Den Angriff auf die Ukraine durch Russland begleiten Cyberangriffe auf ukrainische Computer und Webseiten. Sicherheitsforscher von Eset haben beobachtet, wie die Malware, die sie HermeticWiper getauft haben, seit dem gestrigen späten Nachmittag Daten von Rechnern gelöscht und die Maschinen anschließend neu gestartet hat. Zeitstempel der Dateien weisen auf eine mehrmonatige Vorbereitung.

Zudem sind zahlreiche ukrainische Regierungsseiten Distributed-Denial-of-Service-Angriffen ausgesetzt und dadurch derzeit nicht mehr erreichbar. Damit schneiden die Angreifer die Regierungskommunikation mit den Bürgern ab, was sehr wahrscheinlich als Teil der russischen Kriegsführung gelten kann.

HermeticWiper

Die Virenspezialisten von Eset haben die Malware auf hunderten Rechnern in der Ukraine aufgespürt. Der Name geht auf das verwendete Zertifikat zurück, mit dem die ausführbare Datei signiert wurde. Es ist auf die Hermetica Digital Ltd. ausgestellt. Die Malware wurde am 28. Dezember 2021 kompiliert – die Angriffe sind von langer Hand vorbereitet. HermeticWiper wurde in einer betroffenen Organisation via Domain-Richtlinien verteilt, die Angreifer hatten dort also das Active Directory übernommen.

Die Erkennung der Malware durch Antivirensoftware ist derzeit noch mau. Zum Zeitpunkt der Meldung erkannten die Samples gerade mal 19 von 71 respektive 29 von 71 Scannern auf Virustotal.

Auf Twitter meldet Netblocks derweil massive DDoS-Angriffe auf zahlreiche ukrainische Webseiten, unter anderem denen der Regierung. Die Seiten des ukrainischen Außenministeriums, Verteidigungsministeriums, Innenmisteriums, des Sicherheitsdienstes der Ukraine und die Webseiten des Ministerkabinetts sind dadurch nicht erreichbar.

Medienberichten zufolge sind auch weitere Webseiten etwa von Banken davon betroffen. Teilweise seien die Seiten zwischenzeitlich wieder erreichbar, jedoch gingen die DDoS-Angriffe teils erfolgreich weiter.

Weitere Folgen

Der Cyberkrieg ist damit ebenfalls angelaufen. Es steht zu befürchten, dass der sich nicht auf die Ukraine beschränkt. So war NotPetya zunächst vermeintlich ein Erpressungstrojaner gegen ukrainische Institutionen, entpuppte sich jedoch als ein russischer Cyberangriff, der dann auch große Konzerne wie Maersk traf.

Auch die aktuelle Warnung durch staatliche Stellen vor dem russischen Botnet Cyclops Blink, das insbesondere WatchGuard-Firewalls befällt, muss vor diesem Hintergrund betrachtet werden. Es besteht dringender Handlungsbedarf, um nicht Ziel oder Teil des russischen Cyberkriegs zu werden.

