April 2022 |
220406 |
ENERGIE-CHRONIK |
Ein russischer Cyber-Angriff auf die satellitengestützte Kommunikation in der Ukraine hat nebenbei auch die Fernüberwachung und Fernsteuerung von 5.800 Windkraftanlagen des Herstellers Enercon lahmgelegt. Dieser Verdacht erhärtete sich Anfang April, nachdem das amerikanische IT-Sicherheitsunternehmen SentinelOne die verwendete Schadsoftware analysiert und ihr den Namen "Acid Rain" verliehen hatte. Der Cyber-Angriff erfolgte zeitgleich mit dem Beginn des russischen Überfalls auf die Ukraine am Morgen des 24. Februar. Er richtete sich gegen die "verbraucherorientierte Partition" des Satellitennetzwerks Ka-Sat, das im Auftrag des US-Unternehmens Viasat von der Eutelsat-Tochtergesellschaft Skylogic betrieben wird. Wie Viasat am 30. März als Ergebnis der bisherigen Untersuchungen mitteilte, müssen sich Unbekannte den Zugang zu terrestrischen Endgeräten des Satellitendienstes in der Ukraine verschafft haben. Dadurch hätten sie die Software der Empfang-Modems so manipulieren können, dass diese nicht nur für "mehrere Tausend Kunden in der Ukraine" unbrauchbar wurden, sondern auch für "Zehntausende anderer Festnetz-Breitbandkunden in ganz Europa".
Der Cyber-Angriff zielte demnach zwar auf die Ukraine, verursachte aber den größten Teil des Schadens bei anderen Nutzen des Satellitendienstes in Europa. Wie Enercon am 1. April mitteilte, waren europaweit rund 30.000 Satellitenterminals betroffen, die von Unternehmen und Organisationen aus unterschiedlichen Branchen genutzt werden. Dazu gehörten "5.800 Enercon-Windkraftanlagen in Zentraleuropa mit einer Gesamtleistung von über 10 Gigawatt". Inzwischen sei es gelungen, bei 1156 Windparks bzw. 90 Prozent der betroffenen Anlagen die Fernüberwachung und Fernsteuerung wieder herzustellen. Bei den restlichen 193 Windparks sei die Online-Anbindung weiterhin gestört. Man arbeite jedoch "in einer großangelegten konzertierten Aktion unter Hochdruck daran, das Problem zu beheben".
In der Ukraine scheint die Störung des Satellitennetzwerks Ka-Sat nicht weiter aufgefallen zu sein, weil sie in der Vielzahl ähnlicher Angriffe unterging, denen das Land von russischer Seite vor allem bei der Internet-Kommunikation ausgesetzt ist. Jedenfalls veröffentlichte die für digitale Sicherheit zuständige Regierungsbehöde SSSCIP ("State Service of Special Communication and Information Protection") dazu keine Mitteilung. Sie registrierte lediglich allgemein eine Zunahme von russischen Cyber-Attacken. Wie sie am 16. März mitteilte, griffen die russischen Hacker am häufigsten die Informationsressourcen von Regierungsbehörden, Institutionen und Unternehmen des Finanz- und Telekommunikationssektors an. Seit dem 15. Februar sei es allein zu mehr als 3000 sogenannten DDoS-Angriffen gekommen, bei denen Webseiten mit Anfragen geflutet werden, bis die Server zusammenbrechen. Eine beliebte Methode, um in die digitalen Systeme selber einzudringen und durch Malware zu beschädigen, sei die Versendung von Pishing-Mails. Im übrigen seien aber seit Beginn der russischen Invasion noch keine derart ausgefeilten Cyber-Angriffe gegen lebenswichtige Informationsinfrastrukturen der Ukraine registriert worden, wie dies zuletzt am 14. Januar der Fall war, als rund 70 Webseiten der Regierung lahmgelegt wurden.
