Der russische Militärgeheimdienst Sandworm fungierte im letzten Jahrzehnt als aggressivste Cyberangriffstruppe des Kremls, löste Stromausfälle in der Ukraine aus und veröffentlichte selbstverbreitenden, destruktiven Code bei Vorfällen, die nach wie vor zu den verheerendsten Hackerangriffen der Geschichte zählen. In den letzten Monaten hat jedoch eine Gruppe von Hackern, die mit Sandworm in Verbindung stehen, eine Art digitales Chaos angerichtet, das in mancher Hinsicht sogar über seinen Vorgänger hinausgeht: Sie haben die Verantwortung übernommen, direkt auf die digitalen Systeme von Wasserversorgern in den Vereinigten Staaten abzuzielen und Polen sowie einer Wassermühle in Frankreich, wobei Schalter umgelegt und Softwareeinstellungen geändert wurden, offensichtlich in dem Bemühen, die kritische Infrastruktur dieser Länder zu sabotieren.
Seit Anfang dieses Jahres hat sich eine Hacktivistengruppe namens „Cyber Army of Russia“ oder manchmal auch „Cyber Army of Russia Reborn“ mindestens dreimal für Hacking-Operationen verantwortlich gemacht, die auf US-amerikanische und europäische Wasser- und Wasserversorgungsunternehmen abzielten. In jedem Fall haben die Hacker Videos auf der Social-Media-Plattform Telegram gepostet, die Bildschirmaufzeichnungen ihrer chaotischen Manipulation sogenannter Mensch-Maschine-Schnittstellen zeigen, einer Software, die physische Geräte innerhalb dieser Zielnetzwerke steuert. Zu den offensichtlichen Opfern dieses Hackerangriffs gehören mehrere US-amerikanische Wasserversorger in Texas, eine polnische Kläranlage und Berichten zufolge eine französische Wassermühle, bei der es sich nach Angaben der Hacker um einen französischen Wasserkraftwerksdamm handelte. Es ist unklar, wie viel Störung oder Schaden die Hacker genau in einer dieser Einrichtungen angerichtet haben könnten.
A neuer Bericht Die heute von der Cybersicherheitsfirma Mandiant veröffentlichte Studie stellt eine Verbindung zwischen dieser Hackergruppe und Sandworm her, die seit Jahren als Einheit 74455 des russischen Militärgeheimdienstes GRU identifiziert wird. Mandiant fand Beweise dafür, dass Sandworm zur Gründung der Cyber Army of Russia Reborn beigetragen hat, und verfolgte mehrere Fälle, in denen Daten, die aus Netzwerken gestohlen wurden, die Sandworm angegriffen hatte, später von der Gruppe Cyber Army of Russia Reborn weitergegeben wurden. Mandiant konnte jedoch nicht feststellen, ob Cyber Army of Russia Reborn lediglich eine der vielen Tarnpersönlichkeiten ist, die Sandworm im letzten Jahrzehnt angenommen hat, um seine Aktivitäten zu verschleiern, oder ob es sich stattdessen um eine bestimmte Gruppe handelt, die Sandworm mitgegründet hat und mit der er zusammengearbeitet hat, was aber der Fall ist jetzt unabhängig agierend.
Wie dem auch sei, die Hackerangriffe von Cyber Army of Russia Reborn sind inzwischen in mancher Hinsicht noch dreister geworden als Sandworm selbst, sagt John Hultquist, der die Bedrohungsaufklärungsbemühungen von Mandiant leitet und die Hacker von Sandworm seit fast einem Jahrzehnt verfolgt. Er weist darauf hin, dass Sandworm nie direkt ein US-Netzwerk mit einem störenden Cyberangriff ins Visier genommen hat, sondern nur Malware in US-Netzwerke eingeschleust hat, um sich auf einen solchen Angriff vorzubereiten, oder, im Fall des NotPetya-Ransomware-Angriffs im Jahr 2017, US-Opfer indirekt mit sich selbst verbreitendem Code infiziert hat. Im Gegensatz dazu hat Cyber Army of Russia Reborn nicht gezögert, diese Grenze zu überschreiten.
