Dokumentation: Raketen statt Cyberwar
Bereits vor dem russischen Angriff auf die Ukraine war in der Debatte über Russlands (militärische) Fähigkeiten die Frage aufgekommen, inwieweit die Einwirkung auf Computersysteme und Kommunikation die physischen Angriffe mit Raketen, Marschflugkörpern, Bomben ersetzen oder gar ablösen könnte. Trotz allem, was russischen Hackern nachgesagt wird: Bislang ist das in diesem Krieg nicht zu beobachten.
Warum eigentlich? Dazu haben sich in der zurückliegenden Woche einige Fachleute geäußert (leider richtete sich die Einladung zu diesem Pressegespräch nur an Wissenschaftsjournalisten, nicht an die für Sicherheits- und Verteidigungspolitik zuständigen). Die Aussagen dort von Thorsten Holz vom Helmholtz-Zentrum für Informationssicherheit (CISPA), Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht in Bremen und Matthias Schulze
von der Stiftung Wissenschaft und Politik am vergangenen Mittwoch sind aber umfassend dokumentiert, sowohl als Video
als auch im Transkript zum nachlesen.
Eine Erklärung, warum bislang ein sehr konventioneller Krieg und kein Cyberwar in der Ukraine zu beobachten ist, nannte dabei Matthias Schulze: Das Kriegsentscheidende ist das Physische vor Ort. Und Holz brachte es auf die Formel: Man ist dort immer noch sehr konventionell. Das kann sich alles ändern, gerade Russland hat sicherlich entsprechende Fähigkeiten.
In der FAZ vom gestrigen Samstag ist ein interessanter Artikel „Russlands Cyberwaffen“ zum Thema zu finden. Dort geht es um die russische Schadsoftware „Hermetic Wiper“, eine kleine digitale Präzisionswaffe. Sehr lesenswert! Dürfte sich online verfügbar sein ;)
Ganz klar ist dass die „Kriegsführung“ durch Hacking eine erwartbare Antwort auf die wirtschaftlichen Sanktionen ist. Wissen tue ich das natürlich auch nicht, aber es würde als „kalter“ Kriegsakt sicherlich passen.
Und da müssen sich die europäischen Unternehmen jetzt drauf vorbereiten.
Ich hole mal etwas weiter aus: so ein Angriff wird von den beteiligten Akteuren in der Regel längere Zeit vorbereitet, dann ein Ansatz gefunden und der Brückenkopf weiter ausgebaut. Dann werden Daten gestohlen oder es wird zu einem Zeitpunkt zugeschlagen und z.B. die Produktion lahmgelegt oder Daten gelöscht oder verschlüsselt.
Entweder als Erpressung oder um Schaden zuzufügen. Der ganze Prozess dauert aber Tage, Wochen oder auch Monate. Insofern wundert mich nicht dass es jetzt davon nichts zu sehen gibt.
Wenn ich die Herren aus dem Video sehe dann läuft das so ein bisschen nach dem Motto „Waldsterben verboten“, es gibt für alles Behörden und es wird gewarnt und Bedenken getragen.
Die Warnungen und Hinweis auf den zu implementierenden „Stand der Technik“ bringen aber gar nichts.
Denn der Stand der Technik hält staatliche oder halbstaatliche Hacker nicht auf.
Stand der Technik heisst nur, wenn doch was passiert ist, warst Du selber Schuld, weil es war wohl nicht gut genug.
Da geht es nicht nur um die Kritis Bereiche sondern auch bedeutende Wirtschaftsunternehmen oder solche mit zentraler Bedeutung. Die müssen jetzt mal Aufwachen und entsprechend Geld dafür in die Hand nehmen damit sie nicht nachher den Laden dicht machen müssen weil Ihnen 1 Monat die Produktion ausgefallen ist o.ä. Und das ist häufig nicht mal eben gemacht, sondern das sind strukturelle Veränderungen in der IT Landschaft.
