19.10.2023 14:36

Es cyberwar't wieder. Oder so.

Wichtiger Disclaimer vorweg: Die Beiträge in unserem Blog werden von Mitarbeiter:innen von CERT.at verfasst, und spiegeln deren Meinung(en) wieder, nicht "offizielle" Meinungen und Ansichten des nationalen Computernotfallsteams.

Ich habe mir größtmögliche Mühe gegeben, mich auf vorhandene Fakten zu konzentrieren, technische Informationen in den Vordergrund zu stellen und auch sprachlich neutral zu bleiben. Dennoch kann ich nicht ausschließen, dass mir Formulierungen durchgerutscht sind, die in irgendeiner Weise politisch gefärbt sind. Wo dies der Fall ist, handelt es sich um einen Fehler des persönlichen Lektorats und keine bewusste Meinungsäusserung - nicht von mir, und insbesondere nicht von CERT.at


Wie schon zu Beginn des Krieges in der Ukraine vor inzwischen eineinhalb Jahren, kam es auch kurz nach den Ereignissen, die am 07.10.2023 Israel erschüttert haben, relativ schnell zu Berichten über die mögliche Rolle von Cyberangriffen in diesem Konflikt.

Neben den Beiträgen von Journalist:innen und Nachrichtenportalen wurden soziale Netzwerke geradezu überschwemmt mit Berichten über Angriffe, zu vermeintlichen Leaks sensibler Daten und zu angeblichen Kompromittierungen kritischer Infrastruktur.

Nach mehreren Jahren in dieser Branche hebe ich - und wahrscheinlich auch die meisten Expert:innen - in solchen Situationen bei Defacements von Webseiten aller Art schon nicht einmal mehr eine Augenbraue. Auch die unzähligen, meist kurzlebigen DDoS-Angriffe sorgen (ausser bei überarbeiteten, unterbezahlten Systemadministrator:innen kleiner Unternehmen) für keine übermäßigen Schweissausbrüche mehr.

Das war den Angreifer:innen anscheinend bewusst, also wurden Gerüchte über einen angeblichen Hack des israelischen Raketenabwehrsystems "Iron Dome" verbreitet, aus dem dann schnell "Angriffe gegen kritische Punkte des Iron Dome" wurden. Auch israelische Unternehmen wurden Opfer - unter anderem wurden ganze Produktionsfirmen gehackt - und sogar kritische Infrastruktur in Form eines Kraftwerkes wurde kompromittiert. Zum darüberstreuen wurden israelische Energie-, Telekommunikations- und Rüstungsunternehmen dann auch noch von einem der Hamas zugerechneten Bedrohungsakteur ins Visier genommen.

Im ersten Moment, vor allem vor dem Hintergrund der analogen Geschehnisse, wirkt das wie eine Menge an erschreckenden und effektiven Angriffen auf teilweise vitale Ziele einer modernen Gesellschaft. Wenn man jedoch genauer hinschaut, dann fällt die Fassade der effizienten, effektiven, und vermeintlich vor nichts Halt machenden Hacker relativ schnell in sich zusammen.

Welche "kritischen Punkte des Iron Dome" von den Kriminellen nun tatsächlich angegriffen wurden, ließ sich nicht in Erfahrung bringen, sonderlich effektiv scheinen die Angriffe jedoch nicht gewesen zu sein. Der Hack einer Produktionsfirma stellte sich am Ende als ein Defacement der Webseite des Unternehmens hervor. Einer Webseite, deren Relevanz ich anzuzweifeln wage, nachdem sie mehr als eine Woche später immer noch mit dem "digitalen Graffiti" der Angreifer:innen verziert ist.

Und was das angeblich durch die Täter:innen übernommene Kraftwerk betrifft, so treffen die Berichte in der Tat zu. Unter der Voraussetzung, dass man die Bedeutung des Wortes "übernehmen" so neu definiert, dass man damit die Wiederaufbereitung Jahre alter Leaks meint.

Der als Letztes genannte Versuch eines der Hamas zugerechneten Bedrohungsakteurs, israelische Unternehmen zu kompromittieren hat wirklich stattgefunden - zu Beginn des Jahres, wie der Bericht von Microsoft, auf den sich die Autor:innen von "The Hacker News" beziehen, auch sehr deutlich sagt. Dieses meiner Meinung nach gezielte In-die-Irre-führen hinterlässt, gerade in Anbetracht der Situation, einen mehr als bitteren Beigeschmack.

Was einer Gruppe Angreifer:innen tatsächlich gelungen ist: Eine in Israel verbreitete mobile Applikation zur Warnung vor Raketenangriffen beinhaltete eine Sicherheitslücke, die es dem Bedrohungsakteur "AnonGhost" ermöglichte, mehrere gefälschte Warnungen (inkl. vor einem vermeintlichen Nuklearschlag gegen Israel) an mehrere tausend Nutzer:innen zu verschicken. Diesen Vorfall will ich nicht verschweigen, verbuche ihn aber offen gestanden unter "ein blindes Huhn findet auch mal ein Korn". Ein statistischer Ausreisser, wenn man so will.

