Wiper-Schadsoftware Ukraine offenbar mit Zerstörungssoftware angegriffen

Gegen die Ukraine läuft laut IT-Sicherheitsexperten eine neue Welle von Hackerattacken: Regierungsseiten wurden lahmgelegt und Hunderte Rechner mit einer datenlöschenden Wiper-Software infiziert.
Foto: Sina Schuldt/DPA

IT-Sicherheitsexperten haben in der Ukraine am Mittwochabend eine neue zerstörerische Schadsoftware entdeckt. Nach Angaben des IT-Sicherheitsunternehmens ESET wurde auf »Hunderte von Computern im ganzen Land« ein sogenannter Wiper installiert. Diese Art von Schadsoftware hat das Ziel, die Daten auf einer infizierten Festplatte dauerhaft unbrauchbar zu machen (Englisch; to wipe). Erst Anfang Januar hatten IT-Experten einen Wiper-Angriff auf das System der ukrainischen Regierung beobachtet.

Wie ESET auf Twitter berichtete , habe man die Schadsoftware erstmals um kurz vor 17 Uhr ukrainischer Zeit am Mittwochabend beobachtet. Die Attacke selbst werde möglicherweise schon seit rund zwei Monaten vorbereitet.

Vikram Thakur von der IT-Sicherheitsfirma Symantec sagte der Nachrichtenagentur Reuters, die Infektionen seien weitverbreitet. Symantec berichtete von Wiper-Angriffen in der Ukraine, Lettland und Litauen. »Zu den Zielen gehören Finanz- und Regierungsunternehmen«, sagte Thakur im Gespräch mit »Bleeping Computer« .

Ukrainische Beamte bezeichneten den Wiper-Angriff als Teil einer sich verstärkenden Welle von Hackerangriffen auf das Land. So waren die Websites der ukrainischen Regierung, des Außenministeriums und des Staatssicherheitsdienstes am späten Mittwochnachmittag zeitweise nicht erreichbar. Dahinter soll laut der Regierung ein sogenannter Distributed-Denial-of-Service-Angriff (DDoS) stecken. Bei solchen Attacken werden Websites durch massenhafte Anfragen überlastet und lahmgelegt.

»Gegen 16 Uhr begann ein weiterer massiver DDoS-Angriff auf unseren Staat«, sagte Mykhailo Fedorov, Minister für digitale Transformation. Man habe zu diesem Angriff relevante Daten von einer Reihe von Banken vorliegen, so Fedorov, der hinzufügte, dass auch die Website des Parlaments betroffen war. Welche Banken betroffen waren, sagte Fedorov nicht. Die Zentralbank war zunächst nicht für eine Stellungnahme zu erreichen.

Der ukrainische Datenschutzbeauftragte erklärte, die Zahl der Hackerangriffe nehme zu. »Phishing-Angriffe auf Behörden und kritische Infrastrukturen, die Verbreitung von Schadsoftware sowie Versuche, in Netzwerke des privaten und öffentlichen Sektors einzudringen und weitere destruktive Aktionen haben zugenommen«, hieß es in einer E-Mail.

Wer für die Cyberattacken verantwortlich ist, war zunächst unklar. Beim Wiper fiel der Verdacht zwar sofort auf Russland, das wiederholt beschuldigt wurde, Hackerangriffe auf die Ukraine und andere Länder zu starten, um Daten zu verschlüsseln und Systeme zu zerstören. Russland hat diese Anschuldigungen aber stets bestritten.

Die Analysen des Wipers durch die IT-Sicherheitsexperten dauern noch an. So war zunächst nur wenig darüber bekannt, wie attackierte Rechner infiziert werden. Auch ob tatsächlich Daten gelöscht wurden, war zunächst nicht bekannt. Die Forscher fanden zumindest heraus, dass die Löschsoftware offenbar mit einem Zertifikat digital signiert wurde, das von einem obskuren zyprischen Unternehmen namens Hermetica Digital Ltd. ausgestellt wurde.

Solche Zertifikate könnten dazu dienen, die Schadsoftware an den Schutzmaßnahmen von Antivirusprogrammen vorbeizuschleusen. Laut Brian Kime, Vizepräsident der amerikanischen Cybersicherheitsfirma ZeroFox, sprechen die bisherigen Erkenntnisse über die Schadsoftware für einen »ausgeklügelten und zielgerichteten« Angreifer.

hpp/reuters