Das Netzwerk Cyclops Blink und die russische Hackergruppe Sandworm waren in IT-Sicherheitskreisen seit langem berüchtigt. Immerhin wird die Sandworm-Gruppe, die das Cyclops-Blink-Netz betrieb, für mehrere schwere Cyberattacken auf die Ukraine verantwortlich gemacht. So auch jene, die 2015 einen massiven Stromausfall im Land verursacht hatte.
Insofern sorgte es in der Szene für besonderes Aufsehen, als am vergangenen Mittwoch bekannt wurde, dass die US-Bundespolizei FBI Cyclops Blink mit einem riskanten technischen Kniff lahmgelegt hat. Experten des FBI war es gelungen, die Kontrolle über Tausende zuvor von Sandworm gehackte und für die Steuerung des Netzwerks genutzte Router, Switches und Firewalls zurückzugewinnen.
Solche Netzwerke aus von Hackern gekaperten Endgeräten heißen im IT-Jargon Botnetze. Um Cyclops Blink auszuschalten, drangen die FBI-Experten übers Internet in die gehackten Geräte ein und modifizierten deren Software – ohne das Wissen, geschweige denn die Zustimmung der Eigentümer. Und das nicht bloß in den USA, sondern zudem in zahlreichen anderen Staaten weltweit.
Damit schnitten sie nicht bloß kriminelle russische Hacker vom Zugriff auf die jahrelang für die Verteilung von Schadsoftware genutzten Endgeräte ab, sondern wohl auch staatliche Cyberkrieger. Davon sind zumindest die US-Behörden überzeugt.
In ungewohnter Deutlichkeit schreiben die US-Behörden sowohl die Sandworm-Gruppe selbst, als auch über ihr Botnetz verbreiteten Schadprogramme wie Cyclops Blink dem russischen Militärgeheimdienst GRU zu. „Wir haben ein Beispiel für das Hacking durch GRU in den USA und auf der ganzen Welt identifiziert, gestört und aufgedeckt“, heißt es in der Stellungnahme des US-Justizministeriums.
Wie eng die Verflechtungen zwischen kriminellen und politisch motivierten Hackern sind, zeigt sich bei einer Analyse des Codes in den Schadprogrammen. Ähnlich wie in der Biologie lassen sich damit auch in der Softwareentwicklung Beziehungen zwischen unterschiedlichen Untersuchungsobjekten feststellen.
Verräterische Spuren im Programmcode
So gilt der aus Russland stammende Softwareschädling VPNFilter als ein Vorläufer der von Cyclops Blink genutzten Schadsoftware. VPNFilter, das der regierungsnahen russischen Hackergruppe Fancy Bear zugeschrieben wird, hatte 2018 rund eine halbe Million IT-Systeme weltweit gekapert und teilweise zerstört. Analysen westlicher Sicherheitsexperten belegen zudem große Übereinstimmungen zwischen VPNFilter und der Schadsoftware AcidRain. Mit deren Hilfe wiederum hatten Hacker im Februar, just in dem Moment, in dem Russland seinen Angriff auf das Nachbarland startete, Tausende von Satellitenmodems in der Ukraine, aber auch im Westen lahmgelegt.
Die engen Beziehungen von Teilen der russischen Hackerszene zu staatlichen Behörden erschwerten es, das tatsächliche Ziel zahlreicher Cyberattacken eindeutig zu erkennen, sagt ein IT-Experte einer deutschen Sicherheitsbehörde. Schließlich könnten Attacken mit Verschlüsselungssoftware, wie im Februar auf den Hamburger Tanklogistiker Oiltanking oder vor wenigen Tagen erst auf den Rostocker Windanlagenbauer Nordex, rein kriminell motiviert sein, so der Experte. „Sie könnten aber auch als politisch motivierte Warnschüsse gedacht sein?“ Bei destruktiv ausgelegten Schadprogrammen wie VPNFilter oder Acid Rain sei der politische Hintergrund allerdings meist eindeutig.
Im Fall von Cyclops-Blink sind die US-Ermittler überzeugt, den direkten Bezug zum GRU belegen zu können. Das macht den Schlag des FBI gegen das Netzwerk brisant. „Denn Russland könnte das Vorgehen auch als politisch motivierte Vergeltungsmaßnahme im Ukrainekonflikt interpretieren und mit einem digitalen Gegenschlag gegen die USA reagieren“, heißt es aus dem Kreis deutscher Cyberschützer. „So etwas könnte schnell eskalieren.“
Eine unmittelbare Gefahr besteht nach dem Zugriff der FBI-Experten auf das russisch kontrollierte Botnetz jedoch wohl eher nicht. Er erfolgte bereits im März und wurde nur jetzt erst bekanntgegeben. „Hätten staatsnahe Hacker zurückschlagen wollen, wäre das wahrscheinlich schon passiert“, so die Einschätzung aus deutschen Sicherheitskreisen.
Nur ärgerlich? Oder tödlich?
Beruhigend ist zunächst auch, dass die Hacker des FBI beim Umprogrammieren der Router, Switches und Firewalls wohl kaum Geräte lahmgelegt haben. Im Fall eines privaten Internetzugangs wäre das bestenfalls ärgerlich gewesen. Sofern über die Netzwerktechnik aber auch Beatmungsgeräte in Krankenhäusern oder die Trinkwasseraufbereitung gesteuert worden wäre, hätte der Ausfall tödliche Folgen haben können. Nichts dergleichen ist bisher bekannt geworden.
„In der Szene sind eine ganze Reihe von Cybergangs mit guten Drähten zu den russischen Sicherheitsbehörden bekannt“, sagt ein deutscher Sicherheitsexperte. „Der Schlag des FBI gegen Cyclops Blink war deshalb auch ein Warnschuss an die Hacker, es mit ihren Attacken im Westen nicht zu übertreiben.“ Ob dieser Warnschuss wirkt? Womöglich ist er nur der Auftakt zu einem immer aggressiver geführten Krieg – auch im Netz.
Lesen Sie auch: Schwere Hackerattacken gegen die Ukraine begleiteten Russlands Einmarsch. Sicherheitsexperten fürchten, der Konflikt könnte im Netz auch auf Deutschland und die EU übergreifen.
