WhisperGate: Neuartiger Malware-Angriff in der Ukraine
von Tina Siering
Der Ablauf von WhisperGate
Die ersten Meldungen über Cyberangriffe in der Ukraine tauchten im Laufe des 13. Januar auf. In den folgenden Tagen mehrten sich Berichte über Attacken nach dem gleichen Muster. Zahlreiche Webseiten und Netzwerke, vor allem die von Behörden und Regierungsorganisationen in der Ukraine, fielen innerhalb von wenigen Tagen dem Angriff zum Opfer. Als Reaktion auf die Bedrohung schalteten die Behörden selbst weitere Webseiten und Onlinedienste ab. Durch die Trennung vom Netzwerk wollten die IT-Sicherheitsverantwortlichen verhindern, dass die Hacker Zugriff auf die Systeme erhalten, falls diese ebenfalls kompromittiert sind.
Dies führte dazu, dass entweder durch die Attacke selbst oder durch die freiwillige Abschaltung der Systeme viele digitale Dienste der Regierung in der Ukraine nicht mehr erreichbar waren. Betroffen waren unter anderem die Webseiten des Außenministeriums, des Sicherheits- und Verteidigungsrates sowie des ukrainischen Kabinetts.
Welche Malware kommt bei den WhisperGate-Angriffen zum Einsatz?
Die Malware, die bei den WhisperGate-Angriffen zum Einsatz kam, zeigt ein interessantes Angriffsmuster: Sie präsentiert eine kurze Nachricht auf dem Bildschirm des betroffenen Systems, die von Erpressungsschreiben bei Ransomware-Attacken bekannt ist. Im Text wird die Adresse eines digitalen Wallets ausgegeben und eine Aufforderung zur Zahlung eines Lösegelds eingeblendet. Der Zugriff auf den Computer ist ab diesem Zeitpunkt nicht mehr möglich. Die Nachricht verspricht, dass die Hacker nach der Zahlung die Daten wieder freigegeben, wenn sich der Eigentümer des Systems über den Instant-Chat-Messenger Tox.chat unter Angabe der Organisationsnamens meldet.
Tatsächlich gibt es jedoch keine Möglichkeit, die Daten auf dem System wiederherzustellen, freizugeben oder anderweitig zu retten. Dies liegt daran, dass es sich gar nicht, wie auf den ersten Blick anscheinend, um eine Ransomware handelt. Vielmehr gehört die Malware, die im WhisperGate zum Einsatz kommt, zur Gruppe der Wiper. Wiper sind Schadprogramme, die dazu programmiert sind, die Inhalte einer Festplatte zu zerstören.
WhisperGate besitzt zwei Stufen: In der ersten wird der Master Boot Record (MBR) der Festplatte überschrieben. Der MBR ist der erste Sektor einer Festplatte, der die Informationen enthält, die notwendig sind, um das Starten des Betriebssystems zu ermöglichen. Durch die Zerstörung des MBR ist es zunächst also nicht mehr möglich, das System zu starten beziehungsweise das Betriebssystem zu erreichen.
In der zweite Phase wird weitere Schadsoftware nachgeladen. Hierfür nimmt die Malware Kontakt zu einem Discord-Kanal auf, einer Kommunikationssoftware, die vor allem bei Videospielern beliebt ist. Von dort lädt die Malware ein Programm nach, das darauf ausgelegt ist, die Festplatteninhalte nach Daten mit vordefinierten Endungen zu durchsuchen. Die eigentlichen Daten, die auf dem System gespeichert sind, sind nach wie vor vorhanden, zu diesem Zeitpunkt ist nur der Zugang über das Betriebssystem blockiert. Die zweite Phase hingegen sucht beispielsweise nach Dokumenten, die zu Office gehören, Daten von Webservern mit der Endung .php oder .html sowie alle Arten von digitalen Bildern und Datenbanken. Eine Analyse von IT-Sicherheitsexperten ergab, dass in der zweiten Phase nach 189 verschiedenen Endungen gesucht wird. Gefundene Inhalte überschreibt die Malware mit den vier Bytes 0xCC und zerstört diese somit unwiederbringlich.
Was ist das Ziel der WhisperGate-Attacke?
