Im Rahmen zweier Anklagen

USA veröffentlichen Namen und Fotos russischer Elite-Hacker

Uhr
von Oliver Wietlisbach, Watson

Die US-Regierung hat vier mutmassliche russische Staats-Hacker angeklagt. Sie sollen von 2012 bis 2018 im Auftrag des Geheimdienstes auf der halben Welt Angriffe auf Energiekonzerne vorbereitet haben – auch in der Schweiz.

(Source: REDPIXEL.PL / Shutterstock.com)
(Source: REDPIXEL.PL / Shutterstock.com)

US-Präsident Joe Biden hat vergangene Woche erneut vor russischen Cyberangriffen gewarnt. Es gebe immer mehr Hinweise darauf, dass Russland digitale Angriffe als Reaktion auf die Wirtschaftssanktionen des Westens prüfe. Er forderte Unternehmen in den USA eindringlich auf, ihre Schutzmassnahmen zu verstärken: "Härten Sie Ihre Cyberabwehr, sofort!"

Nur drei Tage später veröffentlichte die US-Regierung zwei bisher unter Verschluss gehaltene Anklagen gegen vier russische Staatsbürger.

Mutmassliche russische Staats-Hacker am Pranger: Die US-Regierung setzt auf "Naming and Shaming". (Source: Department of Justice / Office of Public Affairs)

Die Anklage wirft ihnen vor, westliche Energiekonzerne jahrelang mit ausgefeilten Hackerattacken infiltriert und sabotiert zu haben. Drei der Männer sollen von 2012 bis 2018 im Auftrag des russischen Geheimdienstes FSB zahlreiche Unternehmen aus dem Energiesektor in über 135 Ländern attackiert "und in vielen Fällen gehackt haben" – darunter Unternehmen in den USA, Deutschland und der Schweiz. Ausspioniert wurden demnach unter anderem Öl- und Gaskonzerne, Stromnetzbetreiber, Atomkraftwerke und Unternehmen im Bereich erneuerbare Energien.

Angriff am Tag X

Die Mission der Hacker bestand darin, kritische Ziele für spätere Angriffe zu infiltrieren. Hierzu sollte Schadsoftware in zentrale Anlagen eingeschmuggelt werden. Dies ermöglicht im schlimmsten Fall, kritische Infrastruktur an einem vom Angreifer gewählten Tag X zu manipulieren oder komplett stillzulegen. Kompromittierte Energie- oder Wasserversorger, die auf Knopfdruck aus der Ferne von feindlichen Akteuren ausgeschaltet werden könnten, sind für jedes Land ein Albtraumszenario.

Die beiden separaten Anklagen stammen von Mitte 2021, wurden aber von den US-Behörden erst Ende vergangener Woche publik gemacht. Der Zeitpunkt ist kaum zufällig gewählt. Sie sollen Bidens Warnung vor Cyberattacken Nachdruck verleihen: "Eine Bedrohung, die menschliche Gesichter hat, wird möglicherweise ernster genommen als abstrakte Verweise auf Geheimdiensthacker", schreibt "Spiegel.de". Das deutsche Newsportal hat die wichtigsten Punkte aus den beiden Anklageschriften zusammengefasst.

Cyberangriffe auf Raffinerien

Die erste nun publik gemachte Anklage richtet sich gegen einen 36-jährigen Russen, Evgeny G., der für ein Forschungsinstitut des russischen Verteidigungsministeriums arbeiten soll.

Er und andere Mitstreiter sollen 2017 während mehrerer Monate in eine nicht näher genannte Raffinerie ausserhalb der USA eingedrungen sein. Mit einer ausgeklügelten Schadsoftware namens Triton hätten sie im schlimmsten Fall "das dort eingesetzte Sicherheitssystem des französischen Konzerns Schneider Electric manipulieren und deaktivieren können – ohne dass die Raffineriemitarbeiter es auf ihren Kontrollmonitoren bemerkt hätten", schreibt "Spiegel.de". Laut Anklage hatte die Cyberattacke das Potenzial "die Anlagen der Raffinerie zu beschädigen, wirtschaftlichen Schaden zu verursachen und sogar Mitarbeiter zu verletzen".

Der Cyberangriff scheiterte, weil das Sicherheitssystem Alarm schlug und mit einer Notabschaltung reagierte. Die gleichen Hacker sollen 2018 mehrere Raffinerien in den USA angegriffen haben – laut US-Anklage ebenfalls erfolglos.

Bei einer Verurteilung drohen dem Angeklagten bis zu 45 Jahre Gefängnis. Da Russland kein Auslieferungsabkommen mit den USA hat, wird er mit allergrösster Wahrscheinlichkeit nie eine US-Haftanstalt von innen sehen.

