04.05.2022 16:30

Krieg in der Ukraine - Aktuelle Informationen

Dokumenthistorie

Allgemein herrschen derzeit aufgrund des Krieges in der Ukraine Spannungen im Cyberraum. Eine spezifische Gefährdung für Österreich im Allgemeinen ist weiterhin nicht auszumachen. Für Unternehmen, die enge technische oder geschäftliche Beziehungen zur Ukraine oder Russland haben beziehungsweise intensive Beziehungen zu EU-Institutionen oder der NATO pflegen sowie Organisationen, die in der Rüstungsindustrie oder am Energiemarkt tätig sind, besteht auch innerhalb Österreichs eine etwas höhere Gefährdungslage.

Wir sind in laufendem Kontakt mit unseren Kollegen im europäischen CERT/CSIRT Umfeld (CSIRTs Network) und den nationalen Koordinierungsstrukturen.

Die Bedrohungslage kann sich schnell ändern: Verfolgen Sie daher unsere Meldungen und Beiträge.

Die folgenden Punkte stellen vorfallsspezifische sowie auch allgemeine Handlungsempfehlungen dar: 

Ruhe bewahren

Wichtig ist, Ruhe zu bewahren und nichts zu überstürzen. Zu eilig umgesetzte Maßnahmen sind oft nicht wirksam und haben oft gegenteilige Effekte, beziehungsweise richten mehr Schaden an, als sie verhindern. Sehen Sie trotzdem die Chance, lang geplante Sicherheitsmaßnahmen jetzt zu etablieren.

Spam, Phishing und Trittbrettfahrer

Erfahrungsgemäß werden große Ereignisse oft dazu missbraucht, um mit themenspezifischen Ködern per E-Mail, Social Media, Handynachrichten, ... die Empfänger dazu zu bringen, Schadsoftware zu installieren oder Accountdaten preiszugeben. Auch in der aktuellen Situation ist damit zu rechnen. Ferner ist damit zu rechnen, dass auf die eine oder andere Weise versucht wird, die Wahrnehmung des Krieges zu beeinflussen. Das diesbezügliche Spektrum erstreckt sich von Propaganda-Operationen auf Social Media, über das Streuen von Gerüchten (u.a. durch DeepFakes) bis hin zur Nutzung von gekaperten Accounts von Journalist:innen oder Politiker:innen. Eine kritische Überprüfung der Nachrichtenquellen ist dementsprechend essenziell. Für Unternehmen empfiehlt es sich daher, deren Mitarbeiter (z.B. durch eine Art Auffrischungs E-Mail) an den richtigen/gewünschten Umgang mit derartigen E-Mails und Nachrichten zu erinnern. Bei Unsicherheiten empfiehlt sich auch die Lektüre entsprechender Ratgeber wie zum Beispiel jenem von Saferinternet. Nach Möglichkeit sollten Accounts mit 2-Faktor-Authentifizierung abgesichert werden, um sie vor etwaiger Übernahme proaktiv zu schützen.

DoS/DDoS

Klären Sie als Organisation DDoS-Mitigationsmöglichkeiten mit ihrem Internet Service Provider (ISP).

Auf beiden Seiten werden Werkzeuge zur Mitwirkung an Denial-of-Service (DoS/DDoS) Angriffen verteilt. Wir weisen darauf hin, dass derartige Software auch Schadprogramme (Ransomware, Wiper, Trojaner, ...) enthalten kann. Was dann wirklich bei der Ausführung passiert, kontrolliert der Verfasser, nicht Sie. Es könnten auch Systeme in Österreich direkt Ziel solcher DDoS-Angriffe werden, oder auch nur als Seiteneffekt gestört werden. Wir raten (nicht nur aus den genannten Gründen) davon ab, sich an aktiven DoS/DDoS Kampagnen zu beteiligen.

Mit fortlaufender Dauer des Konflikts hat sich eine Gruppe etabliert, die mit DDoS Angriffen auf der Seite Russlands aktiv geworden ist. Ziele sind primär Organisationen in Staaten, aktuell primär innerhalb der EU, die an militärischer Hilfe für die Ukraine beteiligt sind. Dazu zählen Flughäfen, Eisenbahnen und Banken aber auch die Webseiten staatlicher Einrichtungen. Auf technischer Ebene enthalten diese Angriffe keine neuen Techniken; ein gut vorbereitetes Ziel kann diese Angriffe abwehren.

Zugriffseinschränkung/GeoIP-Blocking

Evaluieren Sie ihre technischen Abwehrmaßnahmen und bereiten Sie sich nach Ihren Möglichkeiten auf die Umsetzung von GeoIP-Blocking vor. Beurteilen Sie diesbezügliche Möglichkeiten nach Ihrer jeweiligen Situation: Gibt es zum Beispiel Services, die nur aus Österreich erreicht werden müssen? Gibt es Services, die sicher nicht aus anderen bestimmten Ländern erreichbar sein müssen?