Das erste Ziel der WhisperGate-Attacke ist vergleichsweise einfach zu identifizieren. Malware der Wiper-Klasse hat die Aufgabe, möglichst viel Schaden anzurichten. Diese Art von Malware kommt immer dann zum Einsatz, wenn es darum geht, die Arbeit von Organisationen zu stören oder sogar komplett zu unterbrechen. Ein weiteres Ziel ist es, Daten möglichst unwiederbringlich zu zerstören. Die Angreifer haben kein finanzielles Interesse. Denn anders als bei einer Ransomware-Attacke ist es bei WhisperGate nicht mehr möglich, die Daten zu entschlüsseln und so wiederherzustellen. Sie sind für immer verloren.
Was jedoch im speziellen Fall der WhisperGate-Attacken die eigentliche Motivation der Täter ist, darüber streiten sich die Experten. Die Ziele für die Angriffe wurden offensichtlich bewusst und sorgfältig ausgewählt. Dies ist zum einen daran ersichtlich, dass nur Netzwerke in der Ukraine betroffen sind. Zum anderen spricht auch die präzise Auswahl der Ziele dafür, dass die Opfer bewusst ausgewählt wurden. Anscheinend haben die Angreifer ein Interesse daran, die Regierungstätigkeit der Ukraine sowie der landesweiten Behörden zu stören. Dazu kam, dass die Attacke zu einem bestimmten Zeitpunkt ausgelöst wurde, was ebenfalls für eine zentrale Steuerung der Malware spricht.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Wer steckt hinter dem Cyberangriff?
Die zweite interessante Frage ist, wer die Malware platziert und steuert. Diese Frage stellt sich grundsätzlich bei allen Cyberangriffen. Bereits bei Ransomware-Attacken ist es schwer, den Urheber hinter den Angriffen zu finden. Je raffinierter und gezielter die Angreifer vorgehen, umso mehr sind sie darauf bedacht, die eigenen Spuren zu verwischen. Dies ist auch im Fall der WhisperGate-Attacke so.
Eine Vermutung ist, dass eine staatlich gesteuerte Hackergruppe hinter der WhisperGate-Attacke steckt. Solche Vorfälle sind nicht neu, lassen sich aber schwer nachweisen. Dies liegt daran, dass die Akteure in solchen Fällen Spezialisten in den Bereichen Hacking und IT-Security sind sowie staatlichen Schutz genießen. Für die Kontaktierung und Steuerung der Malware kommen komplexe Netzwerke mit Command and Control Servern zum Einsatz, die so verschachtelt sind, dass eine eindeutige Zuordnung zu einem bestimmten Land oder Täter unmöglich ist. Wie in diesem Fall, als mit Discord eine öffentlich zugängliche Plattform zwischengeschaltet wurde, die zunächst keinerlei Rückschlüsse auf die Herkunft der Attacke zulässt.
In einer ersten Stellungnahme zu den Vorfällen äußerte Serhij Demedjuk, der Vizesekretär des Nationalen Sicherheits- und Verteidigungsrates der Ukraine, Vermutungen, es könne sich um einen staatlich kontrollierten Cyberangriff handeln. So informierte Demedjuk die Öffentlichkeit darüber, dass die ukrainischen Behörden der Meinung sind, dass die mit Weißrussland in Verbindung gebrachte Hackergruppe UNC1151 hinter der Cyberattacke stecke.
Diese Gruppe steht in Verdacht, mit dem weißrussischen Geheimdienst zusammenzuarbeiten und auch in staatliche Spionage involviert zu sein. Der Verdacht basiert auf den Ursprüngen der Malware, die Programmen ähnelt, die schon früher von UNC1151 eingesetzt wurden. Weitere Vermutungen basieren auf ähnlichen Analysen und stellen eine mögliche Verbindung zur Gruppe APT29 her. Diese ist auch unter der Bezeichnung Cozy Bear bekannt und steht in Verdacht, mit dem russischen Geheimdienst SWR zusammenzuarbeiten. Die Vermutungen stehen im Kontext der angespannten politischen Situation zwischen der Ukraine und Russland, die sich in den letzten Monaten nochmals zugespitzt hat.
Welche Maßnahmen bieten Schutz vor diesen und ähnlichen Angriffen?
Grundsätzlich gehören Angriffe wie im Fall WhisperGate zu den gefährlichsten Cyberbedrohungen. Sie fallen in die Kategorie der APTs, der Advanced Persistent Threats. Dies sind komplexe und zielgerichtete Attacken, die lange geplant und vorbereitet sind. Herkömmliche Mittel der IT-Sicherheitstechnik wie etwa Antivirensoftware oder strenge Regeln in der Firewall verhindern APTs nicht und identifizieren auch keine laufenden Attacken.
