3 Jahre NotPetya: Der Erpressungstrojaner, der keiner war

Inhaltsverzeichnis

An diesem Wochenende jährt sich der Ausbruch des NotPetya-Trojaners zum dritten Mal. Was zuerst wie eine neue Welle des Erpressungstrojaners Petya aussah, stellte sich später als geschickt getarnter staatlicher Cyberangriff heraus. Die Angreifer hatten es geschafft, die Update-Server der ukrainischen Steuer-Software MeDoc zu übernehmen und ein von ihnen kontrollierbares, bösartiges Update einzuspielen. Da die Software von quasi allen Firmen verwendet wurde, die in der Ukraine Steuern zahlen, war das Chaos enorm, als sich die Angreifer am Morgen des 27. Juni 2017 entschlossen, loszuschlagen.

Nicht nur in der Ukraine waren Firmen betroffen. Auch deutsche Unternehmen und Weltkonzerne, die Niederlassungen in dem Land betrieben, fingen sich über das automatische MeDoc-Update den Schädling ein. Erschwerend kam hinzu, dass der Update-Prozess fast überall mit Systemrechten und weitreichenden Netzwerkprivilegien ausgestattet war. Der Trojaner übernahm den lokal laufenden MeDoc-Prozess und konnte dann fast nach Belieben schalten und walten und sich in den Unternehmensnetzen verbreiten. Den befallenen Computern löschte er gründlich die Festplatte. Als Stunden später die Updates für Virenprogramme und Intrusion-Detection-Systeme eintrudelten, war es bereits viel zu spät. In vielen betroffenen Firmen war ein Großteil aller Computersysteme nicht mehr benutzbar.

Zum Arbeiten mit Stift und Papier gezwungen

Der Schaden für die Weltwirtschaft war beträchtlich. Konservative Schätzungen gehen von mindestens 10 Milliarden US-Dollar aus – mit einigem Abstand vor WannaCry war NotPetya wohl die bisher wirtschaftlich kostspieligste Cyberattacke überhaupt. Der Schaden bei betroffenen Firmen war riesig. Beim dänischen Industrie-Konglomerat Maersk wurde zehn Tage lang mit Papier und Stift gearbeitet, bis die IT komplett neu aufgesetzt war. In der Firma, die mit ihren riesigen Containerschiffen fast 20 Prozent des Welthandels abwickelt, brach das Chaos aus. Schiffe mussten auf teuren Ankerplätzen verharren, da die Ladung nicht mehr gelöscht werden konnte. Bohrinseln mussten den Betrieb einstellen.

Der Vorstandsvorsitzende von A.P. Møller-Maersk, Jim Hagemann Snabe, beschrieb den 27. Juni 2017 später als einschneidendes Erlebnis. "Alle fünfzehn Minuten erreicht eines unserer Schiffe mit zehn bis zwanzigtausend Containern einen Hafen irgendwo auf der Welt", man könne sich also vorstellen, was los gewesen sei, als plötzlich alle Computer ausfielen. "Ich werde den 27. Juni nie vergessen, ich wurde um vier Uhr morgens geweckt", so Hagemann Snabe ein halbes Jahr später auf dem Weltwirtschaftsforum in Davos. Auch beim US-amerikanischen Pharma-Riesen Merck, bei Beiersdorf in Hamburg und beim britischen Konkurrenten Reckitt Benckiser stand die Produktion still. Ebenfalls betroffen: Das niederländische Transportunternehmen TNT, der französische Industriekonzern Saint Gobain und eine große Anzahl von ukrainischen Firmen (unter anderem der Flugzeughersteller Antonov, Vodafone Ukraine und mehrere Großbanken). Im havarierten Atomkraftwerk Chernobyl fielen die Strahlenmessanlagen aus. Merck allein verbuchte 870 Millionen US-Dollar Verlust in Zusammenhang mit dem NotPetya-Angriff.