„Obwohl diese Gruppe unter der Persona agiert, die mit Sandworm in Verbindung gebracht wird, wirkt sie rücksichtsloser als jeder russische Betreiber, den wir je gesehen haben, der die Vereinigten Staaten ins Visier nimmt“, sagt Hultquist. „Sie manipulieren aktiv betriebliche Technologiesysteme auf eine Weise, die höchst aggressiv, wahrscheinlich störend und gefährlich ist.“
Ein überfüllter Panzer und ein französischer Hahn
Mandiant hatte keinen Zugriff auf die Netzwerke der Wasserversorgungs- und Wasserkraftwerke und konnte daher nicht feststellen, wie Cyber Army of Russian Reborn Zugriff auf diese Netzwerke erhielt. Eines der Mitte Januar veröffentlichten Videos der Gruppe zeigt jedoch scheinbar eine Bildschirmaufzeichnung, die die Manipulation von Softwareschnittstellen für die Steuerungssysteme von Wasserversorgern in den texanischen Städten Abernathy und Muleshoe durch Hacker festhält. „Wir starten unsere nächste Razzia in den USA“, heißt es in einer Nachricht zur Einleitung des Videos auf Telegram. „In diesem Video gibt es einige kritische Infrastrukturobjekte, nämlich Wasserversorgungssysteme😋“
Das Video zeigt dann, wie die Hacker hektisch auf der Zielschnittstelle herumklicken und Werte und Einstellungen für die Steuerungssysteme beider Versorgungsunternehmen ändern. Allerdings sei nicht klar, welche Auswirkungen diese Manipulation gehabt haben könnte, so die texanische Zeitung Der Plainview Herald Anfang Februar berichtet dass örtliche Beamte die Cyberangriffe eingeräumt und ein gewisses Maß an Störungen bestätigt hätten. Der Stadtverwalter von Muleshoe, Ramon Sanchez, sagte Berichten zufolge in einer öffentlichen Versammlung, dass der Angriff auf die städtischen Versorgungsbetriebe zum Überlaufen eines Wassertanks geführt habe. Beamte der nahe gelegenen Städte Abernathy und Hale Center – ein Ziel, das im Video der Hacker nicht erwähnt wird – sagten ebenfalls, sie seien getroffen worden. Berichten zufolge haben die Versorgungsunternehmen aller drei Städte sowie eines weiteren in Lockney ihre Software deaktiviert, um deren Ausnutzung zu verhindern. Beamte sagten jedoch, dass der Service für die Kunden der Wasserversorger nie unterbrochen wurde. (WIRED wandte sich an die Beamten von Muleshoe und Abernathy, erhielt aber nicht sofort eine Antwort.)
Ein weiteres Video, das die Cyber Army of Russia Reborn-Hacker im Januar veröffentlicht haben, zeigt eine scheinbare Bildschirmaufzeichnung eines ähnlichen Sabotageversuchs an einem Abwasserversorger in Wydminy, einem Dorf in Polen, einem Land, dessen Regierung seither ein überzeugter Unterstützer der Ukraine ist Mitten in der russischen Invasion. „Hallo zusammen, heute spielen wir mit den polnischen Kläranlagen. Genieße das Zusehen!” sagt eine automatisierte russische Stimme zu Beginn des Videos. Das Video zeigt dann, wie die Hacker Schalter umlegen und Werte in der Software ändern, unterlegt mit einem Super Mario Bros.-Soundtrack. Die Wydminy-Einrichtung reagierte nicht auf die Bitte von WIRED um einen Kommentar.
In einem dritten Video, das im März veröffentlicht wurde, filmen die Hacker ebenfalls, wie sie das Kontrollsystem des Wasserkraftwerks Courlon Sur Yonne in Frankreich manipulieren. Tatsächlich die französische Zeitung Le Monde enthüllt Am Mittwoch berichteten sie, dass sie stattdessen auf das Steuerungssystem einer kleinen Wassermühle zugegriffen hätten, die durch ein Dorf mit 300 Einwohnern läuft. Dieses Video wurde veröffentlicht, kurz nachdem der französische Präsident Emmanuel Macron öffentliche Erklärungen abgegeben hatte, in denen er andeutete, er werde französisches Militärpersonal in die Ukraine schicken, um dort im Krieg gegen Russland zu helfen. Das Video zeigt zunächst Macron in Form eines Hahns, der eine französische Flagge hält. „Vor kurzem hörten wir einen französischen Hahn krähen“, heißt es in dem Video. „Heute werfen wir einen Blick auf den Courlon-Staudamm und haben ein bisschen Spaß. Viel Spaß beim Zuschauen, Freunde. Ehre sei Russland!“
In ihrem Telegram-Beitrag behaupten die Hacker, den Wasserstand des französischen Staudamms gesenkt und den von ihm erzeugten Stromfluss gestoppt zu haben, obwohl laut Le Mondees gelang ihnen nicht einmal, die kleine Wassermühle, die sie tatsächlich manipuliert hatten, in Mitleidenschaft zu ziehen.
In den Videos zeigen die Hacker zwar ein gewisses Wissen darüber, wie ein Wasserversorger funktioniert, aber auch ein wenig Unwissenheit und willkürliches Umlegen von Schaltern, sagt Gus Serino, Gründer des Cybersicherheitsunternehmens I&C Secure und ehemaliger Mitarbeiter eines Wasserversorgers und des Infrastruktur-Cybersicherheitsunternehmen Dragos. Serino stellt fest, dass die Hacker beispielsweise den „Stoppfüllstand“ für Wassertanks in den texanischen Versorgungsunternehmen geändert haben, was den von den Beamten erwähnten Überlauf hätte auslösen können. Er stellt jedoch fest, dass sie auch andere scheinbar willkürliche Änderungen vorgenommen haben, insbesondere für die Abwasseranlage Wydminy, die keine Auswirkungen gehabt hätten.