Blackout: Wie Hacker der Ukraine den Strom abdrehten

21. Jänner 2016, 10:52
29 Postings

Vor Weihnachten kam es in zahlreichen Regionen zu Stromausfällen durch Cyberangriffe – ein Stand der Dinge

Zu Beginn der Weihnachtszeit sorgte ein großflächiger Stromausfall in der Ukraine für Aufregung. Viele tausend Menschen saßen über Stunden hinweg im Dunklen. Bald stellte sich heraus, dass der Blackout keinem technischen Gebrechen oder einem Wetterereignis geschuldet war, sondern womöglich einem Cyberangriff zuzuordnen sei.

Doch längst sind nicht alle Details bekannt. Der ukrainische Geheimdienst will Hinweise entdeckt haben, dass russische Hacker hinter den Ausfällen stecken. Wired hat die bisherigen Ereignisse und Erkenntnisse zusammengefasst.

Ablauf

Gegen fünf Uhr Nachmittags Ortszeit am 23. Dezember meldete der Energieversorger der Verwaltungsregion Ivano-Frankiwsk, gelegen im Südosten der Ukraine, auf seiner Website, dass es in der gleichnamigen Regionalhauptstadt zu einem Stromausfall gekommen sei. Da man die Ursache noch nicht kenne, solle niemand die Hotline anrufen, man könnte nicht prognostizieren, wann die Versorgung wiederhergestellt sei.

Kurz darauf gab man bekannt, dass der Blackout weitreichender sei, als zuvor angenommen. Acht Bezirke der Region waren betroffen. Während in der Hauptstadt selbst die Lichter wieder angingen, dauerte die Wiederherstellung außerhalb deutlich länger.

Monitoring-System überlistet

Schließlich meldete die Stromfirma, dass der Ausfall wahrscheinlich durch "Außenstehende" verursacht worden sein dürfte und das Callcenter aufgrund massenhafter Anrufe technische Probleme habe. Auch ein weiteres Energieunternehmen, Kyivoblenergo, meldete ähnliches. Hier waren 80.000 Kunden plötzlich vom Strom getrennt und auch hier war der Telefonservice durch ein Bombardement an Anrufen praktisch außer Gefecht gesetzt.

Es folgten Medienberichte darüber, dass die digitalen Einbrecher nicht nur Stromausfälle verursacht hätten, sondern auch Monitoring-Systeme lahmgelegt hätten. Anscheinend war es ihnen gelungen, die ausgelieferten Daten "einzufrieren", sodass Operatoren die Ausfälle erst mit Verspätung bemerkten. Dazu sei es ihnen gelungen, aus der Ferne Schalter in Umspannwerken umzulegen, sodass Mitarbeiter dort hin fahren und das Problem vor Ort beheben mussten.

TDoS-Angriffe auf Callcenter

Weitere Details nennt Nikolai Koval, ein ehemaliger Mitarbeiter des ukrainischen CERT, der den betroffenen Unternehmen bei der Aufarbeitung der Vorfälle assistiert. Er spricht davon, dass die Call Center zeitgleich zum Beginn der Stromsabotage mit TDoS-Attacken, also telefonischen Denial-of-Service-Angriffen, eingedeckt worden waren.

Im Klartext: Die Kundenhotline wurde mit einer enormen Zahl an Fake-Anrufen bombardiert, die es Betroffenen beinahe unmöglich machte, in die Leitung zu kommen. Koval erklärt, dass die falschen Anrufe allem Anschein nach aus dem Ausland getätigt wurden.

Gut orchestriert

Zu guter letzt konnten sich die Eindringlinge auch Fernzugriff auf PCs und Server der Firmen sichern. Diese legte man mit einer Malware namens Killdisk lahm. Killdisk überschreibt wichtige Systemdateien und den Master Boot Record, was dazu führt, dass infizierte Systeme ausfallen und sich nicht wieder starten lassen.

Ein US-Experte namens Robert Lee sieht die verwendeten Mittel an sich als nicht sonderlich hochentwickelt an, zeigt sich aber beeindruckt von der zeitlichen Koordination des Angriffs. Wenngleich nur zwei Energieversorger die Attacken öffentlich meldeten, sollen laut Koval bis zu acht betroffen gewesen sein.

Weitreichender Zugriff

Wann genau sich die Angreifer erstmals Zugriff auf die Systeme verschafft hatten, ist nicht klar. Es dürfte aber Zusammenhänge zu früheren Attacken geben. Im März half das ukrainische CERT etwa einem anderen Energieerzeuger dabei, einen solchen abzuwehren. Die eingesetzten Mittel – darunter ein Trojaner namens "BlackEnergy", der auch Killdisk mitbringt, war damals zum Einsatz gekommen. Eine weiter entwickelte Variante konnte man beim vorweihnachtlichen Blackout entdecken.

Die Malware selbst sei aber nur als Zugangs- und Spähtool genutzt worden. Die Sabotage selbst sei den Hackern gelungen, weil sie offenbar die Kontrolle über die Rechner von Operatoren übernehmen konnten. Denn eine andere Schadsoftware sei nicht entdeckt worden.

Indizien, aber keine Beweise für russische Beteiligun

Bleiben noch die Anschuldigungen in Richtung Russland. Die politischen Spannungen beider Unternehmen sind schon länger stark, insbesondere seitdem Russland die Halbinsel Krim im Jahr 2014 annektiert hat. Denkbar wäre etwa eine Vergeltung für einen Stromausfall in dieser Region, verursacht durch ukrainische Aktivisten, die – nicht über das Internet, sondern physisch – ein Umspannwerk lahmgelegt hatten.

Das Sicherheitsunternehmen iSight Partners hält aufgrund des Einsatzes von BlackEnergy Russland für verantwortlich. Es soll ein Werkzeug einer Hackergruppe sein, die der Putin-Regierung nahe steht. Bei Eset ist man sich hingegen längst nicht so sicher. So ließe sich derzeit gar nicht sagen, ob BlackEnergy nur von einer oder von mehreren Gruppen eingesetzt wird.

Viel mehr Schaden möglich

Angriffe wie diese sind laut Lee längst nicht die Spitze des Möglichen. Auch die physische Zerstörung von Equipment zur Energieerzeugung sei machbar. Das US-amerikanische Stromnetz sie gegen derlei Attacken zwar besser abgesichert, weil aber viele Systeme vollautomatisiert seien, würden Wiederherstellungsmaßnahmen aber deutlich länger dauern. (gpi, 21.01.2016)

  • Kurz vor Weihnachten gingen in einigen Landesteilen der Ukraine stundenlang die Lichter aus. Der Ablauf der dahinter liegenden Cyberattacke ist bislang noch nicht vollständig geklärt.
    foto: afp

    Kurz vor Weihnachten gingen in einigen Landesteilen der Ukraine stundenlang die Lichter aus. Der Ablauf der dahinter liegenden Cyberattacke ist bislang noch nicht vollständig geklärt.

Share if you care.