All das, was ich hier gerade aufgelistet und beschrieben habe deutet für mich darauf hin, dass sich die Geschichte wiederholt. Lautstark auftretende hacktivistische Gruppierungen (oder Personen, die vorgeben eine solche zu sein), die Defacements, DDoS-Angriffe und Behauptungen über angeblich gestohlene Daten oder kompromittierte Systeme nutzen um Aufmerksamkeit zu erregen und damit einer Konfliktpartei - oder - wie im Fall der DDoS-Wellen, die auch Österreich getroffen haben - peripher mit den Konfliktparteien verbundenen Entitäten zu schaden. Ohne dabei eigentlich Einfluss auf das eigentliche Konfliktgeschehen zu haben und ohne die Angriffe länger als einige Wochen durchzuhalten.

Der vielleicht entscheidendste Unterschied zu den Vorgängen zu Beginn des Krieges in der Ukraine ist, dass die Angriffe in weiten Teilen einseitig waren. Während Anfang 2022 sowohl russische als auch ukrainische Akteure digitale Infrastruktur der jeweils anderen Kriegspartei unter Beschuss nahmen, so war die überwältigende Mehrheit der Angriffe seit dem Überfall der Hamas gegen israelische Ziele gerichtet.

Ein weiterer Unterschied ist auch, dass aktuell so gut wie noch keine öffentlichen Informationen über Aktivitäten staatlich unterstützter oder kontrollierter Bedrohungsakteure vorliegen. Einzig die als "Predatory Sparrow" bekannte Gruppierung (welche von manchen Journalist:innen und Sicherheitsexpert:innen als Tarnidentität für Cyberangriffe durch israelische Geheimdienste gesehen wird) hat auf Telegram die Wiederaufnahme ihrer Aktivitäten bekannt gegeben aber keine weiteren Informationen über etwaige Angriffe veröffentlicht.

Das heißt natürlich nicht, dass es hier keine Angriffe gibt; diese Art von Attacken wird im Regelfall durch die Angreifer:innen nicht laut in die Welt hinausposaunt. Aber wenn man bedenkt, wie schnell im Februar 2022 und teilweise auch davor und wie viel öffentlich über Angriffe von Gruppen wie Sandworm oder APT28 berichtet wurde, so bin ich geneigt davon auszugehen, dass die vergleichsweise Abwesenheit solcher Berichte zu dem aktuellen Konflikt zu mindest ein Indiz dafür ist, dass eine geringere Anzahl solcher Operationen stattfindet.

Einige Gruppierungen (darunter Killnet und Anonymous Sudan), denen man mit einer gewissen Sicherheit zumindest die Nähe zu Staaten beziehungsweise Nachrichtendiensten nachsagen kann, haben sich zwar zu Wort gemeldet und mit der palästinensischen Seiten solidarisch gezeigt - von diesen kam jedoch in der Vergangenheit ausser DDoS und viel heißer Luft nichts, dementsprechend bin ich nicht willens, sie im Kontext staatlicher Bedrohungsakteure auch nur im Ansatz ernst zu nehmen. Falls die Webseite von CERT.at in den nächsten Tagen nicht erreichbar sein sollte, werte ich das als Erfolg. Sogar die Bösewichte der Welt lesen, was wir schreiben. Ich fühle mich geehrt.

Trotz dieser genannten Unterschiede, eine große Gemeinsamkeit bleibt: Hauptsächlich sind die bisher bekannten Angriffe als ein Ausdruck der Solidarität zu sehen, mit so gut wie keinen relevanten Auswirkungen und ohne jeden auch nur im Ansatz bedeutsamen Beitrag zu der Situation in der "echten Welt". Letzterer wird, auf teilweise schreckliche Art und Weise, andernorts und anderweitig geleistet.

Ich bin - wie ich in meinem letzten Beitrag zu Cyberangriffen im Rahmen des Krieges in der Ukraine bereits angemerkt habe - Security Analyst, kein Militärexperte. Aber für den Moment bleibe ich bei dem Fazit, welches ich damals bereits gezogen habe: Cyberangriffe verlieren rapide an taktischer und operativer Bedeutung wenn alternative, kinetische Möglichkeiten zur Verfügung stehen. Und ich sehe aktuell keinen Grund, warum sich das in absehbarer Zeit ändern sollte.


Abschließend sei gesagt: Auch wenn sich aktuell keine konkrete Gefährdung für österreichische Ziele abzeichnet, verfolgen wir die Situation aufmerksam. Wir stehen in laufendem Kontakt und Austausch mit unseren internationalen CERT-/CSIRT-Kollegen und den nationalen Koordinierungsstrukturen um gegebenenfalls rechtzeitig handeln zu können.

Unsere generelle Empfehlungen, die wir in jeder unserer Warnung aussprechen, sind auch hier anwendbar: Nutzen Sie, wo möglich, die "automatisches Update"-Features von Software, halten Sie Firewalls und sonstige Schutzmaßnahmen aktiv, und vor allem die Ohren steif. Oh, und tragen Sie bitte Sorge dafür, dass keine Management-Interfaces irgendwelcher Appliances direkt aus dem Internet erreichbar sind.

Letzteres hat nichts mit dem aktuellen Konfliktgeschehen zu tun, das ist einfach generell eine verdammt gute Idee.

Verfasst von: Alexander Riepl