Ukraine-Krieg: Cyber-Angriffe im Fokus – Ukraine war: focus on cyber attacks

Im Blickpunkt steht die Wirksamkeit destruktiver Malware, die Zuordnung von Cyber-Aktivitäten in Kriegszeiten, die Unterscheidung zwischen nationalstaatlichen, hacktivistischen und kriminellen Cyber-Offensiven, Cyber-Feindseligkeiten und ihre Auswirkungen auf Verteidigungspakte, die Fähigkeit von Cyber-Operationen, zur taktischen Kriegsführung beizutragen, und die erforderlichen Vorbereitungen. In einigen Bereichen sind die Auswirkungen auf die globale Cyber-Arena bereits sichtbar.

Das Aufkommen von Wipern

Auch die Wahrnehmung von Wiper-Malware, die den Betrieb von Zielsystemen unterbricht, hat sich stark verändert. Früher wurden Wipers nur selten eingesetzt. Im Laufe des letzten Jahres wurden Wiper-Malware jedoch sehr viel häufiger im Rahmen eskalierter Konflikte eingesetzt, und das nicht nur in Osteuropa.

Mit Beginn des russisch-ukrainischen Krieges kam es zu einem massiven Anstieg störender Cyberangriffe, die von mit Russland verbundenen Bedrohungsakteuren gegen die Ukraine durchgeführt wurden. Am Vorabend der Bodeninvasion im Februar wurden drei Wipers eingesetzt: HermeticWiper, HermeticWizard und HermeticRansom.

Ein weiterer Angriff richtete sich im April gegen das ukrainische Stromnetz, wobei eine neue Version von Industroyer eingesetzt wurde, der Malware, die bei einem ähnlichen Angriff im Jahr 2016 verwendet wurde. Insgesamt wurden in der Ukraine in weniger als einem Jahr mindestens neun verschiedene Wipers eingesetzt. Viele von ihnen wurden separat von verschiedenen russischen Geheimdiensten entwickelt und verwendeten unterschiedliche Lösch- und Umgehungsmechanismen.

Die mit Russland verbündete Hacktivisten-Gruppe From Russia With Love (FRwL) setzte Somnia gegen ukrainische Ziele ein. Die Malware CryWiper wurde gegen Gemeinden und Gerichte in Russland eingesetzt. Inspiriert von diesen Ereignissen breiteten sich die Wiper-Aktivitäten auch auf andere Regionen aus. Mit dem Iran verbundene Gruppen griffen Ziele in Albanien an, und eine mysteriöse Azov-Ransomware, bei der es sich in Wirklichkeit um einen zerstörerischen Datenwiper handelt, wurde weltweit verbreitet.

Mehrgleisige Cyber-Attacken

Betrachtet man die Angriffe gegen die Ukraine, so zeigt sich, dass einige der offensiven Cyber-Aktionen darauf abzielten, allgemeinen Schaden anzurichten und das tägliche Leben und die Moral der Zivilbevölkerung zu stören, während andere Angriffe gezielter waren, taktische Ziele verfolgten und mit der eigentlichen Schlacht koordiniert wurden.

Der Viasat-Angriff, der wenige Stunden vor der Bodeninvasion in der Ukraine erfolgte, sollte die Satellitenkommunikation stören, die Dienste für militärische und zivile Einrichtungen in der Ukraine bereitstellt. Bei dem Angriff kam ein Wiper namens AcidRain zum Einsatz, der darauf zugeschnitten war, Modems und Router zu zerstören und den Internetzugang für Zehntausende von Systemen zu unterbrechen. Ein weiteres Beispiel für einen taktisch koordinierten Angriff fand am 1. März statt. Als der Kiewer Fernsehturm von russischen Raketen getroffen wurde, die die Fernsehübertragungen in der Stadt unterbrachen, wurde ein Cyberangriff gestartet, um die Auswirkungen zu verstärken.

Taktische Hochpräzisions-Cyberangriffe erfordern Vorbereitung und Planung. Zu den Voraussetzungen gehören der Zugang zu den angegriffenen Netzwerken und häufig die Entwicklung maßgeschneiderter Tools für die verschiedenen Phasen des Angriffs. Es gibt Hinweise darauf, dass sich die Russen nicht auf eine lange Kampagne vorbereitet haben. Die Merkmale der Cyberoperationen, die in der Anfangsphase präzise Angriffe mit klaren taktischen Zielen umfassten, wie der Angriff auf Viasat, haben sich seit April verändert.

