Ukrainischer Geheimdienst SBU sieht russische Geheimdienste hinter Petya/NotPetya-Infektion

Bild: SBU

Der Angriff am Tag vor dem Nationalfeiertag sei nur unter dem Deckmantel einer Ransomware-Attacke erfolgt, nach dem SBU sollte Panik ausgelöst werden

Am 27. Juni begann eine Trojaner-Angriffswelle. Der vom amerikanischen Geheimdienst stammende und von der bislang unbekannten Gruppe Shadow Brokers im April veröffentlichte EternalBlue ist die Grundlage des Petya/NotPetya-Trojaners ebenso wie die von WannaCry. Letztes Jahr waren die mit amerikanischen Steuergeldern erstellten Cyberwaffen in die Hände der Gruppe gefallen, die sie erst einmal verkaufen wollte. Ob sie dann selbst oder jemand anderer die Cyberwaffen, die auf von der NSA gehorteten Sicherheitslücken in Microsoft-Programmen basierten, eingesetzt haben, ist bislang nicht bekannt (Globaler Ransomware-Angriff liegt in der Verantwortung der Unsicherheitsdienste).

Anzeige

In der New York Times wird scharfe Kritik geübt: "Das ist so, wie wenn die Luftwaffe einige der neuesten Raketen verloren hätte und entdecken würde, dass ein Feind sie gegen amerikanische Alliierte gerichtet hat, aber die Luftwaffe sich dennoch weigert zu reagieren oder selbst anzuerkennen, dass die Raketen für einen amerikanischen Einsatz gebaut wurden." Schließlich könnten die eigenen Waffen auch verwendet werden, um die USA anzugreifen. Schon vor dem letzten Angriff hatte Leon Panetta, Ex-Verteidigungsminister und ein früherer CIA-Direktor, erklärt, er sei nicht sicher, ob alle in der Lage seien zu erfassen, was geschehen kann, "da diese ausgeklügelten Viren plötzlich mehr und mehr in anderen Bereichen auftauchen, als man intendiert hatte." Das sei die künftige Gefahr.

Gehandelt werden dennoch schnell wieder die üblichen Bösen. Hinter dem Trojaner WannaCry, der sich Mitte Mai verbreitete und mit dem Lösegeld erpresst wurde, hatte man Chinesen oder Nordkoreaner vermutet. Die NYT geht davon aus, dass er gegen den Alliierten Großbritannien gerichtet war, wo der Trojaner die Computer einiger Krankenhäuser lahmlegte. Da WannaCry sich aber auf mehr als 100 Länder verbreitete und zahlreiche Unternehmen betraf, ist es nur eine Spekulation, ob damit bestimmten Ländern Schaden zugefügt werden sollte.

Da Petya/NotPetya, also der Trojaner, der sich vermutlich nur als der seit 2016 bekannte Petya mit Versionen wie PetrWrap and GoldenEye ausgab, zunächst Computer in der Ukraine infizierte und dort auch den meisten Schaden anrichtete, war man schnell bei der Hand, hinter dem Angriff Moskau zu sehen. Das hätte zwar die pikante Note, dass dann russische Hacker, womöglich im Auftrag der Geheimdienste, eine amerikanische Cyberwaffe einsetzen oder der Wirkung testen. Allerdings wurden neben der Ukraine auch Deutschland, Polen oder Serbien zu Opfern, auch in Russland waren Computer befallen worden.

Vor allem der ukrainische Geheimdienst versucht, den Schuldigen in Russland zu sehen, zumal der Trojaner sich einen Tag vor dem ukrainischen Nationalfeiertag angeblich über ein Update der auf Windows basierenden Steuersoftware MeDoc verbreitet hat, die praktisch alle für ihre Steuererklärung nutzen und die auch Auf Regierungscomputern verwendet wird. Der Hersteller M. E. Doc meinte allerdings, die Verbreitung habe nichts mit dem Update zu tun. Microsoft behauptete aber, man habe Beweise dafür, dass einige Infektionen vom legitimen Updateprozess ausgegangen seien.

Dass Russland dahinterstecken könnte, wird vor allem deswegen vermutet, weil offenbar die Absicht nicht war, die Besitzer der infizierten Computer zu erpressen, sondern womöglich darin bestand, Chaos auszulösen und Daten zu löschen, die auch nicht wiederhergestellt werden könnten, weswegen man von einem Wiper spricht.

Der SBU teilte jedenfalls mit, dass mit dem Schadprogramm "die soziale und politische Situation" in der Ukraine destabilisiert werden sollte. Die Infektion sei für den Nationalfeiertag geplant worden. Der Angriff habe nur den Anschein erzeugen wollen, dass es sich um eine Ransomware-Attacke handelt, mit der jeweils 300 US-Dollar in BitCoins erpresst werden, in Wirklichkeit sei "der Virus ein gegen die Ukraine gerichteter verdeckter großflächiger Angriff". Die Hauptaufgabe des Virus habe darin bestanden, "wichtige Daten zu löschen, und Störungen in staatlichen und privaten Institutionen der Ukraine zu bewirken, um Panik in der Bevölkerung zu verbreiten".

Der Angriff sei von denselben Hackern ausgeführt worden, die im Dezember 2016 das Finanzsystem und Kraftwerke (Hackerangriff verursachte Blackout) mit Schadprogrammen angegriffen hätten: "Das beweist die Beteiligung von russischen Geheimdiensten", erklärt der SBU, ohne freilich genauer zu werden. Es genügt auch schon, was zur Arbeit der Geheimdienste gehört, einen Verdacht zu verbreiten.

Anzeige

Dunkel blieb auch eine am 30. Juni veröffentlichte Mitteilung, dass der SBU mit ausländischen Geheimdiensten zwischen dem 25. Mai und dem 6. Juni die Nutzung der "ukrainischen Netzwerkinfrastruktur" durch russische Geheimdienste beendet habe, die darüber Schadsoftware zur Schädigung der Infrastruktur in der Ukraine und in andren Ländern verbreiten wollten. Bei den Durchsuchungen habe man auch Server beschlagnahmt, mit denen die russischen Geheimdienste Cyberangriffe ausgeführt haben sollen. Warum die Erfolgsmeldung so spät und nach der Infektion durch Petya/NotPetya kam, dürfte den Verdacht bestärken, Russland verantwortlich zu machen. Olexander Turtschynow, Übergangspräsident bis Juni 2014, danach Präsident der Rada und seit Dezember 2014 Leiter des Nationalen Sicherheits- und Verteidigungsrats der Ukraine (NSDC), war schon am 27. Juni schnell zur Hand, die Schuldigen in Russland zu sehen.

Wenn russische Geheimdienste tatsächlich versucht hätten, die Ukraine zu destabilisieren und Panik auszulösen, scheint das nicht geglückt zu sein. So konterte der stellvertretende Vorsitzende des Komitees für Informationspolitik der Staatsduma, Wadim Dengin, die Ukrainer würden anscheinend glauben, dass man in Russland nicht anderes zu tun habe, außer "das große Regime Poroschenkos" anzugreifen". (Florian Rötzer)

Anzeige