Der Cyberangriff auf das ukrainische Stromnetz im Dezember 2016 ist seit fast drei Jahren ein bedrohliches Rätsel. Zwei Tage vor Weihnachten in diesem Jahr haben russische Hacker im Netz des ukrainischen Netzbetreibers Ukrenergo ein einzigartiges Exemplar von Malware eingesetzt. Kurz vor Mitternacht benutzten sie es, um jeden Leistungsschalter in einer Sendestation nördlich von Kiew zu öffnen. Das Ergebnis war einer der dramatischsten Angriffe im jahrelangen Cyberkrieg Russlands gegen seinen westlichen Nachbarn, ein beispielloser, automatisierter Stromausfall in einem weiten Teil der ukrainischen Hauptstadt.
Eine Stunde später konnten die Bediener von Ukrenergo den Strom einfach wieder einschalten. Was die Frage aufwirft: Warum sollten die Hacker Russlands eine hoch entwickelte Cyberwaffe bauen und sie im Herzen des Stromnetzes einer Nation platzieren, um einen einstündigen Stromausfall auszulösen?
Eine neue Theorie bietet eine mögliche Antwort. Forscher des Cybersicherheitsunternehmens Dragos für industrielle Steuerungssysteme haben einen Zeitplan für den Blackout-Angriff von 2016 rekonstruiert, der auf einer erneuten Überprüfung des Malware-Codes und der Netzwerkprotokolle basiert, die von den Systemen von Ukrenergo abgerufen wurden. Sie sagen, dass Hacker nicht nur vorhatten, das ukrainische Stromnetz von kurzer Dauer zu stören, sondern dauerhaften Schaden zuzufügen, der zu Stromausfällen für Wochen oder sogar Monate hätte führen können. Diese Unterscheidung würde die Blackout-Malware zu einem von nur drei Code-Teilen machen, die jemals in freier Wildbahn entdeckt wurden, um nicht nur die physische Ausrüstung zu stören, sondern sie zu zerstören, wie es Stuxnet in den Jahren 2009 und 2010 im Iran tat, und die Malware, die Triton in einem saudischen Land entwarf Arabische Erdölraffinerie im Jahr 2017.
In einer heimtückischen Wendung im Fall Ukrenergo beabsichtigten die Hacker Russlands offenbar, diese Zerstörung nicht zum Zeitpunkt des Stromausfalls selbst auszulösen, sondern als die Netzbetreiber den Strom wieder einschalteten und die eigenen Wiederherstellungsbemühungen des Versorgungsunternehmens gegen sie einsetzten.
"Obwohl dies ein direkter Störfaktor war, deuten die eingesetzten Tools und die Reihenfolge, in der sie verwendet wurden, nachdrücklich darauf hin, dass der Angreifer mehr wollte, als das Licht für ein paar Stunden auszuschalten", sagt Joe Slowik, ein Dragos-Analyst Er leitete zuvor das Team für Computersicherheit und Reaktion auf Vorfälle im Los Alamos National Laboratory des Energieministeriums. "Sie versuchten, Bedingungen zu schaffen, die der Zielsendestation physischen Schaden zufügen würden."
Eine Falle stellen
Die auf die Ukraine ausgerichtete Blackout-Malware, auch bekannt als Industroyer oder Crash Override, erregte die Aufmerksamkeit der Cybersecurity-Community, als das slowakische Cybersecurity-Unternehmen ESET sie im Juni 2017 zum ersten Mal vorstellte Funktionen, die automatisierte Schnellbefehle in vier verschiedenen Protokollen senden können, die in verschiedenen Energieversorgungsunternehmen verwendet werden, um ihre Leistungsschalter zu öffnen und Massenausfälle auszulösen.
"Es ist die Antwort, die dir letztendlich schadet."