Also mal ehrlich, wenn Russland der Welt mit Atomwaffen droht und friedliche Menschen mit Streubomben aktiv tötet dann interessiert es doch keine Sau ob Fancy Bear kleinen Kindern den Nintendo-Account klaut oder Netflix mit DDoS lahm legt.
[Jo. Darum geht’s aber gar nicht. T.W.]
@Wait&C, Störungen bei Nintendo-Accounts und Netflix sind einfach nur lästig.
Wer das schafft, kann aber auch potenziell ganz andere Sachen. Z.B. die Rechner im Stellwerk bei der Bahn verschlüsseln oder Pumpen im Wasserwerk ein- und ausschalten ohne das im Leitstand auffällige Werte angezeigt werden. Und das wird dann alles andere als lästig.
Naja, Russland/Putin hat ja schon ganz klar die Sanktionen als Kriegserklärung definiert. D.h., wir warten jetzt auf seine Reaktion. Soweit ich das mitbekommen habe, sind aber z.B. auch die Amerikaner gut in der Lage, russischer Infrastruktur schweren Schaden zuzufügen. Ggf. gibt es für die richtig schweren Cyberangriffe auch so etwas, wie eine MAD.
Die Frage, die ích mir stelle: Viele Systeme in Russland laufen ja auch auf Microsoft- oder Android-Betriebssystemen. Haben Microsoft/Google/Meta eigentlich die Möglichkeit, landesweit den Support einzustellen oder die Funktionsfähigkeit von MS-basierten Systemen einzuschränken?
„Bislang ist das in diesem Krieg nicht zu beobachten.“
Könnte das nicht auch einfach daran liegen, dass die „Gefahr“ durch russische Hacker von interessierten Kreisen bewusst übertrieben worden ist?
Egal wo Systeme „gehackt“ worden sind, sofort wurden in den Medien russische Hacker verdächtigt, die vorzugsweise auch noch im direkten Auftrag des Kreml gehandelt haben sollen. Beweise für diese Anschuldigungen wurden allerdings nie präsentiert.
Kein Wunder, Hacker gibt es weltweit, sie operieren weltweit und das Verwischen der eigenen Spuren sowie das legen falscher Fährten gehören zum Hacker 1 x 1.
Das schließt natürlich nicht aus, das einige der Anschuldigungen tatsächlich zutreffend, waren. Aber so ohne Beweise werden sie halt nur als Teil der allgemenen anti-russischen Propaganda wahrgenommen.
Möglicherweise zeigt es aber auch Wirkung, das die halbe Welt Moskau‘s Cyber Footprint unter Druck setzt. Die Kapazitäten an Cyber Spezialisten ist begrenzt. Für das Regime dürfte es absolutes Neuland sein, das täglich DDos Attacken einschlagen und Reihenweise Seiten übernommen werden und auch noch Putin verunglimpfen. Dazu sind es sehr viele Länder auf der Gegenseite. Neben der Informationsfront dürfte die Cyber Front die Zweite sein, die für Ru verloren geht.
@Schlammstapfer sagt:
06.03.2022 um 20:44 Uhr
Dann schicken Sie doch mal eine Email an Ihren nächsten CCC (Chaos Computer Club) und fragen dort, wie der Verdacht auf russische Hacker mit Bezug zur russ. Regierung entstanden sein könnte.
vielleicht haben die noch mehr Indizien wie die hier:
Ab Minute ca. ~18:00
https://media.ccc.de/v/36c3-11175-hirne_hacken#t=1086
Hier sehe ich schon, dass Russland das was passieren wird auch hier völlig falsch eingeschätzt hat. Ich meine die werden aktuell jede verfügbare IT-Kapazität brauchen um Anonymous-Angriffe abzuwehren. Um auf die Vielzahl an Angriffen und Postings in den Sozialen Medien reagieren zu können braucht man sehr viel Manpower. Und die ist halt auch in Russland nicht unbegrenzt vorhanden. Wahrscheinlich sehen wir bald, dass Russland den Zugriff aufs Internet für die eigenen Bürger bald komplett entfernen wird, weil sie das (wie so vieles in letzter Zeit) völlig falsch eingeschätzt haben.
