CyberWarfare / ExoWarfare

Neue “Sandworm” Welle von Cyberangriffen auf Chemiewaffen-Forschung

Der Bundesverfassungsschutz warnt:

Laut Verfassungschutz sind deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung wieder Ziel eines Hackerangriffs geworden. Indizien weisen auf einen Angriff aus Russland.

Von Anja Bröker, WDR

Die Angriffe verlaufen immer gleich. Ein scheinbar harmloses Word-Dokument hängt im Anhang einer E-Mail. Beim Öffnen der Datei wird dem Opfer empfohlen, die Ausführung von sogenannten Makros, also Unterprogrammen, zuzulassen. Wird diese Empfehlung befolgt, ist es meist schon passiert. Der Angreifer kann vertrauliche Daten ausspähen und – schlimmer noch – ganze IT-Systeme manipulieren.

Seit vergangenen Sommer läuft die Angriffswelle bereits auf große deutsche Medienunternehmen und europäische Organisationen, die sich mit Chemiewaffenforschung befassen. Ob die Attacken inzwischen beendet wurden, ist unklar. Die Angriffe fanden vermutlich zwischen August 2017 und Juni 2018 statt und dauern vermutlich noch an, so das Bundesamt für Verfassungsschutz (BfV).

Indizien sprechen für “Sandworm” Gruppe

Die Spur der Täter führt vermutlich nach Moskau. Dem Verfassungsschutz liegen Indizien vor, die für eine Zuordnung der Angriffe zur russischen Hacker-Gruppierung “Sandworm” sprechen. Diese ist auf Cyber-Sabotage spezialisiert. Das BfV hält sie für “eine der derzeit gefährlichsten APT-Gruppierungen weltweit”. Die Abkürzung APT steht für “Advanced Persisting Threat” – also eine “fortgeschrittene, andauernde Bedrohung”. Sie wird verwendet, um Cyberangriffe nach Herkunft und Vorgehen zu sortieren.

Die technischen Fähigkeiten der Hacker-Gruppierung “Sandworm” seien als “hoch einzuschätzen”, erklärte das Bundesamt für Sicherheit in der Informationstechnik (BSI) schon vor Jahren. So soll es “Sandworm” gewesen sein, die im Dezember 2015 ein Kraftwerk in Iwano-Frankiwsk in der Westukraine  manipulierte. Infolge dessen waren mehr als 220.000 Menschen über Stunden ohne Strom. Die Sabotage soll damals mithilfe der Schadsoftware “Black Energy” gelungen sein.

Parallelen zu Angriffen auf Olympia in Südkorea

Die IT-Sicherheitsfirma Kaspersky sieht Parallelen zu versuchten Cybersabotageangriffen gegen die Olympischen Winterspiele in Südkorea. Damals hatte die Kampagne “Olympic Destroyer” die Infrastruktur der Winterspiele mit Schaddokumenten angegriffen. Vor zwei Monaten entdeckten die Sicherheitsforscher von Kaspersky dann erneut Spear-Phishing-Anhänge – also Schadprogramme, die Kommunikaton von Computern ausspäht -, die in mehreren europäischen Ländern hochgeladen wurden, auch in Deutschland.

Dabei fielen Schaddokumente auf, die in Zusammenhang mit dem Giftanschlag im britischen Salisbury standen. Die Ankündigung einer Konferenz für bio-chemische Bedrohungsforschung im schweizerischen Spiez etwa, organisiert vom örtlichen Labor, das in die Nowitschok-Ermittlungen eingebunden ist. Ein weiteres Dokument zum Nervengift mit dem Titel “Investigation_file.doc” diente ebenfalls als Köder. Der Verfassungsschutz sieht auch in diesen Fällen Anhaltspunkte, dass die Hacker-Gruppierung “Sandworm” dahintersteckt.

Äußerst aggressive Gruppierung

Infizierte Mailanhänge zur bio-chemischen Bedrohung und zum Kampfstoff – da ist es möglicherweise kein Zufall, dass von den neuen Attacken auch Organisationen im Bereich der Chemiewaffenforschung betroffen sind.

Der Verfassungsschutz hält die “Sandworm”-Gruppierung für “äußerst aggressiv”. Sie ist seit 2013 aktiv und führte in der Vergangenheit Cyberspionage-Operationen gegen die NATO und westliche Regierungen durch. Später richtete sie sich vermehrt gegen Ziele in der Ukraine. Ziel der jüngsten Angriffswelle könnte nach Einschätzungen des Verfassungsschutzes “nicht nur das Ausspähen der Daten, sondern auch die Sabotage von IT-Systemen sein”.

Bislang sind zwei deutschsprachige Schaddokumente bekannt: “E-Mail-Adressliste_2018.doc” und “Wichtig! Neue Anforderungen an die Informationssicherheit. Konten bearbeite.doc”. Mutmaßliche Opfer haben beide Schaddokumente auf die Plattform Virustotal (https://virustotal.com) hochgeladen. Wahrscheinlich sind neben deutschen Medienunternehmen und einer Organisation aus dem Bereich der Chemiewaffenforschung noch weitere Unternehmen betroffen, schätzt das BfV. Experten empfehlen, im E-Mail-Eingang vorsorglich nach den erwähnten E-Mail-Anhängen zu suchen.

 

from: https://www.tagesschau.de/inland/cyberattacke-verfasssungsschutz-101.html