Die angespannte Situation zwischen Ukraine und Russland ist endgültig eskaliert, nach mehreren Angriffen von russischer Seite hat der ukrainische Präsident Selenskyj den Kriegszustand ausgerufen.
Doch nicht nur Bodentruppen und Luftwaffe sind am Konflikt beteiligt, auf den die Welt blickt: Wie die IT-Sicherheitsfirma ESET beobachtet hat, wird die Ukraine auch auf IT-Ebene angegriffen.
Hunderte ukrainische Computer mit Malware infiziert
Auf Twitter teilt das Unternehmen, das ursprünglich aus der Slowakei stammt, seine Erkenntnisse und gibt immer wieder Updates. Zunächst seien diverse DDOS-Angriffe gegen ukrainische Websites erfolgt, jetzt zeigt sich, dass eine neue Malware zum Einsatz kommt, die Daten auf den befallenen PCs löscht. Laut ESET seien mehrere Hundert Geräte betroffen.
Am Nachmittag des 23. Februar hatten die Security-Profis die erste Probe der Malware entdeckt. „Der Zeitstempel für die PE-Kompilierung einer der Proben ist 2021-12-28, was darauf hindeutet, dass der Angriff möglicherweise seit fast zwei Monaten vorbereitet wurde.“ Wer hinter den Angriffen steckt, ist aktuell nicht geklärt.
Cyberattacken in der Ukraine: So funktioniert der „Hermetic Wiper“
Die Vorgehensweise der Angreifenden: Die Schadsoftware ist laut ESET mit einem Zertifikat signiert, das von einer – Recherchen der Nachrichtenagentur Reuters zufolge ziemliche obskuren – Firma aus Zypern namens Hermetica Digital stammt. Auf Twitter wird die Malware dementsprechend mittlerweile als „Hermetic Wiper“ bezeichnet. Durch die Signierung ist es für den „Hermetic Wiper“ leichter, Schutzmaßnahmen wie Virenscanner zu umgehen – er fällt durch das Raster.
„Der Wiper missbraucht legitime Treiber der Software Ease US Partition Master, um Daten zu beschädigen“, heißt es von ESET. Die Speichergeräte werden beschädigt und Dateien gelöscht. Beobachtungen von Silas Cutler zufolge, der Sicherheits-Forscher bei der IT-Firma Stairwell ist und sich an der entstandenen Twitter-Diskussion rund um die Malware beteiligt, wird außerdem auch der MBR zerstört. Das erschwert ein Booten und die Wiederherstellung von Dateien deutlich, macht es teils unmöglich.
Neben ESET warnt auch die Threat-Intelligence-Abteilung von Broadcoms Symantic vor der entdeckten Wiper-Malware.
Auf ein Phänomen, das möglicherweise mit den Attacken zusammenhängt, hat währenddessen The Register hingewiesen: Der US-amerikanische Online-Auftritt des ukrainischen Außenministeriums ist zur Zeit (Vormittag des 24. Februars 2022) nicht erreichbar. Die ukrainische Seite, die in Folge des vergangenen DDOS-Angriffs zusammen mit anderen Regierungsseiten ebenfalls zeitweise nicht erreichbar war, ist aktuell aber wieder regulär abrufbar.
Schon im Januar hatte es eine auffällige Cyberattacke gegen ukrainische Behörden und IT-Organisationen gegeben, damals hatte Microsoft die Angriffe entdeckt.