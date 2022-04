Eine russische Hackergruppe soll Ende vergangener Woche versucht haben, das Stromnetz in der Ukraine zu sabotieren. Das geht aus einem Bericht hervor, den die slowakische IT-Sicherheitsfirma Eset am Dienstag veröffentlichte. Eset schreibt in dem Bericht, mit ukrainischen Behörden zusammengearbeitet zu haben. Diese veröffentlichten ebenfalls ihre Erkenntnisse zum Vorgehen der Hacker. Betroffen von dem Angriff ist ein namentlich ungenannter Energieversorger in der Ukraine.

"Sandworm" sorgte bereits 2016 für Stromausfall

Bei den Hackern soll es sich um "Sandworm" handeln, eine Gruppe, die mit ihrer Schadsoftware bereits im Dezember 2016 für einen Stromausfall in Kiew gesorgt hatte. In einer Anklageschrift des US-Justizministeriums aus dem Jahr 2020 heißt es, dass die Hacker für den militärischen Geheimdienst Russlands (GRU) arbeiten. Sogar die Nummer der Einheit der Soldaten wird genannt: 74455.

"Hinter diesem Angriff steckt sehr wahrscheinlich eine Hackergruppe namens Sandworm", sagt auch Victor Zhora, ein für Cybersicherheit zuständiger hochrangiger ukrainischer Beamter, im Rahmen einer Pressekonferenz zu den aktuellen Geschehnissen. Zhora zufolge hatten es die Hacker darauf abgesehen, Umspannwerke anzugreifen. "In einigen Gegenden der Ukraine sollte es zu Stromausfällen kommen, um die Zivilbevölkerung der Elektrizität zu berauben. Und ich betone, dass es sich um zivile Infrastruktur handelt", sagte Zhora.

Der Angriff blieb ohne Konsequenzen, da die ukrainische Seite einen Hinweis von einer nicht genannten Stelle bekommen habe und so den Cyberangriff unterbinden konnte. "Wenn die Hacker erfolgreich gewesen wären und weitreichenden Schaden angerichtet hätten, dann hätten zwei Millionen Menschen keinen Strom gehabt", sagte Farid Safarov vom ukrainischen Digitalministerium, der ebenfalls an der Pressekonferenz teilnahm.

Angriffe auf so genannte kritische Infrastrukturen gelten als besonders schwerwiegend. Sobald der Strom fehlt, wird das öffentliche Leben quasi zum Stillstand gebracht. Supermärkte können Lebensmittel nicht kühlen, Wohnungen können nicht beheizt und Smartphones nicht geladen werden. Das Stromnetz zu hacken und für einen längerfristigen Ausfall zu sorgen, ist Experten zufolge schwierig.

Russisches Militär hackte wohl auch Satelliten-Netz

Der aktuelle Fall ist Teil einer ganzen Reihe von Cyber-Angriffen seit Kriegsbeginn, mit denen mutmaßlich russische Hacker versucht haben, Computernetzwerke in der Ukraine zu sabotieren. Mit einem der Hacks wurde die Kommunikation des Militärs behindert. Dafür manipulierten die Hacker den Betreiber des Satelliten-Netzwerks Viasat, wie dieser mitteilte. Der Angriff - der auf den russischen militärischen Geheimdienst GRU zurückgeführt wird, wie die Washington Post berichtet - hatte "große Verluste für die Kommunikation" für die Ukraine bedeutet, wie Victor Zhora kürzlich mitteilte. Der Hack legte jedoch auch in Europa weitflächig das Satelliten-Internet des Anbieters lahm, so dass Windkraftanlagen in Deutschland nicht mehr aus der Ferne angesteuert werden konnten.

Die ukrainischen Behörden übergaben Eset in der vergangenen Woche sowohl Spionage- als auch Sabotage-Software, die beim Cyberangriff gegen den Energieversorger eingesetzt worden sein sollen. Die Analyse von Eset zeigt, dass die Software einen ähnlichen Computercode verwendet wie jener, der während des Hackerangriffs auf das Stromnetz 2016 eingesetzt wurde. "Es ist auf alle Fälle die Sandworm-Gruppe", sagt Jean-Ian Boutin, der die Forschungsabteilung von Eset leitet, im Gespräch mit BR24. Der eingesetzte Computercode überschneide sich mit der Software aus 2016, Boutin spricht von einer "Evolution". "Dieses Werkzeug ist nicht öffentlich verfügbar. Die Hacker aktualisieren es seit 2016, also seit mehr als fünf Jahren."

Angriff sollte am 8. April starten

Die Software sei am 23. März für den Einsatz fertiggestellt worden. Zwar ließen sich solche Zeitmarken grundsätzlich fälschen, sagt Boutin, "doch wenn wir annehmen, dass sie nicht gefälscht sind, können wir ableiten, dass sie mindestens vor zwei Wochen den Entschluss gefasst hatten, die Software auch einzusetzen". Die Sabotage-Software sollte am Freitag den 8. April starten, um 16 Uhr Ortszeit. Also genau zu Beginn des Wochenendes sollte der Strom abgedreht werden.

Die Hacker hätten bereits weitreichenden Zugriff auf das Netzwerk des Energieversorgers gehabt, sagt Boutin. Das heißt, sie waren an zentralen Orten innerhalb des Netzwerkes und konnten von dort aus ihre Software verteilen. Wann genau dieser Zugriff stattgefunden haben soll, darüber kann Boutin keine Aussagen machen.

Von ukrainischer Seite aus heißt es, dass es zwei Angriffswellen gegeben habe. Die erste habe bereits Ende Februar stattgefunden. Damals hätten die Hacker die Systeme ausgekundschaftet, um Wochen später zurückzukehren und ihre Sabotage-Software zu platzieren und den Countdown zu starten. Wie genau die Hacker in das Netzwerk gekommen sind, sei unklar. Die russische Regierung hat sich bislang nicht offiziell zu dem Vorfall geäußert. Bislang wurde stets abgestritten, für Cyberangriffe in der Ukraine verantwortlich zu sein.