Cyber-Konflikt kann jederzeit ausufern

Im realen Krieg zwischen Russland und der Ukraine ist die Lage weiter unübersichtlich. Russische Streitkräfte heben mehrere Orte besetzt, andererseits hat die ukrainische Armee den Flughafen Kiew wieder unter ihre Kontrolle gebracht. Die ukrainische Regierung hat eine Anleitung für die Herstellung von Molotow-Cocktails auf sozialen Medien veröffentlicht.

Hitesh Sheth, Gründer und CEO von Vectra AI, kommentiert die Folgen des nun heißen Konflikts zwischen Russland und der Ukraine aus Sicht eines IT-Sicherheitsexperten:

„Der Krieg, den wir im Fernsehen sehen, ist nur ein Bruchteil des Konflikts. Cyberwaffen fügen den ukrainischen Computernetzwerken, insbesondere den Finanz- und Militärsystemen, mindestens ebenso großen Schaden zu. Wir werden nie einen anschaulicheren Beweis dafür haben, dass offensive Cyberaktionen jetzt eine Erstschlagtaktik sind, die der kinetischen Kriegsführung gleichgestellt ist.

Der ernüchternde Unterschied: Der konventionelle Krieg wird zwischen Nationalstaaten geführt. Ein Cyberkrieg birgt ernsthafte Risiken für private Interessen, auch wenn diese nur ungern zu Kombattanten werden. Ein eskalierender Cyberkonflikt kann zu unvorhergesehenen Folgen und Opfern führen. Niemand kann sicher sein, dass er nur Zuschauer bleibt.

Angesichts der Ereignisse, die wir in Echtzeit beobachten, kann sich daher keine öffentliche oder private Institution entspannte Selbstzufriedenheit leisten. Dies ist ein alarmierender Beweis dafür, dass die veraltete Cyberabwehr, die sich auf den Perimeterschutz konzentriert, im Ernstfall versagt. Sicherheit beginnt zu Hause, und private Interessen können sich nicht auf staatlichen Schutz verlassen. Es gilt jetzt die Cyberabwehr zu überprüfen und verstärken und der KI-gestützten Erkennung und Reaktion Priorität einzuräumen. Dies wird zur Stabilität in einer besorgniserregenden Zeit beitragen.“

Lavi Lazarovitz, CyberArk Labs, ergänzt: „CyberArk Labs hat das Auftauchen der HermeticWiper genannten Wiper-Malware verfolgt, die auf die Infrastruktur der Ukraine abzielt. Bislang hat unser Team einige spezifische Merkmale identifiziert, die diese Malware einzigartig machen. Dazu gehört die Tatsache, dass die Angriffe bisher sehr zielgerichtet waren und dass die bisher beobachteten Infektionen kompromittierte Identitäten nutzen, um sich lateral auszubreiten.

Vor allem scheint die Verteilung des Wipers keine Schwachstellen in Lieferketten auszunutzen oder andere „Super Spreader“-Techniken zu verwenden. Das bedeutet, dass die Bedrohung erst einmal nicht sofort auf andere Regionen übergreifen wird. In einem bekannten Fall wurde die Ransomware über eine Gruppenrichtlinie im Active Directory verteilt – die Angreifer hatten also privilegierten Zugriff auf das Active Directory. Ein solches Vorgehen ist bei gezielten, von Menschen ausgeführten Attacken deutlich üblicher und kam beispielsweise auch bei Kaseya zum Einsatz.

Erwähnenswert ist, dass der Wiper hohe Privilegien auf dem kompromittierten Host nutzt, um den Host „unbootbar“ zu machen. Dafür überschreibt er den Boot Record und die Einstellungen für den Systemstart, löscht Gerätekonfigurationen und Schattenkopien (Backups). Der Wiper scheint so konfiguriert zu sein, dass er Domänencontroller nicht verschlüsselt, damit die Domäne aktiv bleibt. So kann die Ransomware gültige Anmeldeinformationen zur Authentifizierung bei Servern verwenden und diese verschlüsseln. Dies unterstreicht, dass die Angreifer kompromittierte Identitäten nutzen, um auf das Netzwerk zuzugreifen und/oder sich lateral zu bewegen.“