So wollten Sandworm-Hacker der Ukraine den Strom abdrehen – und scheiterten
Russischen Hackern misslingt Angriff auf Stromnetz der Ukraine. (Foto: Tonton/Shutterstock)
Viktor Zhora, der stellvertretende Chef der ukrainischen IT-Sicherheitsbehörde, war der Stargast auf der Black-Hat-Konferenz im US-amerikanischen Las Vegas. Vom 6. bis zum 11. August 2022 traf sich dort die Cybersicherheitsbranche, um neue Entwicklungen zu besprechen und sich gegenseitig in Schulungen auf den Stand der Technik zu bringen.
Ukrainische Cyberabwehr erweist sich als schlagkräftig
Zhora nutzte das Forum mit Experten aus 111 Ländern, um das Thema der Kriegsführung im Cyberzeitalter plakativ zu beschreiben. Seit Ende Februar müsse sein Team so viele Hackerangriffe abwehren wie nie zuvor.
Dabei würden die Angriffe immer besser vorbereitet werden. Besonders aufwendig gestaltete sich demnach ein im April fehlgeschlagener Versuch der Hackergruppe Sandworm. Der hatte ein großes ukrainisches Umspannwerk zum Ziel.
Im „Erfolgsfall“ hätten die Hacker rund zwei Millionen Bürgerinnen und Bürgern den Strom abgedreht. Dass dies nicht gelang, hat viel mit der Schlagkraft der ukrainischen Cyberabwehr und der Unterstützung durch Technologiefirmen wie Microsoft, Cisco Talos und Eset zu tun.
Die dem russischen Militärgeheimdienst GRU zugerechnete Gruppe Sandworm hatte demnach umfangreiche Vorbereitungen getroffen, um in die Steuerung der ukrainischen Stromversorgung einzudringen. Ganz unerfahren waren die Hacker diesbezüglich nicht.
Sandworm hatte schon zweimal erfolgreich Blackouts verursacht
Schon 2015 und 2016 war es Sandworm gelungen, die ukrainische Stromversorgung zu sabotieren. Beim ersten Mal waren rund 230.000 Ukrainer und Ukrainerinnen für etwa sechs Stunden ohne Strom. Beim zweiten Mal konnte die Versorgung für 700.000 Betroffene schon nach einer Stunde wiederhergestellt werden.
In der Cybersecurity-Branche hatten die Angriffe seinerzeit für viel Aufmerksamkeit gesorgt. Entsprechend gab es ein hohes Maß an Wachsamkeit gegen weitere Attacken. Auch die damaligen Angriffswege hatten Experten wie jene der Sicherheitsfirma Eset rekonstruieren können.
Angriffe auf ukrainische Stromversorger waren bereits erwartet worden
Als Sandworm dann im April versuchte, mit einer neuen Version der alten Malware namens Industroyer, die speziell für Angriffe auf Stromversorger konzipiert wurde, zum Ziel zu gelangen, scheiterte der Versuch auf mehreren Ebenen, denn rein per Software lässt sich ein Stromnetz physisch nicht abschalten.
Bei der misslungenen Aktion kam der Ukraine ein Zufall zu Hilfe. So hatten die russischen Angreifer erwartet, zum geplanten Angriffszeitpunkt auf ein Netzwerk zu stoßen, in dem die meisten Computer noch in Betrieb sind – und damit entsprechend missbraucht und danach lahmgelegt werden können.
Tatsächlich waren die meisten Mitarbeitenden zu diesem Zeitpunkt aber schon seit zwei Stunden im Feierabend. Ihre Computer waren entsprechend abgeschaltet.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team