Seit Russland gestartet seine katastrophale Invasion in der Ukraine im Februar, der Cyberkrieg, den es seit langem gegen seinen Nachbarn führt, ist ebenfalls in eine neue Ära eingetreten – eine, in der Russland zeitweise zu versuchen scheint, die Rolle seiner Hacking-Operationen mittendrin zu bestimmen eines brutalen, physischen Bodenkrieges. Nach den Erkenntnissen eines Teams von Cybersicherheitsanalysten und Ersthelfern scheint sich mindestens ein russischer Geheimdienst auf eine neue Reihe von Cyberkriegstaktiken eingestellt zu haben: solche, die ein schnelleres Eindringen ermöglichen und oft das gleiche Ziel mehrmals innerhalb von nur wenigen Minuten durchbrechen Monate und manchmal sogar einen heimlichen Zugang zu ukrainischen Netzwerken aufrechtzuerhalten, während sie so viele Computer wie möglich darin zerstören.
Auf der CyberwarCon-Sicherheitskonferenz in Arlington, Virginia, stellten Analysten der Sicherheitsfirma Mandiant heute eine Reihe neuer Tools und Techniken vor, die der russische Militärgeheimdienst GRU ihrer Meinung nach gegen Ziele in der Ukraine einsetzt, wohin die Hacker der GRU seit Jahren gelangen viele der aggressivsten und zerstörerischsten Cyberangriffe der Geschichte. Laut den Mandiant-Analysten Gabby Roncone und John Wolfram, die sagen, dass ihre Ergebnisse auf monatelangen Mandiant-Fällen zur Reaktion auf Vorfälle in der Ukraine beruhen, hat sich die GRU insbesondere auf das verlagert, was sie als „Leben am Rande“ bezeichnen. Anstelle der Phishing-Angriffe, die GRU-Hacker in der Vergangenheit normalerweise verwendeten, um die Anmeldeinformationen der Opfer zu stehlen oder Hintertüren auf den Computern unwissender Benutzer innerhalb der Zielorganisationen zu installieren, zielen sie jetzt auf „Edge“-Geräte wie Firewalls, Router und E-Mail-Server ab und nutzen sie häufig aus Schwachstellen in diesen Maschinen, die ihnen einen unmittelbareren Zugriff ermöglichen.
Diese Verschiebung hat laut Roncone und Wolfram dem GRU mehrere Vorteile gebracht. Es hat den Hackern des russischen Militärs ermöglicht, viel schnellere und unmittelbarere Auswirkungen zu haben, manchmal in ein Zielnetzwerk einzudringen, ihren Zugriff auf andere Computer im Netzwerk zu verbreiten und nur Wochen später datenzerstörende Wiper-Malware einzusetzen, verglichen mit Monaten in früheren Operationen. In einigen Fällen konnten die Hacker mehrmals schnell hintereinander in dieselbe kleine Gruppe ukrainischer Ziele eindringen, sowohl für Wiper-Angriffe als auch für Cyberspionage. Und da die Edge-Geräte, die der GRU in diesen Netzwerken Fuß fassen, bei den Cyberangriffen der Agentur nicht unbedingt gelöscht werden, hat deren Hacking der GRU manchmal ermöglicht, ihren Zugang zu einem Opfernetzwerk zu behalten, selbst nachdem sie eine Datenvernichtungsoperation durchgeführt haben.
„Strategisch muss die GRU störende Ereignisse und Spionage ausbalancieren“, sagte Roncone WIRED vor ihrem und Wolframs CyberwarCon-Vortrag. „Sie wollen weiterhin in jedem einzelnen Bereich Schmerzen verursachen, aber sie sind auch ein militärischer Geheimdienstapparat und müssen immer mehr Echtzeitinformationen sammeln. Also haben sie begonnen, am Rande von Zielnetzwerken zu leben, um diese ständig bereit zu haben -Zugang und ermöglichen diese schnellen Operationen, sowohl für Störungen als auch für Spionage.”
In einer Zeitleiste, die in ihrer Präsentation enthalten ist, weisen Roncone und Wolfram auf nicht weniger als 19 destruktive Cyberangriffe hin, die Russland seit Anfang dieses Jahres in der Ukraine durchgeführt hat, mit Zielen in der gesamten Energie-, Medien-, Telekommunikations- und Finanzindustrie des Landes sowie Regierungsbehörden. Aber innerhalb dieses anhaltenden Sperrfeuers der Cyberkriegsführung weisen die Analysten von Mandiant auf vier verschiedene Beispiele für Eindringlinge hin, bei denen sie sagen, dass der Fokus der GRU auf das Hacken von Edge-Geräten ihr neues Tempo und ihre neuen Taktiken ermöglicht hat.
In einem Fall, sagen sie, nutzten GRU-Hacker die als ProxyShell bekannte Schwachstelle in Microsoft Exchange-Servern aus, um im Januar in einem Zielnetzwerk Fuß zu fassen, und trafen diese Organisation dann gleich im nächsten Monat, zu Beginn des Krieges, mit einem Wiper. In einem anderen Fall verschafften sich die GRU-Eindringlinge im April 2021 Zugriff, indem sie die Firewall einer Organisation kompromittierten. Als der Krieg im Februar begann, nutzten die Hacker diesen Zugriff, um einen Wiper-Angriff auf die Computer des Opfernetzwerks zu starten – und behielten dann den Zugriff über die Firewall hinweg bei ließen sie starten Ein weiterer Wiper-Angriff auf die Organisation nur einen Monat später. Im Juni 2021 beobachtete Mandiant, wie die GRU zu einer Organisation zurückkehrte, die sie bereits im Februar mit einem Wiper-Angriff getroffen hatte, und gestohlene Zugangsdaten ausnutzte, um sich bei ihrem Zimbra-Mailserver anzumelden und wieder Zugang zu erhalten, anscheinend für Spionage. Und in einem vierten Fall, im vergangenen Frühjahr, zielten die Hacker auf die Router einer Organisation durch eine als GRE-Tunneling bekannte Technik, die es ihnen ermöglichte, eine heimliche Hintertür in ihr Netzwerk zu schaffen – nur wenige Monate nachdem sie dieses Netzwerk zu Beginn des Krieges mit Wiper-Malware getroffen hatten.