Schon mal dran gedacht, dass die meisten russischen Hacker aus Eigenmotivation unterwegs sind und Propaganda bei ihnen schlechter verfängt? Von Zensurmaßnahmen dürften sie die am wenigsten betroffene Berufsgruppe sein, sonst wären sie für ihren Job nicht geeignet. Sie werden auch die letzten sein, die sich aus ausländischen Quellen informieren können, wenn Putin die Zensurschraube fester dreht. Viele von ihnen sind einfach Unternehmer und ihr Geschäftsmodell dürfte in den meisten Ländern illegal sein. Das gilt auch für Russland, was eine gewisse Koordination mit Sicherheitsbehörden und Zurückhaltung im eigenen Land verlangt. Viele sind sicher auch Patrioten im Sinne von Vaterlandsliebe. Das heißt aber nicht, dass sie Putins Krieg führen wollen. Sie sind international vernetzt und dürften auch persönlich von Sanktionen überdurchschnittlich betroffen sein und ein Interesse haben, dass ihr PayPal wieder funktioniert.
„Aber so ohne Beweise werden sie halt nur als Teil der allgemeinen anti-russischen Propaganda wahrgenommen.“ Bin mal gespannt ob wir im den nächsten Jahren neben Holocaust – Leugnern auch noch „Russischer Angriffskrieg“ – Leugner ertragen müssen.
Da die EINZIGE Ressource die im Cyberwar zaehlt, die Gehirne der Menschen sind, ist die NATO+EU+andere Laender die eher die Ukraine unterstuetzen als Russland, den Russen mit Ihren ca. 140 Mio ca 10-fach ueberlegen. Ausschlaggebend ist dabei die Zusammenarbeit und der Informationsaustausch, hierzu wurden bereits vor Ausbruch des Krieges starke Koordinierungsaktivitaeten „im Westen“ gestartet.
Also in der Cyber-Domain schaut es fuer die Ukraine gar nicht so schlecht aus
Ist das für Putin nicht auch eine Blamage gegenüber dem Konkurrenten Türkei unter Erdogan? Die Türkei hat in Bergkarabach demonstriert, dass ihre Drohnen funktionieren und unter den armenischen Soldaten Angst und Schrecken verbreitet. In Socal Media wurden Videoaufnahmen verbreitet, wie Gruppen von Soldaten in Gräben von einem Augenblick auf den anderen ohne Vorwarnzeit innerhalb von Sekunden getötet wurden. Das muss enorme Auswirkungen auf die gegnerische Moral gehabt haben. Anscheinend besitzt Russland diese Fähigkeiten nicht, sonst hätten sie sie sicher schon propagandistisch eingesetzt. Statt dessen wurden russische Raketenwerfer durch türkische Drohnen unter ukrainischer Kontrolle zerstört, inkl. Videomaterial.
@Schlammstapfer sagt:
06.03.2022 um 20:44 Uhr
„Egal wo Systeme „gehackt“ worden sind, sofort wurden in den Medien russische Hacker verdächtigt, die vorzugsweise auch noch im direkten Auftrag des Kreml gehandelt haben sollen. Beweise für diese Anschuldigungen wurden allerdings nie präsentiert.“
Dazu gibt es eine sehr interessante Recherche beim BR zu einer der ältesten und besten Hackergruppierungen in Russland. Da werden die Verbindungen Hacker und FSB schon sehr gut aufgezeigt.
(https://interaktiv.br.de/elite-hacker-fsb/index.html)
Warum diese Kräfte jetzt nicht medienwirksam zum Einsatz kommen, wäre sicherlich interessant. Mögliche Gründe wurden ja schon genannt, die Angriffe sind noch nicht entdeckt worden (siehe AA vor einiger Zeit), es läuft der eigene Abwehrkampf im Netz gegen Anonymous und Co. oder man trägt einfach nicht die Meinung von Putin mit und versagt ihm daher in diesem Fall die Unterstützung. Es ist wohl eine Mischung aus allen drei Punkten, da die verschiedenen Gruppen auch unterschiedliche Strukturen und Anbindungen an den russischen Staat aufweisen werden.
