Ukraine-Überfall: Das Internet als Kriegsschauplatz

Forscher des Sicherheitsunternehmens ESET beobachteten am Tag vor der russischen Invasion in die Ukraine eine Angriffswelle mit verschiedenen Malware-Familien der Kategorie Wiper (löscht Daten) auf ukrainische Organisationen. Nur Stunden zuvor waren diverse ukrainische Regierungs- und Bankenwebseiten unter DDoS-Angriffen in die Knie gegangen. Außer der zeitlichen Nähe zum russischen Einmarsch gab es keine Hinweise auf die bekannten APT-Gruppen, denen man eine Operationsbasis und damit ein Herkunftsland zuordnen kann (eine systematische Übersicht von FireEye und weitere Quellen zum Cyberwar sind über ix.de/zq61 zu finden).

Die Angriffsvektoren der angegriffenen Organisationen variierten, in einem Fall verteilten die Täter den Wiper über die Domänen-Gruppenrichtlinien, nachdem sie das Active Directory übernommen hatten. In einem anderen Netzwerk entdeckte ESET einen Wurm, der den Wiper verteilte. Hunderte Rechner waren laut ESET mit dem Wiper infiziert, der auf den Systemen Daten löschte. Malware-Artefakte wie Zeitstempel deuten darauf hin, dass die Angriffe schon seit mehreren Monaten geplant waren. Als „Standardvorgehensweise“ bei Konflikten bezeichnete ESET die Strategie, durch DDoS- und Malware-Angriffe wichtige Kommunikations- und Informationskanäle zu unterbrechen.