Überblick über die 9 verschiedenen Datenlöschprogramme, die im Ukraine-Krieg eingesetzt wurden

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Dieser Bericht dient als vergleichender Überblick auf hoher Ebene über die neun Wiper, die von der Insikt Group im Zusammenhang mit dem anhaltenden Krieg zwischen der Ukraine und Russland analysiert wurden. Es soll Einblicke in die Ähnlichkeiten und Unterschiede zwischen den Tools und die geopolitischen Auswirkungen ihrer Entwicklung und Nutzung geben. Dieser Bericht richtet sich an Personen, die einen umfassenden technischen Überblick über die Scheibenwischer suchen. Zu den verwendeten Quellen gehören Reverse-Engineering-Tools, OSINT, die Recorded Future ® -Plattform und PolySwarm.

Executive Summary

Während es sich beim Krieg zwischen der Ukraine und Russland in erster Linie um einen kinetischen Konflikt handelt, tauchten unmittelbar vor und während der ersten zwei Monate des Krieges mehrere zerstörerische Datenlöschprogramme auf, die auf ukrainische Einrichtungen abzielten und den Konflikt in den Cyberspace trugen. Die neun von der Insikt Group analysierten Wiper verfolgten dasselbe hochrangige Zerstörungsziel, unterschieden sich jedoch in der technischen Umsetzung und den von ihnen angegriffenen Betriebssystemen. Dies legt die Vermutung nahe, dass es sich bei jedem von ihnen um ein eigenständiges Tool handelte, das möglicherweise von unterschiedlichen Autoren erstellt wurde. Mit der Zeit wurden die Wiper auch auf technischer Ebene einfacher: Die Anzahl der Schritte wurde reduziert, es wurden Verschleierungsmechanismen eingesetzt und es wurden Versuche unternommen, sich als Ransomware zu tarnen. Allerdings erreichte keiner dieser Versuche die Komplexität anderer bekannter, vom russischen Staat gesponserter Schadsoftware.

Die Wiper-Einsatzaktivitäten stehen im Einklang mit früheren vom russischen Staat geförderten Cyber-Operationen gegen die Ukraine und andere Länder. Diese Einsätze finden oft vor und während aktiver Konflikte statt und sollen wahrscheinlich als „Kraftmultiplikator“ für russische Militäroperationen wirken. Die laufenden Bemühungen, disruptive Cyberoperationen gegen ukrainische Ziele durchzuführen, zeigen, dass die russische Regierung derartige Operationen mit ziemlicher Sicherheit für sinnvoll erachtet, und legen nahe, dass diese Bemühungen wahrscheinlich fortgesetzt werden.

Wichtige Urteile

• Sechs der von der Insikt Group analysierten und mit dem Ukraine/Russland-Konflikt in Zusammenhang stehenden Wiper-Programme dienten alle dem gleichen zerstörerischen Zweck, nämlich einen Windows-Rechner funktionsunfähig zu machen; die anderen Wiper-Programme zielten auf Linux-Systeme (einschließlich Satellitenmodems) ab.
• Die Wiper weisen keine offensichtlichen Ähnlichkeiten im Code auf und es ist unwahrscheinlich, dass es sich dabei um Iterationen oder neue Versionen voneinander handelt.
• HermeticWiper war der einzige Wiper, der von einer Wurmkomponente namens HermeticWizard verbreitet wurde. HermeticWizard beschränkte seine Verbreitung auf lokale IP-Adressen innerhalb des Netzwerks des Opfers und verhinderte so die externe Verbreitung, die bei anderen Wurmvorfällen wie NotPetya zu beobachten war.
• Keiner der Wiper selbst verfügte über eine Netzwerkkonnektivitätsfunktion, die es ihnen ermöglicht hätte, die Daten der Opfer weiter zu exfiltrieren. Dies legt die Vermutung nahe, dass ihr Zweck die gezielte Zerstörung bestimmter Entitäten war.

Hintergrund

In der Vergangenheit ließ sich ein Muster erkennen, dass Entitäten, die höchstwahrscheinlich im Interesse der russischen Regierung handelten, vor und gleichzeitig mit russischen Militäreinsätzen Cyberoperationen durchführten. Solche Operationen gab es mindestens im August 2008. Damals wurde in Berichten von prorussischen Hacktivisten berichtet, die eine Reihe anhaltender Distributed-Denial-of-Service-Attacken (DDoS) und die Zerstörung von Websites georgischer Ressourcen in den Bereichen Regierung, Bankwesen, Medien, Kommunikation und Transport durchführten. Die Attacken geschahen etwa zur selben Zeit, als das russische Militär eine Offensive in Südossetien startete und ganz Georgien mit Bombenangriffen bombardierte. Seit 2014 haben vom russischen Staat gesponserte und dem russischen Hauptnachrichtendienst (GRU) angeschlossene APT-Gruppen (Advanced Persistent Threat) wie beispielsweise Sandworm kontinuierlich Cyberoperationen gegen wichtige inländische Sektoren in der Ukraine durchgeführt, so etwa in den Jahren 2015 und 2016 gegen das Stromnetz (1, 2 sowie im Jahr 2017 gegen „Stromversorgungsunternehmen, Banken, Flughäfen und Regierungsbehörden“. Nach dem Beginn der groß angelegten russischen Invasion und dem darauffolgenden Krieg in der Ukraine versuchten Sandworm und andere vermutlich mit dem GRU verbundene Bedrohungsgruppen erneut, parallel zu Militäroperationen Cyberangriffe gegen ukrainische Einrichtungen durchzuführen. Zuletzt führten sie eine Reihe erfolgloser Angriffe zur Datenlöschung durch. In diesem Bericht werden die Schadsoftware, ihr Zeitpunkt sowie die Taktiken, Techniken und Verfahren (TTPs) dieser Wiper-Angriffe untersucht und ihre Bedeutung für den Gesamtkonflikt untersucht.