Triton ist ein mächtiges Schadprogramm, das erstmals 2017 beim Versuch einer Cyberattacke auf saudische Petrochemieanlagen in die Schlagzeilen geriet. Der Angriff hätte potenziell katastrophale Folgen haben können – bis zum Austreten von Giftgasen und Explosionen. Laut Medienberichten hat damals nur ein kleiner Fehler der Hacker dazu geführt, dass das Sicherheitssystem ansprang.

Das angegriffene Sicherheitssystem von Schneider Electric kommt weltweit in Öl-, Gas- und Kernkraftwerken zum Einsatz.

17'000 infizierte Geräte in über 135 Ländern

In der zweiten Anklageschrift geht es "um jahrelange und ausgefeilte mehrstufige Versuche, Einrichtungen der Energiewirtschaft anzugreifen". Dies in tausenden Fällen in mehr als 135 Ländern – darunter auch die Schweiz. Die Namen der betroffenen Schweizer Firmen werden nicht genannt.

Angeklagt werden drei namentlich genannte und auf Fotos identifizierte Mitarbeiter der Einheit 71330 des russischen Geheimdienstes FSB. Sie sollen einer staatlichen Hackergruppe angehören, die seit rund zehn Jahren unter Namen wie "Energetic Bear", "Dragonfly" und "Crouching Yeti" ihr Unwesen treibt.

Die Beschuldigten haben laut Anklage seit 2012 auf der halben Welt Kontrollsysteme von Unternehmen aus der Energiebranche angegriffen. Die Angriffe erfolgten in einer frühen Phase via Phishingmails oder gefälschter Softwareupdates. Den Hackern soll es in mehr als 17'000 Fällen gelungen sein, ihre Schadsoftware namens Havex auf den Zielgeräten, beispielsweise bei Stromversorgern, zu installieren.

Ab 2014 verschickten sie unter anderem gezielt Phishingmails an rund 3300 Mitarbeiter von mehr als 500 internationalen Unternehmen. Sie sollen zahlreiche Unternehmen infiltriert haben, darunter die Firma Wolf Creek im US-Bundesstaat Kansas, die ein Kernkraftwerk betreibt. Die Angreifer hatten laut Anklage Zugriff auf den Buchhaltungsbereich, bissen sich aber an den separat geschützten Kontrollsystemen die Zähne aus.

Enttarnte Hacker sind Botschaft an den Kreml

Den Angeklagten im Alter von 36, 39 und 42 Jahren drohen theoretisch Haftstrafen zwischen 25 und 47 Jahren. Theoretisch, da Russland seine Staatshacker wohl kaum ausliefern wird. Sie wissen nun aber, dass sie im Ausland mit einer Verhaftung rechnen müssen. Zudem sei die Anklage eine Botschaft an den Kreml, schreibt "Spiegel.de": "Wir sehen, was ihr glaubt, im Geheimen zu tun, wir sind euch technisch überlegen."

Die US-Regierung setzt seit einigen Jahren auf "Naming and Shaming", sprich enttarnte Agenten und Staatshacker öffentlich an den Pranger stellen und in eine beschämende Situation bringen.

Deutschland warnt vor Cyberangriffen

Im Westen ist die Furcht vor russischen Cyberangriffen mit Ausbruch des Ukraine-Kriegs nochmals markant gestiegen: Russland verfüge "zweifelsohne" über die Fähigkeiten, sowohl kritische Infrastruktur als auch militärische Einrichtungen und den politischen Betrieb "erheblich und nachhaltig zu sabotieren", warnt der deutsche Verfassungsschutz.

Die Besorgnis ist nicht unbegründet: 2015 und 2016 sorgten Elitehacker des russischen Geheimdienstes für Blackouts bei mehreren Elektrizitätswerken in der Ukraine. Es wurde daher befürchtet, dass Russland mit Beginn der Invasion in der Ukraine für einen landesweiten Stromausfall sorgen könnte.

Dies hat sich nicht bewahrheitet. Mutmasslich, weil die Ukraine ihre kritischen Infrastrukturen inzwischen besser gegen Cyberangriffe abschotten kann – oder aber weil selbst die russischen Staatshacker von Putins Angriffskrieg überrascht wurden.

Denkbar ist auch, dass Putin massive Cyberschläge gegen ukrainische Energiekonzerne zunächst für unnötig hielt, da er von einem Blitzsieg ausging. In diesem Fall hätte es wenig Sinn ergeben, der ukrainischen Infrastruktur zu schaden.

Auch Biden warnt längst nicht zum ersten Mal vor Cyberangriffen: Bereits im Juli 2021 hatte er vor einer Eskalation gewarnt: Cyberattacken könnten "in einem echten Krieg mit einer Grossmacht enden", sagte er damals als Reaktion auf einen Hackerangriff gegen eine der wichtigsten Benzinpipelines der USA. Der Betrieb der Pipeline kam dadurch komplett zum Erliegen, was in Teilen des Landes Benzinengpässe, lange Warteschlangen vor Tankstellen und Panikkäufe verursachte.

Dieser Artikel erschien zuerst bei Watson.ch.

Webcode
DPF8_251379