Russische Hacker befanden sich mindestens seit Mai letzten Jahres im Rahmen eines Cyberangriffs im System des ukrainischen Telekommunikationsgiganten Kyivstar, der als „große Warnung“ für den Westen dienen sollte, sagte der ukrainische Cyber-Spionagechef gegenüber Reuters.
Der Hack, einer der dramatischsten seit der umfassenden Invasion Russlands vor fast zwei Jahren, hat ab dem 12. Dezember tagelang die Dienste des größten Telekommunikationsbetreibers der Ukraine für rund 24 Millionen Nutzer lahmgelegt.
In einem Interview enthüllte Illia Vitiuk, Leiterin der Cybersicherheitsabteilung des Sicherheitsdienstes der Ukraine (SBU), exklusive Details über den Hack, der seiner Meinung nach „katastrophale“ Zerstörungen verursachte und darauf abzielte, einen psychologischen Schlag zu landen und Informationen zu sammeln.
„Dieser Angriff ist eine große Botschaft, eine große Warnung, nicht nur an die Ukraine, sondern an die gesamte westliche Welt, um zu verstehen, dass niemand wirklich unantastbar ist“, sagte er. Er wies darauf hin, dass Kyivstar ein wohlhabendes Privatunternehmen sei, das viel in Cybersicherheit investiert habe.
Der Angriff habe „fast alles“ gelöscht, darunter Tausende virtuelle Server und PCs, sagte er und beschrieb es als wahrscheinlich das erste Beispiel eines zerstörerischen Cyberangriffs, der „den Kern eines Telekommunikationsbetreibers vollständig zerstörte“.
Bei seinen Ermittlungen stellte die SBU fest, dass die Hacker wahrscheinlich im März oder früher versucht hatten, in Kyivstar einzudringen, sagte er in einem Zoom-Interview am 27. Dezember.
„Im Moment können wir mit Sicherheit sagen, dass sie mindestens seit Mai 2023 im System waren“, sagte er. „Ich kann im Moment nicht sagen, seit wann sie … vollen Zugriff hatten: wahrscheinlich mindestens seit November.“
Die SBU ging davon aus, dass die Hacker mit der Zugriffsebene, die sie erlangten, in der Lage gewesen wären, persönliche Daten zu stehlen, den Standort von Telefonen zu ermitteln, SMS-Nachrichten abzufangen und möglicherweise Telegram-Konten zu stehlen, sagte er.
Ein Kyivstar-Sprecher sagte, das Unternehmen arbeite eng mit der SBU zusammen, um den Angriff zu untersuchen, und werde alle notwendigen Schritte unternehmen, um künftige Risiken auszuschließen, und fügte hinzu: „Es wurden keine Fakten über den Verlust von persönlichen Daten und Abonnentendaten bekannt.“
Vitiuk sagte, die SBU habe Kyivstar dabei geholfen, seine Systeme innerhalb weniger Tage wiederherzustellen und neue Cyberangriffe abzuwehren.
„Nach der großen Pause gab es eine Reihe neuer Versuche, den Betreibern noch mehr Schaden zuzufügen“, sagte er.
Kyivstar ist der größte der drei größten Telekommunikationsbetreiber der Ukraine und etwa 1,1 Millionen Ukrainer leben in kleinen Städten und Dörfern, in denen es keine anderen Anbieter gibt, sagte Vitiuk.
Wegen des Angriffs beeilten sich die Leute, andere SIM-Karten zu kaufen, was zu großen Warteschlangen führte. Geldautomaten, die Kyivstar-SIM-Karten für das Internet nutzten, funktionierten nicht mehr und die Luftschutzsirene, die bei Raketen- und Drohnenangriffen eingesetzt wurde, funktionierte in einigen Regionen nicht richtig, sagte er.
Er sagte, der Angriff habe keine großen Auswirkungen auf das ukrainische Militär gehabt, das nicht auf Telekommunikationsbetreiber angewiesen sei und „verschiedene Algorithmen und Protokolle“ verwende, wie er es beschrieb.