Verspätete Stunde Null im Cyberwar

Vielen Firmen, vor allem in Deutschland, öffnete NotPetya schlagartig die Augen bezüglich einer Art von Bedrohung, die die meisten bis dato nicht auf dem Schirm gehabt hatten: Staatliche Angreifer, die darauf abzielen, die Wirtschaft in anderen Ländern ins Chaos zu stürzen. Wo WannaCry von vielen noch als einfache Ransomware gesehen wurde, war spätestens nach NotPetya klar, dass jetzt auch Staaten versuchen, ganze Wirtschaftszweige lahmzulegen. Jakub Kroustek, Leiter des Threat Lab Teams beim Antiviren-Hersteller Avast sieht NotPetya in dieser Hinsicht als nicht unbedingt besonders an: "Staatlich bezahlte Cyberangriffe sind leider nichts Neues. Dieses Jahr jährt sich der Stuxnet-Angriff, bei dem eine Schadsoftware Anlagen des iranischen Nuklearprogramms lahmlegte, zum zehnten Mal. Es besteht kein Zweifel daran, dass NotPetya eine gefährliche Masseninfektion mit großem Zerstörungspotential war, aber am Ende wurde die Malware von ihrem älteren Bruder WannaCry überschattet."

Dass NotPetya ein staatlich finanzierter Angriff war, sieht Kroustek als relativ gesichert an. "WannaCry und NotPetya werden allgemeinhin als staatliche Angriffe gesehen. Ersterer Angriff wurde von Nordkorea und Letzterer von Russland durchgeführt", so der Avast-Forscher. Auch Kryptologe und IT-Sicherheits-Experte Bruce Schneier äußerte sich kürzlich in einem Webinar von heise online zum Thema Cyberwar ähnlich zum NotPetya-Angriff. Die Verortung der Urheber solcher Angriffe (in Fachkreisen meist als Attribution bezeichnet) sei weniger schwer, als viele denken, so Schneier. Bei staatlichen Angriffen habe man oft deutliche Hinweise auf die Urheber, die kämen in vielen Fällen aber nicht aus dem Malware-Code oder Netzwerk-Traffic-Analysen sondern aus Geheimdienstkreisen – mit anderen Worten durch gute alte Spionagearbeit. Bei NotPetya sei Russland eindeutig als Urheber ausgemacht worden, so Schneier. Damit bestätigt er entsprechende Aussagen des US-Geheimdienstes CIA zu dem Angriff.

Ein Angriff, der heute immer noch funktionieren könnte

Bruce Schneier, ähnlich wie Kroustek von Avast, sieht Stuxnet als den entscheidenden Punkt in der Geschichte, ab dem Firmen sich darauf hätten einstellen müssen, Kollateralschäden staatlicher Cyberangriffe zu werden. Schneier sieht diese Art der Kriegsführung durch Staaten gegen geopolitische Konkurrenten – also Cyberwar im eigentlichen Sinne – als ein unausweichliches Produkt der Entwicklung des Internets und der damit einhergehenden Verlagerung von Produktions- und Steuerprozessen in digitale Bereiche. Vor drei Jahren, mit NotPetya, kam diese Realität in den Köpfen vieler Firmenchefs an. Heute, in Zeiten des Pandemie-bedingten Home Office, ist diese Erkenntnis wichtiger denn je. Denn unsere Gesellschaft ist in den letzten drei Jahren nicht unbedingt belastbarer geworden, was Angriffe wie NotPetya und WannaCry angeht. Ganz im Gegenteil, IT-Sicherheitsexperten warnen, dass uns ein Angriff dieser Art heute wahrscheinlich härter denn je treffen und eher zu mehr als zu weniger Chaos führen würde.

Gegen eine Backdoor in einer wichtigen Unternehmenssoftware, die bei vielen Firmen im Einsatz ist und tief in deren Netzwerke integriert ist, wären auch heute wohl nur wenige Firmen gewappnet. Und wir wissen, dass es entsprechende Lücken für solche Angriffe in vielen Produkten gibt – heise Security berichtet fast wöchentlich über entsprechende Schwachstellen. Gut finanzierte staatliche Angreifer haben die Zeit, solche Zero-Days zu finden und bestehende Malware so umzuschreiben, dass Viren-Scanner für ein paar entscheidende Stunden den Schädling nicht entdecken. Genau wie es am 27. Juni 2017, mitten in den Feierlichkeiten zum Ukrainischen Tag der Verfassung, passiert ist – ein Tag, den nicht nur der Maersk-Chef so schnell nicht vergessen wird.

[Update: 28.07. 09:30 Uhr] Bei dem Unternehmen Merck handelte es sich um den US-amerikanischen Pharma-Riesen Merck & Co., nicht um das deutsche Unternehmen Merck KGaA. Die entsprechende Stelle wurde im Text korrigiert. (bme)