@Thomas D.
Angeblich laufen seitens Russland ja tatsächlich Vorbereitungen, das landeseigene Internet vom weltweiten abzukoppeln.
@ Eisensoldat.
https://abcnews.go.com/International/wireStory/china-russia-chief-strategic-partner-war-83292299
Sind Sie sicher dass Sie alle Hirne mitgezählt haben?
@Adler
„Denn der Stand der Technik hält staatliche oder halbstaatliche Hacker nicht auf.“
Doch, er hält auf, wenn er sauber umgesetzt ist, wenn er auch nicht unüberwindbar ist. (Insbesondere ist „stand der technik“ übrigens relevant für Versicherungen.)
Russland hat im Gegensatz zu den USA aber übrigens nicht die Möglichkeit malware direkt über das windowsupdate einzuspielen(das wurde schon gemacht) – und russische staatliche Hacker scheinen in der Anzahl sehr begrenzt. Es gibt aber tatsächlich recht viele nichtstaatliche normalkriminelle Hacker in Russland. Die werden zwar teilweise zwangsrekrutiert und in kooperation mit den Diensten gedrängt, aber auch deren Zahl ist begrenzt und moral fragwürdig.
Und richtig, Russland arbeitet noch viel mit Windows – das macht sie sehr anfällig, wenn die Gegenseite ausnutzt, an der Quelle zu sein. Sicherheitsupdates zu verweigern, bzw. zu manipulieren etc.
Alles in allem werden russische Hackergruppen wohl nun mehr von der Leine gelassen, um nach Herzenslust im Westen Geld zu erpressen und zu stören, wo sie nur können – aber alles in allem sind die russischen Cyberwarfähigkeiten sehr begrenzt, im Vergleich zum Westen.
Das heißt, sie sind sicherlich in der Lage das eine oder andere Kraftwerk lahmzulegen (einfach weil die oft mangelhaft gesichert sind) – aber der Westen könnte ungleich härter antworten.
Die meisten „hacks“ funktionieren praktisch übrigens gar nicht technisch, sondern über „social engineering“, das heißt die Gegenseite findet z.B. heraus, wie der jeweilige Sicherheitsverantwortliche heißt und sendet dann in seinem Namen unter einer emailadresse die ähnlich klingt, an andere Mitarbeiter Aufforderungen dieses oder jenes zu tun, was im guten Glauben für die Sicherheit getan wird, aber tatsächlich alle Türen öffnet.
@StMarc:
„Haben Microsoft/Google/Meta eigentlich die Möglichkeit, landesweit den Support einzustellen oder die Funktionsfähigkeit von MS-basierten Systemen einzuschränken?“
Lizenzentzug im Rahmen von Sanktionen. Das ist dann wie mit den nicht mehr funktionierenden Kreditkarten. Was aber viel heftiger ist, diese Firmen kennen die Backdoors am besten.
@Eisensoldat: Auf Hacktivist-Ebene stimme ich ihnen zu. Aber diese Hacktivists werden keine kritische Infrastruktur angreifen. Also keine „kriegsentscheidenden“ Beiträge liefern. Im Informationsraum sollten die Beiträge nicht unterschätzt werden. Kleines Beispiel:
Snowden und Assange wurden von russischer PsyOps wie Sputnik und RT abgefeiert, eben wie das (diese unterstützende) Hackerkollektiv Anonymous. Seit ein paar Tagen erscheint das Konterfei von Anonymous auf dem russischen TV und erklärt Putin zum Lügner und Diktator, zeigt Bilder des Krieges in der Ukraine.
@Fiesling
Danke für den Link. Eine mögliche Verantwortung russischer Dienste für Cyberattacken habe ich auch nicht ausgeschlossen. ich habe lediglich darauf hingewiesen, dass das Ausmaß der den Russen zugeschriebenen Attacken möglicherweise übertrieben wurde. Ansonsten bin ich, was die anderen Möglichkeiten anbetrifft, ganz bei Ihnen.
