Über fast ein Jahrzehnt hat die Hackergruppe Sandworm innerhalb des russischen Militärgeheimdienstes GRU einige der verheerendsten Cyberangriffe der Geschichte gegen die Stromnetze, das Finanzsystem, die Medien und Regierungsbehörden der Ukraine gestartet. Die Anzeichen deuten nun darauf hin, dass derselbe übliche Verdächtige für die Sabotage eines wichtigen Mobilfunkanbieters des Landes, die Unterbrechung der Kommunikation für Millionen von Menschen und sogar für die vorübergehende Sabotage des Luftangriffswarnsystems in der Hauptstadt Kiew verantwortlich ist.
Am Dienstag traf ein Cyberangriff Kyivstar, einen der größten Mobilfunk- und Internetanbieter der Ukraine. Die Einzelheiten der Durchführung dieses Angriffs sind noch unklar. Laut a führte dies jedoch „zur Blockade wesentlicher Dienste des Technologienetzwerks des Unternehmens“. Stellungnahme Gepostet vom Computer Emergency Response Team der Ukraine (CERT-UA).
Der CEO von Kyivstar, Oleksandr Komarov, sagte am Dienstag gegenüber dem ukrainischen Nationalfernsehen: laut Reutersdass der Hacking-Vorfall „erheblichen Schaden angerichtet hat [Kyivstar’s] Infrastruktur [and] beschränkter Zugang.”
„Wir konnten dem auf virtueller Ebene nicht entgegenwirken, also haben wir Kyivstar physisch abgeschaltet, um den Zugang des Feindes einzuschränken“, fuhr er fort. „Krieg findet auch im Cyberspace statt. Leider sind wir von diesem Krieg betroffen.“
Die ukrainische Regierung hat den Cyberangriff noch nicht öffentlich einer bekannten Hackergruppe zugeschrieben – noch haben Cybersicherheitsunternehmen oder Forscher dies getan. Doch am Dienstag wies ein ukrainischer Beamter der Computersicherheitsbehörde SSSCIP, die CERT-UA beaufsichtigt, in einer Nachricht an Reporter darauf hin, dass eine Gruppe namens Solntsepek in einem Telegram-Beitrag die Verantwortung für den Angriff übernommen habe, und wies darauf hin, dass die Gruppe dies getan habe wurde mit der berüchtigten Sandworm-Einheit der russischen GRU in Verbindung gebracht.
„Wir, die Solntsepek-Hacker, übernehmen die volle Verantwortung für den Cyberangriff auf Kyivstar. Wir haben 10 Computer, mehr als 4.000 Server, alle Cloud-Speicher- und Backup-Systeme zerstört“, heißt es in der Nachricht auf Russisch, die an den ukrainischen Präsidenten Wolodymyr Selenskyj gerichtet und auf dem Telegram-Konto der Gruppe veröffentlicht wurde. Die Nachricht enthält auch Screenshots, die den Zugriff auf das Netzwerk von Kyivstar zu zeigen scheinen, obwohl dies nicht überprüft werden konnte. „Wir haben Kyivstar angegriffen, weil das Unternehmen Kommunikation für die Streitkräfte der Ukraine sowie für Regierungs- und Strafverfolgungsbehörden der Ukraine bereitstellt. Der Rest der Büros, die den Streitkräften der Ukraine helfen, macht euch bereit!“
Solntsepek wurde zuvor als Tarnung für die Hackergruppe Sandworm, die in Moskau ansässige Einheit 74455 der russischen GRU, genutzt, sagt John Hultquist, Leiter der Bedrohungsaufklärung beim Google-eigenen Cybersicherheitsunternehmen Mandiant und langjähriger Verfolger der Gruppe. Er lehnte es jedoch ab, zu sagen, welche Netzwerkeingriffe von Solntsepek in der Vergangenheit mit Sandworm in Verbindung gebracht wurden, was darauf hindeutet, dass einige dieser Eingriffe möglicherweise noch nicht öffentlich sind. „Es ist eine Gruppe, die die Verantwortung für Vorfälle beansprucht, von denen wir wissen, dass sie von Sandworm begangen wurden“, sagt Hultquist und fügt hinzu, dass Solntsepeks Telegram-Beitrag seine früheren Vermutungen bestärkt, dass Sandworm dafür verantwortlich war. „Angesichts ihrer konsequenten Fokussierung auf diese Art von Aktivitäten ist es kaum überraschend, dass eine weitere große Störung damit verbunden ist.“