Mittwoch, Oktober 30

Tagelang kämpfte der grösste ukrainische Telekomanbieter gegen einen Ausfall von Telefonie und Internet. Dieser geht wohl auf eine Attacke des russischen Militärgeheimdienstes zurück.

Ein offensichtlich aus Russland gesteuerter Hackerangriff auf den grössten Mobilfunkanbieter der Ukraine hat die Bevölkerung in den letzten drei Tagen vor grosse Probleme gestellt. Die meisten der 24 Millionen Kunden von Kyivstar konnten laut Angaben des Unternehmens erst am Freitagmorgen wieder über ihre Handys unterwegs auf das Internet zugreifen.

Das Land ist stark digitalisiert, die meisten Dienstleistungen funktionieren über das Handy. Probleme gab es etwa mit der Verbindung zu Banken und Postdiensten. Auch das System, das die Bevölkerung vor russischen Luftangriffen warnt, war betroffen: Laut einem Uno-Bericht gab es Ausfälle in achtzig Ortschaften. Ohne Datenverbindung funktionierte auch die Warn-App auf den Mobiltelefonen nicht, die über das Kyivstar-Netz laufen.

Der stellvertretende Leiter des ukrainischen Militärgeheimdienstes Andri Jusow sprach von einer «Wiederholung und Weiterführung der terroristischen Praktiken gegen zivile Infrastruktur» durch Russland. Die Armee sei weniger stark betroffen, weil sie an der Front über andere Kommunikationskanäle verfüge. Dort setzen die Streitkräfte stark auf das Satellitensystem Starlink. Allerdings ist auch klar, dass die Soldaten für ihre Kommunikation untereinander und mit ihren Angehörigen zivile Netze verwenden.

Militärgeheimdienst greift immer wieder Infrastruktur an

An einer russischen Urheberschaft des Cyberangriffs bestehen keine Zweifel. Die ukrainische Cybersicherheitsbehörde SSSCIP verweist auf ein Bekennerschreiben, das die Gruppe Solnzepjok auf Telegram veröffentlicht hat. Dort sind auch Bildschirmaufnahmen zu sehen, die das Eindringen in die IT-Systeme von Kyivstar belegen sollen. Ihre Echtheit lässt sich extern nicht überprüfen.

Bei Solnzepjok handelt es sich laut ukrainischen Behörden um eine Tarnorganisation des russischen Militärgeheimdienstes GRU mit Verbindungen zur Cybereinheit Sandworm. Die IT-Sicherheitsfirma Mandiant schreibt auf Anfrage, die Gruppe Solnzepjok sei wahrscheinlich vom GRU erfunden worden, um Operationen in der Öffentlichkeit zu verschleiern. Microsoft geht zumindest von einer Zusammenarbeit von Solnzepjok und Sandworm aus.

Dass die Gruppe Sandworm hinter dem Angriff steht, erscheint höchst plausibel. Diese Einheit des GRU ist berüchtigt für ihre Attacken auf zivile Infrastruktur, insbesondere die Stromversorgung. Die meisten derartigen Cyberangriffe in der Ukraine gehen auf das Konto von Sandworm.

Bei der Attacke auf das IT-System von Kyivstar dürfte es sich um den schwerwiegendsten Cyberangriff auf eine zivile Infrastruktur seit dem 24. Februar 2022 handeln. In den ersten Wochen nach der russischen Invasion hatte eine Cyberattacke etwa die Kommunikation über das Satellitensystem Viasat gestört. Versuche, die Stromversorgung zu unterbrechen, konnten die Ukrainer abwehren.

Hackerattacken ohne direktes militärisches Ziel

Bemerkenswert ist ein Cyberangriff auf das ukrainische Stromnetz im Herbst 2022, der erst kürzlich publik wurde und ebenfalls Sandworm zugeschrieben wird. Dabei gelang es den Angreifern, in mehreren Unterwerken den Strom auszuschalten. Wie viele Personen betroffen waren, ist nicht bekannt. Jene Attacke ereignete sich gleichzeitig mit intensiven russischen Raketenangriffen auf die Energieversorgung. Das Ziel Russlands war, die Bevölkerung in den ukrainischen Städten zu zermürben. Ein direktes militärisches Ziel hatten die Aktionen nicht.

Die Attacke auf Kyivstar weist hier eine Parallele auf. Ein direkter militärischer Nutzen ist nicht erkennbar. Hingegen ist augenfällig, dass sie mit einer Intensivierung von Angriffen mit Raketen, Marschflugkörpern und Drohnen auf die grossen ukrainischen Städte zusammenfällt. Diese Woche kam es jede Nacht zu kleineren und grösseren Attacken. Die gleichzeitige Lahmlegung des mobilen Internets erhöht die Verunsicherung in der Bevölkerung.

Die Probleme bei den Luftangriff-Warnsystemen deuten darauf hin, dass diese teilweise digital über Server von Kyivstar laufen. In den letzten Tagen kam es zudem zu seltsamen Verzögerungen: Die Sirenen in Kiew gingen jeweils erst los, nachdem die Verteidigungssysteme ihre Ziele bereits abgeschossen hatten. Ob es einen Zusammenhang mit der Präsenz von Hackern in den Systemen gibt, bleibt allerdings spekulativ.

Haben die Hacker das System zuvor ausspioniert?

Die IT-Systeme von Kyivstar galten als gut gesichert. Der ukrainische Cybersicherheits-Experte Olexi Baranowski geht deshalb von einer Vorbereitungszeit von mehreren Monaten aus. Kyivstar habe durch die Attacke zweifellos Verluste erlitten, aber das Verhältnis von Aufwand und Ertrag stimme für die Angreifer, so sie denn mit dem GRU verbunden seien, kaum. «Hat der Angriff einen Einfluss auf die Verteidigungsfähigkeit der Ukrainer? Nein», meint Baranowski dezidiert.

Auch ein früherer stellvertretender Direktor der SSSCIP, Wiktor Schora, fragt auf X, weshalb die Russen die Infrastruktur beschädigten, statt die Daten von Kyivstar langfristig auszuspionieren. Allerdings ist gar nicht sicher, dass es beim Angriff nicht doch in erster Linie doch um Spionage ging.

Denkbar ist, dass sich die Angreifer bereits seit längerem in den IT-Systemen von Kyivstar aufgehalten und dabei Informationen abgegriffen haben. Erst als sie aufgrund technischer Hinweise davon ausgehen mussten, entdeckt worden zu sein, aktivierten sie dann möglicherweise eine Schadsoftware.

Ob ein solches Szenario plausibel ist, wird erst die technische Untersuchung des Vorfalls zeigen. Zumindest ist bekannt, dass die Gruppe Sandworm laut dem ukrainischen Geheimdienst SBU seit Frühjahr 2023 immer wieder Versuche unternommen hat, militärische Kommunikationsinfrastruktur und die Positionen von Armee-Einheiten auszuspionieren.

Exit mobile version