Erst nachdem die Malware in der Öffentlichkeit aktiv wurde und ihre Aufgabe erfüllt hat, haben Hersteller von Virensoftware die Möglichkeit, die Signaturen der Malware in die Bibliothek aufnehmen. Dies ist im Fall WhisperGate ebenfalls passiert. Das Microsoft Threat Intelligence Center hat unmittelbar nach dem Vorfall damit begonnen, die eigenen Antivirenlösungen zu aktualisieren. Bei APTs wie WhisperGate kommt jedoch meist Malware zum Einsatz, die extra für diesen Zweck angepasst ist. Aus diesem Grund sind Antivirenprogramme in aller Regel machtlos.
Die Hacker gehen bei einem APT anders vor, als bei großangelegten Attacken, bei denen es darum geht, möglichst viele Systeme zu kompromittieren. Im Fokus steht ein bestimmtes Opfer und das Ziel ist ebenfalls vor Beginn der Attacke klar. Dementsprechend suchen die Angreifer gezielt nach einer Möglichkeit, das Netzwerk unbemerkt zu infiltrieren. Wie lange die Vorbereitung bei WhisperGate dauerte, ist bis jetzt noch unbekannt.
Für die Abwehr solcher APTs sind Lösungen für die Angriffsfrüherkennung notwendig. Spezialisierte Abwehrprogramme der IT-Sicherheit, die aktiv und in Echtzeit alle Aktionen in einem Netzwerk überwachen. Dies geschieht durch einen direkten Zugriff auf die Logs von Datenbanken, Routern und anderen Systemen sowie die Überwachung von Logins und ähnlichen Nutzervorgängen. Die Angriffsfrüherkennung identifiziert in diesen Bereichen ungewöhnliche Aktivitäten, die nicht zu den normalen Verhaltensmustern von Nutzern und Programmen passen. Aktuelle Lösungen setzen dafür auf Künstliche Intelligenz und sind lernfähig. Das verbessert die Unterscheidung zwischen regulären Aktionen in einem Netzwerk sowie Aktivitäten, die auf einen Cyberangriff hindeuten. In einem solchen Fall alarmiert die Angriffsfrüherkennung die verantwortlichen Personen in der IT, sodass eine umgehende Überprüfung des Vorfalls möglich ist.
Solche Lösungen für die aktive Angriffsfrüherkennung benötigen nicht nur Regierungseinrichtungen. Auch Unternehmen rücken zunehmend in das Visier von Cyberkriminellen. Wer unentdeckt in ein Netzwerk eindringt, hat viel Zeit, seine Pläne in die Tat umzusetzen. Dies reicht von der Spionage im Rahmen der Wirtschaftskriminalität bis hin zur Verschlüsselung des gesamten Netzwerks mittels Ransomware. Hierbei gelingt es Angreifern nicht selten, sogar die Backup-Systeme im Netzwerk zu finden und diese ebenfalls zu kompromittieren. Der Super-Gau für Unternehmen und IT-Verantwortliche, denn eine Wiederherstellung der Daten ist dann eventuell nicht mehr möglich. In einer vollständig digitalisierten Welt ist dies eine Katastrophe. Eine Angriffsfrüherkennung gibt der IT jedoch die Möglichkeit, Hacker zu stoppen, noch bevor diese ihre Pläne in die Tat umsetzen.
Fazit zur WhisperGate-Attacke in der Ukraine
Die Cyberattacken auf die Regierungseinrichtungen in der Ukraine zeigen erneut, wie wichtig das Thema IT-Sicherheit für Unternehmen heutzutage ist. Gezielte Attacken gehören zu den gefährlichsten Bedrohungen. Die Frequenz solcher Angriffe steigt permanent. Klassische Sicherheitstechniken wie Antivirensoftware reagieren nur auf bekannte Bedrohungen und sind nicht in der Lage, aktive Hacker aufzuspüren, sobald diese sich einmal einen Zugang zum Netzwerk verschafft haben. Deshalb ist es sinnvoll, in eine Angriffsfrüherkennung zu investieren, um die Sicherheit der digitalen Informationen im Netzwerk zu verbessern.