Der Einsatz zahlreicher neuer Tools und Wiper, der für die Anfangsphase der Kampagne charakteristisch war, wurde später größtenteils durch die schnelle Ausnutzung erkannter Gelegenheiten unter Verwendung bereits bekannter Angriffstools und Taktiken wie Caddywiper und FoxBlade ersetzt. Diese Angriffe zielten nicht darauf ab, im Einklang mit taktischen Kampfmaßnahmen zu handeln, sondern der ukrainischen Zivilbevölkerung im ganzen Land physischen und psychologischen Schaden zuzufügen.

Seit September 2022 sind die wöchentlichen virtuellen Angriffe auf die Ukraine von 1555 auf 877 gesunken, ein Rückgang von 44 Prozent. Cyber-Attacken auf NATO-Länder haben derweil in einigen Fällen um fast 57 Prozent zugenommen. CPR betrachtet Wiper, eine Schad-Software, sowie mehrgleisige Angriffe und den sogenannten Hacktivismus (Hacker-Aktivismus) als Hauptursachen für diese Wende.

Währenddessen stiegen die wöchentlichen Cyber-Attacken gegen Russland seit September 2022 kontinuierlich um neun Prozent an, von 1505 auf 1635. Estland verzeichnete einen Anstieg von 57 Prozent, Polen und Dänemark von 31 Prozent. Auch Großbritannien und die USA erlebten einen Anstieg von elf und sechs Prozent.

„Wir sehen eine deutliche Veränderung hinsichtlich der Richtung von Cyber-Angriffen zu einem bestimmten Zeitpunkt des Krieges“, so Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software, „denn ab dem dritten Quartal 2022 bemerkten wir einen Rückgang der Angriffe gegen die Ukraine, aber einen Anstieg der Angriffe gegen bestimmte NATO-Länder. Die Angriffe richten sich vor allem gegen NATO-Länder, deren Verhältnis zu Russland aufgrund der geografischen Nähe prekärer ist. Bei einigen dieser Angriffe handelt es sich um Malware-Attacken und solche, welche die Informationsbeschaffung rund um bestimmte politische, geopolitische und militärische Ereignisse zum Ziel haben.“

Aus den CPR-Daten geht hervor, dass ab September ein allmählicher, aber deutlicher Rückgang der Zahl der Angriffe pro Gateway in der Ukraine zu verzeichnen war. Auf der anderen Seite gab es einen deutlichen Anstieg der Angriffe gegen NATO-Mitglieder. Während die Angriffe gegen das Vereinigte Königreich und die USA mit 11 % bzw. 6 % nur geringfügig zunahmen, war der Anstieg gegen einige EU-Länder wie Estland, Polen und Dänemark, die sich in einer eskalierten Feindseligkeit gegenüber Russland befinden, mit 57 %, 31 % bzw. 31 % wesentlich stärker. Dies zeigt eine Verlagerung des Modus Operandi und der Prioritäten Russlands und mit Russland verbundener Gruppen, deren Fokus sich von der Ukraine auf die NATO-Länder verlagert, die die Ukraine unterstützen.

Hacktivismus

Die Reaktion der Ukraine auf die Cyberangriffe hat sich im vergangenen Jahr verbessert, und der Leiter des britischen Geheimdienstes bezeichnete sie als „die effektivste Cyberverteidigung der Geschichte“. Ein Grund für diesen Erfolg ist die Tatsache, dass die Ukraine seit 2014 wiederholt Opfer von Cyberangriffen geworden ist. Wie Lycurgus, der legendäre spartanische Gesetzgeber, bekanntlich warnte: „Wiederholte Angriffe auf dieselben Gegner könnten zu deren verbesserten militärischen Fähigkeiten führen.“

So waren beispielsweise die Auswirkungen des Indistroyer2-Angriffs auf den Energiesektor im März 2022 im Vergleich zum ersten Einsatz von Industroyer im Jahr 2016 begrenzt. Die Ukraine erhielt erhebliche Unterstützung von außen, um die Schäden dieser Cyberangriffe zu beheben. Mit Hilfe ausländischer Regierungen und privater Unternehmen verlagerte die Ukraine rasch einen Großteil ihrer IT-Infrastruktur in die Cloud, wodurch ihre Rechenzentren physisch von den Kampfgebieten entfernt wurden und zusätzliche Schutzschichten von Dienstleistern hinzukamen.

Die Gründung und Verwaltung der „IT-Armee der Ukraine“, einer Armee von freiwilligen IT-Spezialisten, hat den Hacktivismus verändert. Die neuen Hacktivistengruppen, die sich zuvor durch eine lockere Ad-hoc-Zusammenarbeit zwischen Einzelpersonen auszeichneten, haben ihren Organisationsgrad und ihre Kontrolle gestärkt und führen nun militärähnliche Operationen durch. Diese neue Arbeitsweise umfasst die Rekrutierung und Ausbildung, die gemeinsame Nutzung von Werkzeugen, nachrichtendienstliche Informationen und die Zuweisung von Zielen und vieles mehr. Die antirussischen Hacktivismus-Aktivitäten setzten sich im Laufe des Jahres fort und betrafen Infrastrukturen, Finanzinstitute und staatliche Einrichtungen.

