Ukrainisches CERT beschreibt Angriffe auf kritische Infrastruktur
Das CERT der Ukraine hat offenbar Angriffe auf kritische Infrastrukur verhindert. Die Behörde beschreibt nun ihre Funde.
(Bild: vectorfusionart/Shutterstock.com)
Das CERT der Ukraine hat Angriffe auf kritische Infrastruktur des Landes beschrieben. Die russisch verortete Cyberbande Sandworm habe demnach Cybersabotage auf fast 20 KRITIS-Objekte geplant.
Anders als bei vielen Cyberwar-Geschichten aus dem Krieg zwischen Russland und der Ukraine handelt es sich dieses Mal nicht um Webseiten-Defacements oder (D)DoS-Angriffe auf reguläre IT-Systeme. Diese Angriffe hatten das Potenzial für echten Schaden, da sie sich etwa gegen kritische Infrastruktur wie den Netzbetreiber Kyivstar oder des Internet-Festnetzanbieters Ukrtelecom richteten. Allerdings berichtet das CERT nichts über konkrete Schäden und auch in den allgemeinen Nachrichten aus der Ukraine im fraglichen Zeitraum finden sich keine Berichte über diesbezügliche Ausfälle. Das spricht dafür, dass die Angriffe rechtzeitig abgewehrt wurden beziehungsweise nicht so kritisch waren, wie die Ziele vermuten lassen; vermutlich eine Mischung aus beidem.
Kompromittierte Lieferketten
Das CERT-UA beschreibt in einem Artikel, wie es beim Aufräumen von kompromittierten Rechnern diverse Backdoors, Malware und Hinweise auf Pläne der bösartigen Akteure entdeckt hat. Auf den infiltrierten Maschinen haben die IT-Forensiker etwa die Backdoor Queueseed (auch als Knuckletouch und Kapeka bekannt seit 2022) gefunden. Außerdem Linux-Varianten davon namens Biasboat und Loadgrip. Die haben sie auf Prozessautomationsrechnern entdeckt, wobei in einem Fall Biasboat offenbar für einen weiteren Server bestimmt war, da es dafür verschlüsselt und mit einer Machine-ID versehen war, die die Angreifer dem Zielserver zuvor gegeben haben.
In drei "Lieferketten" habe das CERT-UA kompromittierte Rechner gefunden. Diese hätten die Angreifer für die Fortbewegung in und der Entwicklung von Cyberangriffen auf Unternehmensnetze vorbereitet. So hätten die IT-Spezialisten auf den Rechnern vorbereitete PHP-Webshells sowie PHP-Tunnel gefunden, mit denen die Angreifer auf infiltrierte Systeme zugreifen können. In der Zeit vom 07. bis zum 15. März habe das CERT die identifizierten Unternehmen informiert und Gegenmaßnahmen eingeleitet. Bei der Bereinigungsaktion des CERT-UA konnten die Umstände der Erstinfektion herausgefunden und bösartige Software entfernt und analysiert sowie ein chronologischer Ablauf der Ereignisse erstellt werden. Zudem wurde Sicherheitstechnik installiert, da einige Linux-Backdoors bereits 2023 eingerichtet wurden.
Das CERT-UA erklärt weiter, dass die Angreifer mit hoher Wahrscheinlichkeit zu der kriminellen Vereinigung Sandworm gehören. Die nicht autorisierten Zugriffe auf die signifikante Anzahl an Wärme-, Wasser- und Energieversorger sei der Einschätzung des CERT zufolge zur Unterstützung von Raketenangriffen auf Infrastruktur in der Ukraine im Frühjahr 2024 erfolgt.
Lesen Sie auch
Kapeka: Neuartige Malware aus Russland?
Die Analyse des ukrainischen CERT schließt mit einer längeren Liste an Indicators of Compromise (IOCs, Hinweisen auf eine Infektion).
(dmk)