Das Stromnetz der Ukraine zieht Hacker offensichtlich magisch an. Es gab dort bereits zwei größere Blackouts, die auf gezielte Angriffe zurückzuführen sind. Im Dezember 2015 sorgte eine Malware namens BlackEnergy für einen Stromausfall; ein Jahr später, im Dezember 2016 sorgte Industroyer dafür, dass in Kiew für eine Stunde die Lichter ausgingen. Die Sicherheitsfirma Eset deckt jetzt eine direkte Verbindung zwischen den verantwortlichen Hacker-Gruppen auf.

Die Gruppe hinter BlackEnergy heißt bei Eset Telebots; andere bezeichnen sie als Sandworm. Sie steckte wahrscheinlich auch hinter dem zerstörerischen Wurm NotPetya. Jetzt ist BlackEnergy/Telebots mit einer neuen Schad-Software namens Exaramel in Erscheinung getreten. Deren zentraler Bestandteil sei eine weiterentwickelte Version des Hintertür-Programms, das bereits in der Industroyer-Malware enthalten war, wie Eset jetzt in einem Blog-Posting dokumentiert. Das bedeutet, dass die zwei Gruppen BlackEnergy/Telebots und Industroyer zumindest Code untereinander teilen.

Auch Deutschland im Visier

Die Vermutung, dass die gezielten Angriffe auf das Stromnetz der Ukraine nicht völlig isoliert voneinander zu sehen sind, lag auf der Hand. "Bislang gab es jedoch keine öffentlichen Beweise dazu" erklärt Esets Malware-Forscher Anton Cherepanov. Die liefert der AV-Hersteller jetzt mit seiner Analyse. An Spekulationen über die Herkunft der Hacker-Gruppen beteiligt sich Eset jedoch nicht. Andere Sicherheitsfirmen und das FBI haben BlackEnergy in der Vergangenheit – nicht nur aber auch wegen der Auswahl seiner Angriffsziele – mehrfach mit dem russischen Militär in Verbindung gebracht.

Auch das deutsche Nationale Cyber-Abwehrzentrum beurteilt die Vorfälle in der Ukraine als die ersten erfolgreichen Cyberangriffe auf kritische Infrastruktur. Gemäß eines soeben veröffentlichten Lagebilds zur Gefährdungslage der Stromversorgung in Deutschland durch Cyberangriffe hat man bislang in Deutschland zwar keine konkreten, auf Sabotage abzielenden Angriffe auf Stromnetz-Betreiber beobachtet. Aber "es verdichten sich Hinweise, dass eine oder mehrere Tätergruppen langfristige Anstrengungen unternehmen, um Energie-Infrastrukturen in den USA und Europa aufzuklären", heißt es dort.

Übrigens sieht Cisco Talos auch einen technischen Zusammenhang zwischen BlackEnergy und dem riesigen Router-Botnetz VPNFilter. Das hat über eine halbe Million Geräte unter seiner Kontrolle – die meisten davon in der Ukraine. Aber auch in Deutschland fanden sich über 30.000 davon. (ju)