Diese ausgefeilteren Methoden ließen aber nicht lange auf sich warten, nachdem es mit der militärischen Überwältigung der Ukraine nicht so klappte, wie man sich das anfangs im Kreml vorgestellt hatte. Zum Beispiel verfielen die russischen Cyber-Krieger Anfang April auf einen besonderen Trick, um ukrainische Nutzer zum Anklicken von Schadprogrammen zu veranlassen: Sie verschickten E-Mails mit einer Datei "Über Fälle von Verfolgung und Ermordung von Beamten der Staatsanwaltschaft durch das russische Militär in vorübergehend besetzten Gebieten". Das Öffnen dieser vermeintlichen Information über russische Kriegsverbrechen ermöglichte es den russischen Absendern, die volle Kontrolle über den betroffenen Computer zu erlangen.
Bereits vor Beginn der russischen Invasion häuften sich Angriffe auf die Kommunikationswege des ukrainischen Übertragungsnetzbetreibers Ukrenergo. Sie erreichten einen neuen Höhepunkt, nachdem dieser die Verbindung mit dem russischen Stromsystem gekappt hatte und auf seine Bitte hin ab 16. März mit dem westeuropäischen Verbundnetz synchronisiert worden war (220307). Allerdings gelang es den Russen nicht, erneut Stromausfälle wie am 23. Dezember 2015 und am 17. Dezember 2016 herbeizuführen. Damals war in drei Verteilnetzen der Westukraine sowie in Teilen der Hauptstadt Kiew der Strom ausgefallen. Ukrenergo hatte seitdem verstärkte Anstrengungen zur Erhöhung der Cybersicherheit beim Netzbetrieb unternommen, die sich nun offenbar auszahlten.
Die russischen Militärhacker blieben ihrerseits freilich auch nicht untätig. Ein speziell für Angriffe auf das Stromnetz entwickeltes Schadprogramm, das von der slowakischen Internetsicherheitsfirma Eset entdeckt und "Industroyer" benannt wurde, scheinen sie inzwischen weiterentwickelt zu haben. Am 12. April meldete SSSCIP die Verhinderung eines "schweren Cyberangriffs auf den ukrainischen Energiesektor", bei dem die Russen die Schadprogramme "Industroyer 2" und "CaddyWiper" verwendet hätten. "Industroyer 2" habe dabei für den direkten Angriff auf die Technik der Umspannwerke gedient, während "CaddyWiper" die flankierende Datenlöschung auf Windows-Computersystemen besorgte. Der Angriff sei in zwei Wellen vorbereitet worden. Die erste davon habe spätestens schon im Februar stattgefunden. Am Abend des 8. April hätte dann die zweite Angriffswelle mit der Aktivierung der Schadsoftware und Abschaltung der Umspannwerke erfolgen sollen, was aber noch rechtzeitig verhindert werden konnte.
"Die Untersuchung hat mit hoher Wahrscheinlichkeit ergeben, dass eine seit langem bekannte Hackergruppe namens Sandworm hinter diesem Angriff steckt", erklärte der stellvertretende SSSCIP-Chef Viktor Zhora. Bei dieser Gruppe handele es sich um russische Militärhacker, deren Ziel es gewesen sei, eine Reihe von Umspannwerken des Übertragungsnetzes lahmzulegen. Damit dies mittels "Industroyer 2" gelingen konnte, hätten auch Computer mit Windows-Betriebssystem, die Infrastruktur der Arbeitsstationen und mit Linux betriebenen Server zerstört werden müssen. "Leider war ein Teil der IT-Infrastruktur zu dem Zeitpunkt, als wir eingriffen, bereits betroffen", sagte Zhora. Die eingesetzten Spezialisten hätten deshalb gleichzeitig die weitere Ausbreitung der Malware verhindern und an der Wiederherstellung der ursprünglichen Software arbeiten müssen. Es sei aber trotzdem noch gelungen, die Schäden ohne Stromausfälle zu beheben.