„Apropos Drohnenerkennung, wenn wir über Raketenerkennung sprechen, nein, diese Situation hat uns zum Glück nicht stark betroffen“, sagte er.
Russischer Sandwurm
Die Untersuchung des Angriffs ist schwieriger, da die Infrastruktur von Kyivstar zerstört wurde.
Vitiuk sagte, er sei „ziemlich sicher“, dass es von Sandworm durchgeführt wurde, einer Cyberwarfare-Einheit des russischen Militärgeheimdienstes, die mit Cyberangriffen in der Ukraine und anderswo in Verbindung gebracht wird.
Vor einem Jahr drang Sandworm in einen ukrainischen Telekommunikationsbetreiber ein, wurde jedoch von Kiew entdeckt, weil sich die SBU selbst in russischen Systemen aufgehalten hatte, sagte Vitiuk und lehnte es ab, das Unternehmen zu identifizieren. Der frühere Hack wurde bisher nicht gemeldet.
Das russische Verteidigungsministerium reagierte nicht auf eine schriftliche Bitte um Stellungnahme zu Vitiuks Äußerungen.
Vitiuk sagte, das Verhaltensmuster lege nahe, dass Telekommunikationsbetreiber weiterhin ein Ziel russischer Hacker sein könnten. Die SBU habe im vergangenen Jahr über 4.500 große Cyberangriffe auf ukrainische Regierungsstellen und kritische Infrastruktur vereitelt, sagte er.
Eine Gruppe namens Solntsepyok, von der der SBU annimmt, dass sie mit Sandworm verbunden ist, gab an, für den Angriff verantwortlich zu sein.
Vitiuk sagte, die Ermittler des SBU arbeiteten immer noch daran, herauszufinden, wie in Kyivstar eingedrungen sei oder welche Art von Trojaner-Malware für den Einbruch verwendet worden sein könnte. Er fügte hinzu, dass es sich um Phishing, jemanden, der von innen half, oder etwas anderes handeln könnte.
Wenn es sich um einen Insider-Job handele, verfüge der Insider, der den Hackern geholfen habe, nicht über einen hohen Bekanntheitsgrad im Unternehmen, da die Hacker Malware nutzten, um Hashes von Passwörtern zu stehlen, sagte er.
Proben dieser Malware wurden wiederhergestellt und werden analysiert, fügte er hinzu.
Der CEO von Kyivstar, Oleksandr Komarov, sagte am 20. Dezember, dass alle Dienstleistungen des Unternehmens im ganzen Land vollständig wiederhergestellt seien. Vitiuk lobte die Bemühungen der SBU zur Reaktion auf Vorfälle, die Systeme sicher wiederherzustellen.
Der Angriff auf Kyivstar sei möglicherweise durch Ähnlichkeiten mit dem russischen Mobilfunkbetreiber Beeline erleichtert worden, der über eine ähnliche Infrastruktur verfügt, sagte Vitiuk.
Die schiere Größe der Infrastruktur von Kyivstar wäre mit fachkundiger Anleitung einfacher zu bewältigen gewesen, fügte er hinzu.
Die Zerstörung in Kyivstar begann gegen 5:00 Uhr Ortszeit, als sich der ukrainische Präsident Wolodymyr Selenskyj in Washington aufhielt und den Westen drängte, weiterhin Hilfe zu leisten.
Vitiuk sagte, der Angriff sei zu einer Zeit, in der die Menschen Kommunikationsschwierigkeiten hatten, nicht von einem größeren Raketen- und Drohnenangriff begleitet worden, was seine Auswirkungen begrenzte und gleichzeitig auf ein leistungsstarkes Instrument zur Informationsbeschaffung verzichtete.
Warum sich die Hacker für den 12. Dezember entschieden hätten, sei unklar, sagte er und fügte hinzu: „Vielleicht wollte irgendein Oberst General werden.“