Sergio Caltagirone, Dragos
Die neuen Ergebnisse von Dragos beziehen sich jedoch auf eine häufig vergessene Komponente der Malware von 2016, die in der ursprünglichen Analyse von ESET beschrieben, aber zu diesem Zeitpunkt noch nicht vollständig verstanden wurde. ESET wies darauf hin, dass diese undurchsichtige Komponente der Malware darauf ausgelegt war, eine bekannte Sicherheitslücke in einem Teil der Siemens-Ausrüstung auszunutzen, die als Siprotec-Schutzrelais bekannt ist. Schutzrelais fungieren als Ausfallsicherungen für Stromnetze, überwachen gefährliche Netzfrequenzen oder Stromstärken in elektrischen Geräten, leiten diese Informationen an die Bediener weiter und öffnen automatisch Leistungsschalter, wenn sie gefährliche Zustände erkennen, die Transformatoren beschädigen, Stromleitungen schmelzen oder in seltenen Fällen auftreten können Fälle auch Stromschlag Arbeiter. Eine Sicherheitslücke bei Siemens-Schutzrelais, für die das Unternehmen 2015 einen Software-Fix veröffentlicht hatte, die jedoch in vielen Versorgungsunternehmen nicht behoben wurde, bedeutete, dass Hacker, die ein einzelnes Datenpaket an dieses Gerät senden konnten, es im Wesentlichen in den beabsichtigten Ruhezustand versetzen konnten Bei Firmware-Updates wird diese unbrauchbar, bis sie manuell neu gestartet wird.
Im Jahr 2017 hatte ESET die beunruhigenden Auswirkungen dieser Malware-Komponente festgestellt. es deutete darauf hin, dass die Schöpfer von Industroyer auf physischen Schaden bedacht sein könnten. Es war jedoch alles andere als klar, wie die Siprotec-Hacking-Funktion tatsächlich einen nachhaltigeren Schaden angerichtet haben könnte. Immerhin hatten die Hacker bei Ukrenergo lediglich die Stromversorgung abgeschaltet und nicht die Art gefährlicher Stromstöße verursacht, die durch das Deaktivieren eines Schutzrelais noch verstärkt werden könnten.
Die Dragos-Analyse liefert möglicherweise das fehlende Teil des Ukrenergo-Puzzles. Das Unternehmen gab an, die Netzwerkprotokolle des ukrainischen Versorgungsunternehmens von einer Regierungsbehörde bezogen zu haben - es lehnte es ab, welche zu nennen - und konnte erstmals die Reihenfolge der Hackeroperationen rekonstruieren. Zunächst haben die Angreifer jeden Leistungsschalter in der Sendestation geöffnet und den Stromausfall ausgelöst. Eine Stunde später starteten sie eine Wischerkomponente, die die Computer der Übertragungsstation deaktivierte und das Personal des Versorgungsunternehmens daran hinderte, die digitalen Systeme der Station zu überwachen. Erst dann nutzten die Angreifer die Siprotec-Hacking-Funktion der Malware für vier Schutzrelais der Station, um diese ausfallsicheren Geräte unbemerkt zu deaktivieren, ohne dass die Betreiber des Versorgungsunternehmens die fehlenden Sicherheitsvorkehrungen erkennen konnten. 1
Dragos-Analysten glauben nun, dass die Ingenieure von Ukrenergo auf den Stromausfall reagieren sollten, indem sie die Ausrüstung der Station eilig wieder mit Strom versorgen. Ohne die Ausfallsicherungen des Schutzrelais hätten sie auf manuelle Weise eine gefährliche Stromüberlastung in einem Transformator oder einer Stromleitung auslösen können. Der potenziell katastrophale Schaden hätte die Energieübertragung der Anlage weitaus länger als nur Stunden unterbrochen. Es könnte auch Versorgungsarbeiter geschädigt haben.
Dieser Plan ist letztendlich gescheitert. Aus Gründen, die Dragos nicht genau erklären kann - wahrscheinlich ein Fehler in der Netzwerkkonfiguration der Hacker -, wurden die für die Schutzrelais von Ukrenergo bestimmten schädlichen Datenpakete an die falschen IP-Adressen gesendet. Möglicherweise haben die Ukrenergo-Bediener die Stromversorgung schneller wieder eingeschaltet als von den Hackern erwartet, und damit die Sabotage der Schutzrelais übertroffen. Und selbst wenn die Siprotec-Angriffe ihre Spuren hinterlassen hätten, hätten Backup-Schutzrelais in der Station möglicherweise eine Katastrophe verhindert - obwohl die Analysten von Dragos sagen, dass sie ohne ein vollständiges Bild der Sicherheitssysteme von Ukrenergo die möglichen Konsequenzen nicht vollständig abschätzen können.
