Der wahre Hackback – Ukrainische IT-Armee meldet Erfolge

Traditionell halten sich staatliche Stellen, die in Sachen Cyber offensiv unterwegs sind, mit Verlautbarungen über Erfolge und Misserfolge zurück. Die Öffentlichkeit erfährt im Allgemeinen eher zufällig oder über Umwege Details über Ziele, Angriffskampagnen und mögliche oder tatsächliche Impacts – wenn überhaupt.

Anders in der Ukraine, wo wieder einmal die durch den Krieg ausgelöste Zeitenwende deutlich wird. Nicht nur, dass der ukrainische Vizepremier und Minister für digitale Transformation, Mychajlo Fedorow, zwei Tage nach dem Überfall auf sein Land auf Twitter zur Bildung einer Cyber-Armee aufgerufen hat. Nun meldet der Pressedienst seines Ministeriums gar die aktuellen Zahlen zur Angriffskampagne, diesmal auf dem eigenen Telegram-Kanal.

So sollen im Laufe der letzten Woche mehr als 400 russische Online-Ressourcen angegriffen worden sein. Betroffen waren laut ukrainischen Angaben viele regionale Medienseiten, aber auch das neu geschaffene russische Pendant zu Apples App Store und Google Play, NashStore. Insgesamt sollen seit Beginn der Invasion bzw. seit Gründung der IT-Armee aus ukrainischen und internationalen Spezialistinnen und Spezialisten rund 2.000 russische Assets attackiert worden sein, zum Teil mehrfach. Die ukrainische Seite nennt dies „Präventivschläge gegen Cyber-Positionen.“

Damit könnte ein neues Kapitel eingeleitet worden sein im Bereich Cyberwar, wenn sich verstetigt, dass Cyberoperationen nicht nur klandestin, sondern auch öffentlichkeitswirksam in der Medienschlacht vor- und zum Einsatz kommen.

https://www.unian.ua/techno/communications/ukrajinska-it-armiya-za-tizhden-atakuvala-ponad-400-rosiyskih-onlayn-resursiv-11838027.html

Hybrider Cyberkrieg: Angriffe auf die Ukraine – und Westeuropa?

Seit Jahren gibt es immer wieder Cyberangriffe auf Systeme und kritische Infrastrukturen in der Ukraine, etwa auf die Energieversorgung 2015 und 2016. Einige davon konnten mit ausreichender Sicherheit russischen Akteuren zugeordnet werden, bei anderen wird dies nur vermutet.

Nun, mit dem Einmarsch russischer Truppen in die Ostukraine, wird die Sorge um eine Eskalation auch im Cyberraum immer größer. Eine neue Angriffswelle auf ukrainische Organisationen hat in den letzten Tagen bereits stattgefunden. Diesmal waren das Verteidigungsministerium und zwei Banken die Ziele von DDoS-Angriffen; Russland wird auch hier hinter den Angriffen vermutet.

Weiterhin gibt es Berichte, dass russische Hackergruppen aktiv Ziele in Amerika auskundschaften, um auf mögliche Sanktionen gegen Russland reagieren zu können. Und auch deutsche Sicherheits- und Zivilschutzbehörden sind alarmiert, inwieweit hiesige und sonstige europäische Infrastrukturen ins Visier geraten werden.

Die nächsten Wochen könnten also zeigen, ob unsere Vorbereitungen der letzten Jahre für derartige Szenarien ausreichend waren oder nicht.

https://www.tagesspiegel.de/politik/haben-alarmstufe-rot-sicherheitsbehoerden-fuerchten-massive-attacken-russischer-hacker/28091330.html

HiSolutions Research

Gestorben MIT, nicht AN Cyber

Im Fall der Patientin, die nach verschiedenen, auch internationalen Berichten wegen eines Cyberangriffs auf die Uniklinik Düsseldorf bedauerlicherweise verstorben war, müssten wir nun zurückrudern – wenn wir hier im Digest nicht schon im vergangenen September zur Vorsicht gemahnt hätten. Auch die Staatsanwaltschaft ist inzwischen zu dem Schluss gekommen, dass der Tod nicht ursächlich mit dem fehlgeleiteten Angriff zusammenhing, der eigentlich nur die Universität hätte treffen sollen.