Die Daten von Check Point Research zeigen, dass die Angriffe auf Organisationen in Russland seit September 2022 deutlich zugenommen haben, insbesondere auf den Regierungs- und Militärsektor in Russland.

Die meisten der neuen Hacktivistengruppen haben eine klare und konsistente politische Ideologie, die mit Regierungsnarrativen verbunden ist. Die prorussischen Hacktivisten konzentrieren sich nicht mehr in erster Linie auf ukrainische Ziele, sondern auf benachbarte NATO-Mitgliedstaaten und andere westliche Verbündete. Killnet führte gezielte DDoS-Angriffe gegen kritische Infrastrukturen in den USA durch, die sich gegen Gesundheitseinrichtungen, Krankenhäuser und Flughäfen in den USA richteten.

Die mit Russland verbundene Hacktivistengruppe NoName057(16) nahm die tschechischen Präsidentschaftswahlen ins Visier. Einige Cyberkriminelle waren gezwungen, sich den nationalen Bemühungen anzuschließen und mussten ihre kriminellen Aktivitäten einschränken.

Angriffe auf russische Unternehmen, die früher für viele Cyberkriminelle als tabu galten, haben nun zugenommen, und Russland hat mit einer beispiellosen Hacking-Welle zu kämpfen, die durch staatliche Aktivitäten, politischen Hacktivismus und kriminelle Handlungen verursacht wird. Die Grenzen zwischen nationalstaatlichen Aktivitäten, Hacktivismus und Cyberkriminalität verschwimmen immer mehr und sind immer schwieriger zu ziehen.

CPR berichtete über mehrere Kampagnen verschiedener APT-Gruppen, die den laufenden russisch-ukrainischen Krieg nutzten, um die Effizienz ihrer Kampagnen zu erhöhen, und zwar von Beginn des Konflikts an. Andere Nationen verstärkten ihre Spionageaktivitäten in Russland, um staatliche russische Verteidigungseinrichtungen ins Visier zu nehmen. Cloud Atlas nahm kontinuierlich russische und weißrussische Einrichtungen ins Visier.

In focus is the effectiveness of destructive malware, the attribution of cyber activity in wartime, the distinction between nation-state, hacktivist, and criminal cyber offensives, cyber hostilities and their impact on defense pacts, the ability of cyber operations to contribute to tactical warfare, and the preparations required. In some areas, the impact on the global cyber arena is already visible.

The emergence of wipers

The perception of wiper malware disrupting the operation of target systems has also changed dramatically. In the past, wipers were rarely used. Over the past year, however, wiper malware has been used much more frequently in the context of escalated conflicts, and not just in Eastern Europe.

With the start of the Russian-Ukrainian war, there was a massive increase in disruptive cyberattacks carried out by Russia-linked threat actors against Ukraine.

On the eve of the ground invasion in February, three Wipers were deployed: HermeticWiper, HermeticWizard, and HermeticRansom. Another attack targeted Ukraine’s power grid in April, using a new version of Industroyer, the malware used in a similar attack in 2016. In total, at least nine different wipers have been deployed in Ukraine in less than a year. Many of them were developed separately by different Russian intelligence agencies and used different deletion and evasion mechanisms.

The Russia-allied hacktivist group From Russia With Love (FRwL) used Somnia against Ukrainian targets. The CryWiper malware was used against municipalities and courts in Russia. Inspired by these events, Wiper activity spread to other regions. Iran-linked groups attacked targets in Albania, and a mysterious Azov ransomware, which is actually a destructive data wiper, was distributed worldwide.

Multi-pronged cyber attacks 

Looking at the attacks against Ukraine, it can be seen that some of the offensive cyber actions were aimed at causing general damage and disrupting the daily life and morale of the civilian population, while other attacks were more targeted, had tactical objectives, and were coordinated with the actual battle.

The Viasat attack, which occurred a few hours before the ground invasion of Ukraine, was intended to disrupt satellite communications that provide services to military and civilian facilities in Ukraine. The attack used a wiper called AcidRain, which was tailored to destroy modems and routers and disrupt Internet access for tens of thousands of systems. Another example of a tactically coordinated attack took place on March 1. When the Kiev television tower was hit by Russian missiles that disrupted television transmissions in the city, a cyberattack was launched to amplify the impact.

