So wollten Sandworm-Hacker der Ukraine den Strom abdrehen – und scheiterten
Viktor Zhora, der stellvertretende Chef der ukrainischen IT-Sicherheitsbehörde, war der Stargast auf der Black-Hat-Konferenz im US-amerikanischen Las Vegas. Vom 6. bis zum 11. August 2022 traf sich dort die Cybersicherheitsbranche, um neue Entwicklungen zu besprechen und sich gegenseitig in Schulungen auf den Stand der Technik zu bringen.
Ukrainische Cyberabwehr erweist sich als schlagkräftig
Zhora nutzte das Forum mit Experten aus 111 Ländern, um das Thema der Kriegsführung im Cyberzeitalter plakativ zu beschreiben. Seit Ende Februar müsse sein Team so viele Hackerangriffe abwehren wie nie zuvor.
Dabei würden die Angriffe immer besser vorbereitet werden. Besonders aufwendig gestaltete sich demnach ein im April fehlgeschlagener Versuch der Hackergruppe Sandworm. Der hatte ein großes ukrainisches Umspannwerk zum Ziel.
Im „Erfolgsfall“ hätten die Hacker rund zwei Millionen Bürgerinnen und Bürgern den Strom abgedreht. Dass dies nicht gelang, hat viel mit der Schlagkraft der ukrainischen Cyberabwehr und der Unterstützung durch Technologiefirmen wie Microsoft, Cisco Talos und Eset zu tun.
Die dem russischen Militärgeheimdienst GRU zugerechnete Gruppe Sandworm hatte demnach umfangreiche Vorbereitungen getroffen, um in die Steuerung der ukrainischen Stromversorgung einzudringen. Ganz unerfahren waren die Hacker diesbezüglich nicht.
Sandworm hatte schon zweimal erfolgreich Blackouts verursacht
Schon 2015 und 2016 war es Sandworm gelungen, die ukrainische Stromversorgung zu sabotieren. Beim ersten Mal waren rund 230.000 Ukrainer und Ukrainerinnen für etwa sechs Stunden ohne Strom. Beim zweiten Mal konnte die Versorgung für 700.000 Betroffene schon nach einer Stunde wiederhergestellt werden.
In der Cybersecurity-Branche hatten die Angriffe seinerzeit für viel Aufmerksamkeit gesorgt. Entsprechend gab es ein hohes Maß an Wachsamkeit gegen weitere Attacken. Auch die damaligen Angriffswege hatten Experten wie jene der Sicherheitsfirma Eset rekonstruieren können.
Angriffe auf ukrainische Stromversorger waren bereits erwartet worden
Als Sandworm dann im April versuchte, mit einer neuen Version der alten Malware namens Industroyer, die speziell für Angriffe auf Stromversorger konzipiert wurde, zum Ziel zu gelangen, scheiterte der Versuch auf mehreren Ebenen, denn rein per Software lässt sich ein Stromnetz physisch nicht abschalten.
Bei der misslungenen Aktion kam der Ukraine ein Zufall zu Hilfe. So hatten die russischen Angreifer erwartet, zum geplanten Angriffszeitpunkt auf ein Netzwerk zu stoßen, in dem die meisten Computer noch in Betrieb sind – und damit entsprechend missbraucht und danach lahmgelegt werden können.
Tatsächlich waren die meisten Mitarbeitenden zu diesem Zeitpunkt aber schon seit zwei Stunden im Feierabend. Ihre Computer waren entsprechend abgeschaltet.