Zukünftig müssen wir jedoch damit rechnen, dass Tod und Cyber immer häufiger aufeinandertreffen werden, einfach schon aufgrund der Statistik bei immer stärkerer Abhängigkeit von IT in allen Bereichen. Wie wollen wir als Gesellschaft damit umgehen?
Zwei Sichtweisen sind dabei nicht hilfreich: Zum einen das Verteufeln des Computers. Es ist richtig: Mit zunehmender Abhängigkeit von Rechnern und Netzen handeln wir uns zusätzliche Risiken ein. Sonst würden Sie diesen Digest übrigens gar nicht lesen, ich ihn vermutlich nicht schreiben. Und es ist sicher wichtig, jeden Todesfall zu analysieren und die allgemeine Entwicklung zu beobachten. Die Häufung von Todesfällen im Straßenverkehr seit den 50er Jahren hat zu Recht zu immer weiter verschärften Regeln beim Fahren geführt. Das ist jedoch nicht dasselbe, wie sensationslüstern auf die ersten Totgecyberten zu warten.

Auf der anderen Seite sollten wir der Versuchung widerstehen, das Thema kleinreden zu wollen. Das Beispiel Corona lehrt uns, dass es genug Menschen gibt, die ihre Ängste durch „Wegerklären“ zu verdrängen versuchen. Wenn innerhalb weniger Monate 150.000 US-Amerikanerinnen und Amerikaner zufälligerweise alle „mit“ Corona, aber „an“ Lungenentzündung sterben, dann ist dieses Ding möglicherweise doch nicht so „harmlos“ wie die im Übrigen auch nicht selten tödlich endende echte Grippe. Genauso muss uns eine Zunahme von Todes- und Unfällen und übrigens auch schon von near misses, bei denen der Computer zwar nicht „schuld“, aber beteiligt war, aufhorchen und die Risiken überdenken lassen. 

Haben wir also, sobald wir Corona überwunden haben, in den nächsten Jahren ein ruhiges, waches Auge auf das Sterben (an und) mit Cyber. Bitte bleiben Sie gesund!

HiSolutions Research

Sie sind unter uns – Cyber-Einheiten in der EU

Einige Beobachter haben es länger schon vermutet, nun ist es Gewissheit: Staatliche Akteure haben begonnen, dezentrale Cyber-Einheiten in Europa zu stationieren. Nun wurde bekannt, dass tschechische Sicherheitsbehörden bereits 2018 eine Gruppe ausgehoben haben, die unter dem Deckmantel des Handels mit IT über Jahre verdeckte Cyberoperationen auf dem Boden der Tschechischen Republik bzw. von diesem aus durchgeführt hatte. Wie die Analyse des renommierten OPSEC- und Cyberspionageexperten „The Gruc“ – kaum jemand kennt den Klarnamen des Südafrikaners – zeigt, wurden die russischstämmigen Personen, die teilweise über tschechische Pässe verfügten, quasi als „freie Mitarbeiter“ des russischen Inlandsgeheimdienstes FSB geführt, von diplomatischen Fahrzeugen aus mit Technik versorgt und vermutlich auch kontrolliert.

Das Rezept „People. Ideas. Hardware. In that order.“ des Militärstrategen John Boyd ist also bereits von der Russischen Föderation – und anzunehmenderweise weiteren Akteuren – auf eine neue Ebene gehoben worden. Zwar ist Geolokation für Cyberangriffe weniger relevant als für andere Waffengattungen, Staaten können jedoch auf diese Weise kostengünstig und risikoarm ihre Cyber-Zweitschlagskapazität hochfahren und geografisch verteilen.

Neu ist also: Akteure können auch „Auftragnehmer“ in anderen Ländern sein. TTPs (Tactics, Techniques and Procedures, anhand derer Angreifergruppen teilweise erkannt und ihre Aktionen u. U. vorausgesagt werden können) passen dann besonders schlecht zum üblichen Fußabdruck des Auftraggebers. Sie können sich in relativ kurzer Zeit frei bewegen und die logistischen Anforderungen sind extrem niedrig. Zeit für die Verteidiger, sich hierauf einzustellen.

https://gru.gq/2019/10/24/fsb-deploys-cyber-units-inside-europe-for-years/