Direkte Angriffsfläche

Reduzieren Sie Ihre Angriffsfläche, um die daraus resultierende potentielle Verwundbarkeit einzuschränken. Ein Dienst, der nicht ausgeführt wird, kann auch nicht attackiert werden.

1. Bewertung: Welche Netzwerke, Hosts, Dienste und Ports sind über das Internet zugänglich?
2. Verifizierung: Scannen Sie das Netzwerk und notieren Sie sich alle exponierten Dienste.
3. Evaluierung: Erklären und begründen Sie die Notwendigkeit, jedes einzelnen Dienstes.
4. Begrenzung: Reduzieren Sie die Exposition, indem Sie Dienste deaktivieren oder filtern, die nicht zu 100 % erforderlich sind.

Indirekte Angriffsfläche

Prüfen Sie Ihre Lieferketten und Outsourcing-Partner auf Abhängigkeiten von der Krisenregion.
Bedenken Sie eine potentielle Abschottung russischer Netzwerke vom Rest des Internets durch Russland und die Auswirkungen das einzelne Internet Service Provider ihre Verbindungen zu Russland kappen beziehungsweise ihre Geschäftsbeziehungen mit russischen Kunden beenden. In Kombination mit anhaltenden DDoS-Angriffen gegen russische Netzinfrastruktur kann dies bedeuten, dass die Verbindung zu Systemen in russischen Netzbereichen in nächster Zeit gestört oder dauerhaft verhindert wird.
Selbiges gilt für Systeme in der Ukraine, deren Netzbereiche ebenfalls mit DDoS-Angriffen sowie fortschreitender Zerstörung von Infrastruktur in Folge der anhaltenden Kampfhandlungen in Mitleidenschaft gezogen werden.
Wir empfehlen zu evaluieren, ob es kritische Verbindungen (wie z.B. VPN-Tunnel oder lokale Active Directory-Systeme) in die betroffenen Regionen gibt und ob entsprechende Sicherheitsmaßnahmen getroffen wurden, im Fall von Verbindungsausfällen Kontakt halten zu können. Dies inkludiert auch potentielle Geschäftspartner (wie z.B. Outsourcing-Unternehmen) zu denen anhaltender Kontakt notwendig ist.  

Allgemeine Tipps

Überprüfen Sie Ihre vorhandenen Cybersicherheits-Systeme und -Prozesse auf ihre Funktion. Folgen Sie weiterhin allgemeinen Cybersicherheits-Empfehlungen und Best Practices (DDoS-Mitigation, Antivirus, Firewall, Multi-Faktor-Authentifizierung, zügiges Patchen, Backup-/Restore-Prozesse, offline Backups, erweitertes Logging, etc.). Generell empfiehlt sich, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden. 

Härtungsmaßnahmen im Detail

Mandiant liefert mit deren Whitepaper "PROACTIVE PREPARATION AND HARDENING TO PROTECT AGAINST DESTRUCTIVE ATTACKS" einen wertvollen Beitrag zur proaktiven Härtung von Unternehmensnetzwerken, mit erweitertem Fokus auf Angriffe mit destruktivem Potential. Sollten Sie bezüglich der in Ihrem Unternehmen gesetzten Maßnahmen unsicher sein, empfiehlt sich die Lektüre dieses Whitepapers zur weiteren Orientierung. 

Weitere Lektüre (in Originalsprache):

"SAFER SURFING"
Tipps zum richtigen Umgang mit Web, E-Mails, Social Media, Spam, Phishing und Co. von Saferinternet.at
https://www.saferinternet.at/fileadmin/categorized/Materialien/Safer_Surfing.pdf

"PROACTIVE PREPARATION AND HARDENING TO PROTECT AGAINST DESTRUCTIVE ATTACKS"
Empfehlungen zur proaktiven Härtung der eigenen Systemlandschaft gegen etwaige destruktive Attacken (Englisch)
https://www.mandiant.com/media/14506/download

"IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine"
Analysen, IOCs und TTPs von ESET zu aktuell im Ukraine-Konflikt eingesetzter (Wiper-)Malware (Englisch)
https://www.welivesecurity.com/2022/03/01/isaacwiper-hermeticwizard-wiper-worm-targeting-ukraine/

"Shields Up"
Empfehlungen zur Verbesserung der Reaktion auf Vorfälle, sowie Minimierung der Tragweite im Falle eines erfolgreichen Angriffs. Untergliedert in Maßnahmen für Unternehmen, Führungspersonal, sowie Privatpersonen (Englisch)
https://www.cisa.gov/shields-up

"CSIRTs Network - Security Guidance"
Archiv publizierter Sicherheitsempfehlungen von CERTs anderer europäischer Länder (Mehrsprachig)
https://github.com/enisaeu/CNW/blob/main/heightened.md

"Ukraine-Cyber-Operations"
Archiv von Vorfällen und technischen Indikatoren die Ukraine-Krise betreffend (Englisch)
https://github.com/curated-intel/Ukraine-Cyber-Operations