23.05.2022

Öl- und Gasinfrastrukturen sind durch Cyberkriege gefährdet

Der erste Cyberangriff gegen die Ukraine, der mit dem aktuellen Konflikt mit Russland in Verbindung gebracht wird, war ein "untypischer" Ransomware-Angriff am 13. Januar 2022 - ein sogenannter „Fake“ Ransomware-Angriff ohne Lösegeldforderung. Die verwendeten Malware-Tools ("WhisperGate") sind so konzipiert, dass sie wie Ransomware aussehen, aber keine Wiederherstellungsfunktion besitzen. Die Angreifer nutzten stattdessen die Verschlüsselung der Ransomware, um so viel Zerstörung wie möglich anzurichten, ohne die Möglichkeit, Daten wiederherzustellen.

Am nächsten Tag, dem 14. Januar, veröffentlichten die Hacker auf rund 70 ukrainischen Regierungswebsites die Nachricht "Habt Angst und wartet auf das Schlimmste". Die Nachrichten wurden sofort entfernt und die Websites wiederhergestellt, aber die forensischen Ermittler glauben, dass die Hacker den anfänglichen Schaden absichtlich begrenzt und eine noch zerstörerischere Malware installiert haben, die später ausgelöst wird.

Am 15. Februar begannen drei DDoS-Angriffe, die mehrere ukrainische Banken-Websites, mobile Apps und Geldautomaten zum Absturz brachten. Laut ComputerWeekly wurde die Malware im Oktober 2021 erstellt, was darauf hindeutet, dass dieser Cyberangriff Teil einer größeren Operation sein könnte. Im März stellten Netzwerkexperten fest, dass die ukrainische Zivilbevölkerung mit deutlich mehr Phishing-E-Mails als üblich bombardiert wurde.

Kritische Infrastrukturen zur Nutzung natürlicher Ressourcen waren ein wichtiges Ziel von Cyberangriffen im Rahmen dieses Konflikts, aber nicht alle Angriffe waren regional auf die Ukraine begrenzt. So berichten einige Nachrichtenquellen, dass etwa zwei Wochen vor dem Einmarsch in die Ukraine eine "vorbereitende" Kampagne von Cyberangriffen auf Erdgasproduzenten in den USA begann. Diese Taktiken zeigen, was Betreiber kritischer Infrastrukturen weltweit tun könnten, um systemrelevante Dienst- und Versorgungsleistungen vor Unterbrechungen durch Cyberangriffe zu schützen:

·      Segmentierung des Netzwerks in einzelne Zonen, damit sich Angreifer nicht ohne Weiteres innerhalb der OT-Umgebung bewegen und sich Bedrohungen nicht ausbreiten können

·      Sperrung von Endgeräten, damit sie keine Programme ausführen können, die nicht auf einer Vertrauensliste („Trust List“) stehen und so die Ausführung von Malware verhindern.

·      Sicherung von Schwachstellen in älteren Produktionsanlagen mithilfe von virtuellem Patching, um zu vermeiden, dass Angreifer vorhandene Schwachstellen auf verschiedene Weise ausnutzen, z. B. um so unerlaubt Zugang zu Netzwerken an den jeweiligen  Standorten zu erhalten.