Russische Hackergruppe soll deutsche Energieversorger aufs Korn genommen haben
Laut einem Bericht hat der Generalbundesanwalt Haftbefehl gegen einen russischen Hacker erwirkt, der unter anderem deutsche Energieversorger im Visier hatte.
(Bild: chuyuss/Shutterstock.com)
Der Generalbundesanwalt hat laut Recherchen von BR und WDR Haftbefehl gegen einen russischen Hacker erlassen, der an Operationen gegen die Netzwerke von Energieversorgern beteiligt gewesen sei. Pawel A. gehöre demnach zu einer unter anderem als "Berserk Bear" bekannten Hackergruppe, hinter der der russische Geheimdienst FSB stehen soll. Der Verdächtige soll unter anderem für einen Hack auf das Netzwerk der Firma Netcom BW im Sommer 2017 mitverantwortlich sein, einer Tochterfirma des deutschen Energieversorger EnBW.
Der Identifikation von Pawel A. seien jahrelange Ermittlungen des Landeskriminalamts Baden-Württemberg vorausgegangen. Im September 2021 habe der Generalbundesanwalt in Karlsruhe dann einen Haftbefehl erwirkt, der bis heute aber noch nicht öffentlich sei. Das Bundesamt für Verfassungsschutz habe auch den ein- und ausgehenden Internet-Verkehr der Hackergruppe zumindest teilweise überwachen können. Einer der von der Gruppe verwendeten Server habe sich in Deutschland befunden.
Zugriff über Wartungszugang
Den Hackern solle es etwa gelungen sein, Zugang zum Netzwerk der Netcom BW zu erlangen. EnBW erklärte demnach, dass die Angreifer zuvor einen externen Dienstleister gehackt hatten und sich dann über einen Wartungszugang den Zugriff zum Managementsystem des öffentlichen Telekommunikationsnetzes von Netcom BW verschafften.
"Die EnBW-Strom- und Gasnetzsteuerung war zu keinem Zeitpunkt betroffen, da diese in einem getrennten, extra gesicherten Netz geführt wird", führte das Unternehmen aus. Die Netcom BW ist ein regionaler Internetprovider, kümmert sich laut Bericht aber auch darum, wichtige interne Daten über die Stromversorgung über ein eigens abgesichertes Netzwerk zu leiten.
Spearphishing gegen E.on
Ebenfalls solle es die Hackergruppe auch auf den Stromkonzern E.on abgesehen haben. Für eine Spearphishing-Attack wurde ein 35-seitiges Dokument präpariert, das wie eine interne Unterlage eines im Bericht nicht namentlich genannten Beratungsunternehmens ausgesehen habe. Bei Öffnung des Dokuments mit dem Titel "Bewertung des langfristigen Investitionsbedarfs der dezentralen e.on-Stromnetze" sei dann versucht worden, Anmeldedaten des Nutzers an Server unter Kontrolle der Hacker auszuleiten. Technische Details führte der Bericht nicht aus.
E.on wollte laut Bericht keine Stellungnahme dazu abgeben. Das Beratungsunternehmen bestätigte, dass es im Sommer 2017 "einen Angriff auf eine Beteiligungsgesellschaft" gegeben habe.
Ebenfalls gehörten wohl auch Watering-Hole-Attacken zum Repertoire der Bande. Dafür wurden spezialisierte Websites, die von Mitarbeitern der Zielunternehmen häufig frequentiert werden, aufs Korn genommen. Das Ziel ist dabei, vertrauliche Informationen wie etwa Anmeldedaten abzugreifen. Sowohl die Site einer Firma, die für Versorgerunternehmen Webauftritte entwickelt, als auch die Site eines auf die Branche spezialisierten Softwareanbieters seien von der Hackergruppe entsprechend manipuliert worden. Den beiden Firmen sei das offenbar nicht bewusst gewesen.
US-Justizministerium klagt an
In einer im März öffentlich gemachten Anklage vom August 2021 beschuldigt das US-Justizministerium ebenfalls Pawel A. sowie zwei weitere Komplizen, zwischen 2012 und 2017 eine jahrelange und weltweite Hacking-Kampagne gegen Unternehmen des Energie-Sektors geführt zu haben. A. und seine mutmaßlichen Mittäter seien demnach Offiziere einer Einheit des russischen Geheimdienstes FSB namens Center 16. Es sei den Angeklagten vor allem darum gegangen, Zugriff auf Hardware und Software sogenannter SCADA-Systeme, also industrieller Steuerungssystem, zu erhalten. Ziel sei es, die Energieversorgung bei Bedarf zu unterbrechen oder zu beschädigen.
Die Kampagne soll dabei in zwei Phasen abgelaufen sein. In der ersten Phase zwischen 2012 und 2014 hätten sich die Angeklagten auf Supply-Chain-Attacken konzentriert, also die Kompromittierung von Herstellern solcher SCADA-Systeme sowie Software-Anbietern dafür. Glückte diese, wurde versucht, über Updates der Systeme auch eine Malware namens Havex einzuspielen. Die Malware nutzte man zum Öffnen einer Backdoor und zum Scan nach weiteren SCADA-Systemen. Insgesamt sei es im Rahmen der Kampagne gelungen, 17.000 SCADA-Systeme in den USA und anderen Ländern zu infizieren.
In Phase 2 zwischen 2014 und 2017 habe man sich unter anderem mehr auf Watering-Hole-Angriffe sowie Spearphishing-Attacken auf rund 3300 Personen konzentriert, die im Energiesektor in Unternehmen oder Behörden tätig waren. Dabei soll es 2017 etwa zur eine Kompromittierung des Büronetzwerks der Betreibergesellschaft eines Atomkraftwerks im US-Bundesstaat Kansas gekommen sein. Die Steuersysteme des Kraftwerks habe das aber nicht betroffen. Insgesamt habe die Gruppe neben den USA in 135 weiteren Ländern ihr Unwesen getrieben.
(axk)