den Computersystemen der Ukraine. Hier ein kurzer \u00dcberblick, was bekannt ist.<\/p>\n

<\/p>\n

Cyberangriff auf Ukraine (23.2.2022)<\/h2>\n

\"\"Blog-Leser Bolko hat es in diesem Kommentar<\/a> bereits angerissen – pro-russische Cybergruppen fahren seit 14 Uhr UTC massiver Cyberangriff auf staatliche Webseiten der Ukraine. Bolko hat hier folgende Webseiten angegeben:<\/p>\n

\"Cyberangriff<\/a><\/p>\n

Auf der Webseite wholeserv.com<\/a> findet sich der Hinweis, dass die EU ein rapid Cyber-Response-Team (CRRT) mit 12 Experten aus Estland, Litauen, Polen, Kroatien, Rum\u00e4nien und den Niederlande zur Unterst\u00fctzung der Ukraine aktiviert hat. Aktuell (23:28 Uhr, MEZ) sind die Webseiten zwar wieder erreichbar, aber auf Twitter zeigt NetBlocks<\/a> den Angriff deutlich.<\/p>\n

\"Ukraine:<\/a><\/p>\n

Die Angriffe scheinen massiv gewesen zu sein, so dass selbst Seiten, die durch Cloudflare gesch\u00fctzt sind, nicht mehr erreichbar waren. Die Nachrichtenseite Forbes.com hat diesen Artikel<\/a> dazu ver\u00f6ffentlicht.<\/p>\n

\"DDoS<\/a><\/p>\n

Die Kollegen von Bleeping Computer haben einige Details in diesem Artikel<\/a> zusammen getragen. Auf Twitter habe ich Statements gelesen, dass man bisher noch keinen so massiven DDoS-Cyberangriff gesehen habe.<\/p>\n

Cyberangriff auf Ukraine (15.2.2022)<\/h2>\n

Bereits am 15. Februar 2022 gab es einen massiven Cyberangriff auf Webseiten in der Ukraine (Reuters hat hier<\/a> dar\u00fcber berichtet) – Bolko wies in seinem obigen Kommentar darauf hin. Das CERT-UA hat es in dieser Meldung<\/a> angesprochen. Das Wei\u00dfe Haus (USA) und Gro\u00dfbritannien<\/a> beschuldigen Hacker des russischen Geheimdiensts (GRU), diese Angriffe vorgenommen zu haben – Details lassen sich bei Interesse bei den Kollegen hier<\/a> nachlesen. Vom Sicherheitsanbieter Vectra AI liegt mir dazu folgende Stellungnahme vor:<\/p>\n

Russland verf\u00fcgt \u00fcber betr\u00e4chtliche Ressourcen, was offensive Cyberf\u00e4higkeiten betrifft. Der Angriff auf 70 ukrainische Regierungswebsites im Januar dieses Jahres diente als Warnung vor dem, was in einem k\u00fcnftigen Konflikt zwischen den beiden L\u00e4ndern passieren k\u00f6nnte. Es sei auch daran erinnert, dass Russland 2015 bewiesen hat, dass es in der Lage ist, die Kontrolle \u00fcber Teile des ukrainischen Stromnetzes zu \u00fcbernehmen, indem es Umspannwerke nach Belieben ausschaltete und so f\u00fcr rund 230.000 Einwohner Stromausf\u00e4lle verursachte.<\/p>\n

Sollten sich die Beziehungen weiter verschlechtern, ist mit Angriffen auf kritische nationale Infrastrukturen in der Ukraine, insbesondere im Telekommunikations- und Energiesektor, zu rechnen – vielleicht schon vor einem Einmarsch. Dies w\u00fcrde dazu dienen, die F\u00e4higkeit der Ukraine zu st\u00f6ren, sich zu organisieren, zu sch\u00fctzen und auch den Informationsfluss innerhalb des Landes und nach au\u00dfen zu hemmen, was jede Propagandakampagne unterst\u00fctzen w\u00fcrde.<\/p><\/blockquote>\n

Diese Einsch\u00e4tzung ist inzwischen durch die Wirklichkeit \u00fcberholt worden. Cybersecurity-Analysten des Teams Unit42 von Palo Alto Networks haben bereits Anfang Februar<\/a> die staatlich unterst\u00fctzte russische Hackergruppe Gamaredon<\/em> (Primitive Bear APT) als verantwortlich f\u00fcr die Cyberangriffe auf die Ukraine identifiziert. Dies ist eine Hacker-Gruppe, die von 5 russischen FSB-Beamten geleitet wird – das berichtet der ukrainische Inlandsgeheimdienst (SSU, Sluschba bespeky Ukrajiny \u2013 Ukrainischer), siehe diesen Artikel von Bleeping Computer<\/a>. Von Palo Alto Networks liegt mir von Team Unit42 folgende Einsch\u00e4tzung aus einer Analyse vor:<\/p>\n

Seit 2013, kurz vor der Annexion der Halbinsel Krim durch Russland, hat die Gamaredon-Gruppe ihre Cyber-Kampagnen haupts\u00e4chlich gegen ukrainische Regierungsbeamte und -organisationen gerichtet. Im Jahr 2017 ver\u00f6ffentlichte Unit 42 seine erste Studie, die das sich entwickelnde Toolkit von Gamaredon dokumentiert und der Gruppe einen Namen gibt, und im Laufe der Jahre haben mehrere Forscher festgestellt, dass die Operationen und Targeting-Aktivit\u00e4ten dieser Gruppe mit russischen Interessen \u00fcbereinstimmen.<\/p>\n

Diese Verbindung wurde k\u00fcrzlich am 4. November 2021 best\u00e4tigt, als der Sicherheitsdienst der Ukraine (SSU) die F\u00fchrung der Gruppe \u00f6ffentlich f\u00fcnf Beamten des russischen F\u00f6deralen Sicherheitsdienstes (FSB) zuschrieb, die Posten auf der Krim zugewiesen waren. Gleichzeitig ver\u00f6ffentlichte die SSU auch einen aktualisierten technischen Bericht, der die von dieser Gruppe eingesetzten Werkzeuge und handwerklichen F\u00e4higkeiten dokumentiert.<\/p><\/blockquote>\n

Die Sicherheitsanalysten von Unit 42 fanden Beweise daf\u00fcr, dass Gamaredon im Rahmen der weit verbreiteten Angriffe auf die ukrainische Regierung und andere Organisationen sowie sogar auf eine westliche Regierungsbeh\u00f6rde in der Ukraine in den letzten 3 Monaten abzielte. Die Sicherheitsforscher identifizierten:<\/p>\n