High-precision tactical cyberattacks require preparation and planning. Requirements include access to the networks under attack and often the development of tailored tools for the various phases of the attack. Evidence suggests that the Russians have not prepared for a long campaign. The characteristics of cyber operations, which in the early stages included precise attacks with clear tactical objectives, such as the attack on Viasat, have changed since April.

The use of numerous new tools and wipers that characterized the initial phase of the campaign was later largely replaced by the rapid exploitation of identified opportunities using already familiar attack tools and tactics such as Caddywiper and FoxBlade. These attacks were not aimed at acting in accordance with tactical combat measures, but at inflicting physical and psychological damage on Ukrainian civilians throughout the country.

Since September 2022, weekly virtual attacks on Ukraine have dropped from 1555 to 877, a 44 percent decrease. Cyber attacks on NATO countries, meanwhile, have increased by nearly 57 percent in some cases. CPR considers Wiper, a malware, as well as multi-pronged attacks and so-called hacktivism (hacker activism) as the main causes of this turnaround.

Weekly cyber attacks against Russia increased steadily by nine percent since September 2022, from 1505 to 1635, while Estonia saw a 57 percent increase and Poland and Denmark 31 percent. The U.K. and U.S. also experienced increases of eleven and six percent, respectively.

„We see a clear change in terms of the direction of cyber attacks at a certain point in the war,“ said Sergey Shykevich, Threat Intelligence Group Manager at Check Point Software, „because from the third quarter of 2022, we noticed a decrease in attacks against Ukraine, but an increase in attacks against certain NATO countries. The attacks are primarily against NATO countries whose relationship with Russia is more precarious due to geographic proximity. Some of these attacks are malware attacks and those aimed at gathering information around specific political, geopolitical, and military events.“

The CPR data shows that starting in September, there was a gradual but significant decrease in the number of attacks per gateway in Ukraine. On the other hand, there was a significant increase in attacks against NATO members. While attacks against the United Kingdom and the United States increased only slightly, by 11% and 6%, respectively, the increase against some EU countries, such as Estonia, Poland, and Denmark, which are experiencing escalated hostility toward Russia, was much greater, by 57%, 31%, and 31%, respectively. This shows a shift in the modus operandi and priorities of Russia and Russia-affiliated groups, whose focus is shifting from Ukraine to NATO countries that support Ukraine.

Hacktivism

Ukraine’s response to cyberattacks has improved over the past year, with the head of British intelligence calling it „the most effective cyber defense in history.“ One reason for this success is the fact that Ukraine has been a repeated victim of cyberattacks since 2014. As Lycurgus, the legendary Spartan lawmaker, famously warned, „Repeated attacks on the same adversaries could lead to their improved military capabilities.“

For example, the impact of the March 2022 Indistroyer2 attack on the energy sector was limited compared to the first Industroyer deployment in 2016. Ukraine received significant outside assistance to repair the damage from these cyberattacks. With the help of foreign governments and private companies, Ukraine quickly moved much of its IT infrastructure to the cloud, physically removing its data centers from combat zones and adding additional layers of protection from service providers.

The creation and management of the „IT Army of Ukraine,“ an army of volunteer IT specialists, has transformed hacktivism. Previously characterized by loose ad hoc cooperation between individuals, the new hacktivist groups have strengthened their level of organization and control and now conduct military-like operations. This new mode of operation includes recruitment and training, tool sharing, intelligence gathering and target assignment, and more. Anti-Russian hacktivism activity continued throughout the year, targeting infrastructure, financial institutions, and government entities.

Check Point Research data shows that attacks against organizations in Russia have increased significantly since September 2022, particularly against the government and military sectors in Russia.

Most of the new hacktivist groups have a clear and consistent political ideology linked to government narratives. The pro-Russian hacktivists no longer focus primarily on Ukrainian targets, but on neighboring NATO member states and other Western allies. Killnet conducted targeted DDoS attacks against U.S. critical infrastructure, targeting health care facilities, hospitals, and airports in the United States.

The Russia-linked hacktivist group NoName057(16) targeted the Czech presidential election. Some cybercriminals were forced to join the national effort and had to curtail their criminal activities.

Attacks on Russian companies, once considered taboo for many cybercriminals, have now increased, and Russia is dealing with an unprecedented wave of hacking caused by state activity, political hacktivism, and criminal activity. The lines between nation-state activities, hacktivism, and cybercrime are becoming increasingly blurred and difficult to draw.

CPR reported several campaigns by various APT groups that used the ongoing Russian-Ukrainian war to increase the effectiveness of their campaigns, starting from the beginning of the conflict. Other nations increased their espionage activities in Russia to target Russian state defense facilities. Cloud Atlas continuously targeted Russian and Belarusian facilities.