Die Entdeckung zerstörerischer Malware in der Ukraine ist ein offensichtliches Zeichen für die Eskalation des Konflikts im Cyberraum. Die jüngsten Angriffe zielten noch auf Regierungsserver und die Deaktivierung von Webseiten. Dies war ein psychologisches Spielchen, um die ukrainische Bevölkerung in Angst und Schrecken zu versetzen.
Ein Statement von Christian Have, CTO bei LogPoint:
Der Einsatz von Ransomware-ähnlicher Malware ohne Wiederherstellungsoption, die Festplatten löscht, ist eine neue Kategorie. Den bisherigen Berichten zufolge ist sie jedoch nicht destruktiv für kritische Infrastrukturen oder die Verteidigungsfähigkeit des Landes.
Diese Aktivitäten mit Cyberwar oder fortgeschrittenen Angriffen gleichzusetzen, ist töricht. Es wurden keine Regierungs-Services unterbrochen, die Kommunikation mit der Öffentlichkeit wurde über andere Kanäle fortgesetzt, vor allem über die Facebook-Seiten der Regierung. Und auch wenn diese Angriffe Nachrichtenwert haben, sind sie nur ein vorübergehendes Ärgernis.
Aus russischer Sicht handelt es sich um eine relativ kostengünstige Maßnahme mit geringem Schaden, die keine harte Reaktion nach sich ziehen würde. Dennoch sendet sie ein klares Signal über ihre Cyber-Fähigkeiten, macht sich gut in den Schlagzeilen - und übt möglicherweise Druck aus, um in den laufenden politischen Gesprächen eine neue Einigung zu erzielen.
Eine Befürchtung ist, dass die Angriffe, die wir in letzter Zeit gesehen haben, etwas anderes verdecken könnten, z. B. das Sammeln von Zugangsdaten als Vorbereitung für einen späteren größeren Angriff. So könnte der Angreifer beispielsweise Anmeldedaten gesammelt und dann die Website deaktiviert haben, als das operative Ziel erreicht war.
Diese Taktik wurde bereits von weißrussischen Bedrohungsakteuren angewandt, die im Verdacht stehen, an den Angriffen in der Ukraine beteiligt zu sein. Sie haben bereits früher Domains zum Sammeln von Anmeldedaten verwendet, um legitime Webmail-Anbieter, allgemeine Anmeldeseiten und die legitimen Websites ihrer Ziele zu fälschen.
Während der Ursprung der Angriffe noch nicht geklärt ist, sind die russischen Cyberfähigkeiten gut etabliert, insbesondere unter dem Dach des russischen Auslandsgeheimdienstes (Sluschba wneschnei raswedki, SVR) mit bemerkenswerten APT-Kampagnen wie APT 29, Cozy Bear und den Dukes.
Wir wissen, dass der russische Föderale Sicherheitsdienst (FSB) seinen Auftrag auf ausländische Geheimdienstoperationen und offensive Cybersicherheitsoperationen ausgeweitet hat, wobei sich mindestens ein bekanntes FSB-Team auf das Eindringen in Netzwerke des Energiesektors konzentriert.