@AOR
Die Ueberlegenheit der europaeischen und amerikanischen Demokratien (+Israel, Australien usw) bezieht sich auch auf die Faehigkeiten zu schwerwiegenden zerstoerenden Aktivitaeten. Ein Paradebeipiel ist Stuxnet, das ja auch von den „Guten“ entwickelt und eingesetzt wurde….
Und ja, China ist da mal ein ganz anderes Kaliber, bleibt aber spannend ob und wie die mit Russland im Cyberbereich zusammenarbeiten, alles weitere dazu waere off-topic
Ich möchte nur, insofern der Hausherr einverstanden ist, auf eine Sammlung OSINT Tools aufmerksam machen.
https://www.kuketz-blog.de/spiderfoot-osint-tool-open-source-intelligence-zur-analyse-und-aufklaerung
[Oha, das ist aber ziemlich für Nerds, und es geht um IT-Systeme und nicht im breiteren Sinne Open Source Intelligence wie Fotomaterial etc. Ich lasse es mal stehen, aber bitte diese Spezialsonderextradinge hier nicht so auszuwalzen. T.W.]
Anonymous ist sicher keine sonderlich greifbare oder belastbar agierende Gruppierung, aber die haben recht schnell und umgehend Russland den Cyberkrieg „erklärt“. Unter Angabe, dass einige der Hacker, die da tätig würden, aus dem eigenen Land kommen dürften.
Ich glaub nicht, dass Russland so viele ideologisch gefestigte Staatshacker hat wie z.B. China sie einsetzt. Putin macht lieber in Trollfabriken zur Desinformation und Unterwanderung der öffentlichen Meinung.
@AoR zum Thema ‚Abklemmen von MS-Lizenzen‘ und Deaktivieren der Computer Systeme in Russland:
Die in Russland (und weltweit diversen anderen ‚Nicht-US-und-nicht-EU-Ländern‘) verwendeten Microsoft-Lizenzen
sind sehr oft ältere Versionen Windows 7 und auch noch älter, die sowieso nicht mehr im Update Zyklus sind :-) Wenn esneuere Windows 10 Systeme sind, werden die auch sehr oft nicht weiter geupdatet, da die Update Funktion vom ‚Distributor‘ deaktiviert wurde. Der zahlt nämlich auch keine Lizenzkosten…
Wenn diese OS neu installiert werden, werden diese aus vorhandenen Speichermedien neu aufgesetzt inklusive der implementierten Updates.
Live Updates einspielen von Microsoft-Server aus US ist dann nicht nötig.
Microsoft bekommt für die eingesetzten Lizenzen Pauschalzahlungen, je nach Land und Zeitpunkt und Politik unterschiedlich, besser als keinerlei Lizenzzahlungen.
Der Update Kanal, über den diese Software Kontakt zum jeweiligen Software Mutterhaus aufnehmen kann, ist deaktiviert. Das geht recht einfach und wird weltweit auch aus internen Datenschutzgründen der jeweiligen Länder, gerade im staatlichen Bereich gemacht.
Aus IT-Sicherheitssicht ist‘ s natürlich ungut, da man nicht schneller auf Sicherheitslücken reagieren kann, auch weiss keiner, was da noch als ‚Extras‘ in der Software eingebunden ist.
Es gibt da jedoch Workarounds zum Updaten von IT-Landschaften. Ebenso zum Filtern des ausgehenden Traffics über Proxies.
Trotzdem könnte da ein Fingerabdruck beim jeweiligen Softwarehersteller entstehen, wo sich die Computer weltweit befinden, so ganz sicher sollte da keiner sein :-)
Lageeinschätzung BSI:
https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Cyber-Sicherheitslage-fuer-die-Wirtschaft/gravierende-Cyber-Risiken/Ukraine_Konflikt/ukraine_konflikt_node.html
Das BSI erkennt eine abstrakt erhöhte Bedrohungslage für Deutschland. Aktuell ist jedoch keine akute unmittelbare Gefährdung der Informationssicherheit für Unternehmen in Deutschland im Zusammenhang mit der Situation in der Ukraine ersichtlich. Seit Beginn des russischen Angriffs auf die Ukraine ist es in Deutschland zu wenigen unzusammenhängenden IT-Sicherheitsvorfällen gekommen, die aber nur vereinzelt Auswirkungen hatten.