Doch Dragos Direktor für Bedrohungsnachrichten, Sergio Caltagirone, argumentiert, dass die Abfolge der Ereignisse eine verstörende Taktik darstellt, die zu diesem Zeitpunkt nicht erkannt wurde. Die Hacker sagten die Reaktion des Energieversorgers voraus und versuchten, den Schaden des Cyberangriffs zu verstärken. "Ihre Finger sind nicht über dem Knopf", sagt Caltagirone über die Blackout-Hacker. "Sie haben vorgefertigte Angriffe durchgeführt, die der Einrichtung zerstörerischen und potenziell lebensbedrohlichen Schaden zufügen, wenn Sie auf den Vorfall reagieren. Es ist die Reaktion, die Ihnen letztendlich schadet."
Zerstörungslust
Das Gespenst von physischen Zerstörungsangriffen auf Elektrizitätsversorger verfolgt Netz-Cybersicherheitsingenieure seit mehr als einem Jahrzehnt, seit Idaho National Labs 2007 bewiesen hat, dass es möglich ist, einen massiven 27-Tonnen-Dieselgenerator zu zerstören, indem digitale Befehle an das Schutzrelais gesendet werden damit verbunden. Der Ingenieur, der diese Tests leitete, Mike Assante, teilte WIRED im Jahr 2017 mit, dass das Vorhandensein eines Schutz-Relay-Angriffs in der Ukrenergo-Malware, obwohl zu diesem Zeitpunkt noch nicht vollständig verstanden, darauf hindeutet, dass diese destruktiven Angriffe endlich Realität werden könnten. "Das ist definitiv eine große Sache", warnte Assante, der Anfang des Jahres verstorben war. "Wenn du jemals ein Transformatorfeuer siehst, sind sie massiv. Großer schwarzer Rauch, der sich plötzlich in einen Feuerball verwandelt."
Wenn die neue Dragos-Theorie des Blackouts von 2016 zutrifft, würde dies den Vorfall nur zum dreifachen Mal auslösen, wenn Schadsoftware entwickelt wurde, die destruktive physische Sabotage auslöst. Die erste war Stuxnet, eine Malware aus den USA und Israel, die vor etwa einem Jahrzehnt tausend iranische Zentrifugen zur nuklearen Anreicherung zerstört hat. Und dann, ein Jahr nach dem ukrainischen Stromausfall, Ende 2017, stellte sich heraus, dass eine andere Malware, bekannt als Triton oder Trisis, die im Netzwerk der saudischen Ölraffinerie Petro Rabigh entdeckt wurde, sogenannte sicherheitsinstrumentierte Systeme sabotiert hat Überwachung auf gefährliche Bedingungen in Industrieanlagen. Dieser letzte Cyberangriff, der mit dem zentralen wissenschaftlichen Forschungsinstitut für Chemie und Mechanik in Moskau in Verbindung steht, hat lediglich das saudische Werk stillgelegt. Aber es hätte zu weitaus schlechteren Ergebnissen führen können, einschließlich tödlicher Unfälle wie einer Explosion oder einem Gasleck.
Was Caltagirone am meisten beunruhigt, ist, wie viel Zeit seit diesen Ereignissen vergangen ist und was sich die Hacker der Industriesteuerungssysteme der Welt in diesen drei Jahren möglicherweise entwickelt haben. "Zwischen diesem und Trisis liegen nun zwei Datenpunkte, die eine ziemlich signifikante Missachtung des menschlichen Lebens anzeigen", sagt Caltagirone. "Aber was wir nicht sehen, ist das Gefährlichste da draußen."