Zitat:“Es kann jedoch nicht ausgeschlossen werden, dass es durch die digitalen Auseinandersetzungen zwischen Russland und der Ukraine zu Kollateralschäden in der deutschen Wirtschaft kommt. Die Situation kann sich nach Einschätzung des BSI jederzeit ändern. Das BSI weist außerdem darauf hin, dass die allgemeine Cyber-Bedrohungslage – durch Cyber-Crime und andere Phänomene – weiterhin besteht.“
Das entspricht auch dem Inhalt des oben verlinkten Videos
‚Cyberangriffe im Zuge des Ukraine-Konflikts – Bedrohung, Auswirkungen, Schutz‘
Im Video wird der ‚cyberwar‘ (gemäß Völkerrecht) vom ‚cybercrime‘ von privaten Akteuren und Hackerkollektiven abgegrenzt.
Wir haben bei Vermischung von cyberwar und cybercrime das Problem der Attributation bei der Frage „wer war´s“.
Dieses Problem stellt sich dann, wenn wahllos kritische Infrastrukturen gehackt werden.
Anmerkung für Deutschland gilt: Hackback nur im Verteidungsfall aus verfassungsrechtlichen Gründen.
Zurück zu ‚cyberwar‘ und ‚cybercrime‘:
Cybercrime machen diejenigen, die sich als Anonymus bezeichnen. Durch Cybercrime mit dem wahllosen Angreifen und Cracken von kritischen Infrastrukturen wird eine bestehende Situation deutlich verschärft, ohne jedoch irgendeiner Seite Vorteile zu verschaffen.
Es kann und wird die jeweilige andere stattliche Seite RUS und UKR denken, die anderen waren es und auch eventuell entsprechend militärisch reagieren.
Private DDos Aktivitäten durch Hacktivisten und Private können auch äusserst problematisch für zielgereichtete Aktivitäten unserer Dienste wie NSA durch unerwartete Nebenwirkungen sein.
Es ist dabei völlig unklar, welche Auswirkungen private DDos Aktivitäten, Verteilung von Malware und Ransomware auf die staatlichen Akteure haben werden.
Im Video wird auch drauf hingewiesen, dass es äußerst bedenklich ist, dass öffentlich in der Presse zu Straftaten gegen einen Teil der Bevölkerung aufgerufen wird.
Dies ist ein weiterer langfristig destabilisierender Faktor, der allerdings bei uns im Westen kommen wird (meine Meinung).
@Eisensoldat: Ich bin auch überzeugt, dass wir Demokratien da sehr gut situiert sind.
@kleiner Hinweis:
https://osintframework.com/
@silvretta: Dann weis man ja exakt wie lange eine bekannte Lücke da ist welche in der westlichen Hemisphäre binnen wenigen Stunden gestopft wird ;)
zu Hermetic Wiper
https://www.youtube.com/watch?v=HYv15BInzas
Hermetic Wiper: Ukraine Cyberattack Analysis
Ganz gut erklärt. Nur jede dieser Malware kann nur dann eine Wirkung entfalten, wenn im worst case keinerlei Datensicherung / Backup gemacht wurde.
Also in einem auch nur halbwegs professionellem Umfeld alle grundlegenden Regeln der IT nicht beachtet wurden. Selbst privat läuft bei mir täglich das Backup mit anschliesendem Testing.
Auch im Urlaub oder im mobilen Einsatz wird´s auch gemacht; einfach weil ich es mal nicht gemacht hab. Das merkt man sich weil es dann zum normalen Workflow gehört :-)
Sonst ist maximal der Arbeitsablauf etwas gestört, während der automatischen Neuinstallation gehen alle etwas Kaffetrinken.
Wenn man diese Basisregeln nicht beachtet hat, kann dies natürlich das wirtschaftliche Desaster bedeuten.