Die beiden Fälle haben auf den ersten Blick nicht viel miteinander zu tun. Aber eben nur auf den ersten Blick: Der schwere Cyberangriff auf ukrainische Regierungsrechner, den Sicherheitsforscher von Microsoft am Wochenende publik gemacht haben. Und die Attacke auf den amerikanischen Terminplanungs- und Kalenderdienst Flexbooker, bei der Cyberkriminelle im Dezember rund 3,7 Millionen Nutzerdaten entwendet haben.
Wie die Microsoft-Experten in ihrem Blogpost beschreiben, waren sie am 13. Januar erstmals in der IT mehrerer ukrainischer Regierungsbehörden und Organisationen auf Computerprogramme gestoßen, die zunächst wie Ransomware wirkten. Das ist Software, die Datenbestände und Programme verschlüsselt und mit deren Hilfe Cyberkriminelle Lösegeld – auf Englisch „Ransom“ – von ihren Opfern fordern. Tatsächlich aber scheint das nur Tarnung gewesen zu sein, um in den ukrainischen Regierungsrechnern viel weiterreichende Schäden auszulösen: „Wenn die Software vom Angreifer aktiviert wird, [würde sie] das infizierte Computersystem funktionsunfähig machen“, heißt es in dem Post.
Es ging also bei dem Angriff gar nicht um Erpressung, sondern um Sabotage. Die Ransomware-Attacke war nur ein Ablenkungsmanöver. Eine Nebelkerze, um die IT-Verantwortlichen von der tatsächlichen Gefahr abzulenken. Während sich die Cyberabwehr auf einen vermeintlichen Erpressungsversuch konzentriert, läuft der wirkliche Angriff unterhalb des Radars ab und ist so möglicherweise weit wirksamer, als ohne Ablenkungsmanöver.
(Lesen Sie dazu auch: Die gefährlichsten Tricks der Hacker 2022)
Da zeigt sich die Parallele zum Datendiebstahl bei Flexbooker. Dort nämlich hatten die Alarmsysteme wenige Tage vor Weihnachten angeschlagen, weil der Onlinedienst zum Ziel einer sogenannten DDoS-Attacke wurde. Ausgelöst durch massenhafte, zeitgleiche Anfragen Abertausender IT-Systeme, Computer, Smartphones und anderer vernetzter Technik aus dem Internet, waren die Flexbooker-Server unter der Last der Abrufe zunächst zusammengebrochen. Solche Attacken nutzen Cyberkriminelle oft, um von den Betreibern der Dienste Schutzgeld zu erpressen. Wer zahlt, bleibt dann von weiteren Angriffen verschont.
Datenbanken durch die Hintertür ausgeräumt
Auch im Fall von Flexbooker war die vordergründige DDoS-Attacke, wie sich inzwischen herausgestellt hat, wohl nur ein Ablenkungsmanöver. Tatsächlich nutzten die Angreifer den Ausfall der Server (und mit ihnen wohl auch den verschiedener Sicherheitssysteme), um unbemerkt die Kundendatenbanken des Onlinedienstes abzuzapfen: Während die Verantwortlichen vor allem darum kämpften, den Service wieder im Netz verfügbar zu machen, räumten die Angreifer die Datenbestände ungestört durch die digitale Hintertüre aus.
Zu den vermutlichen Hinterleuten der Attacke auf die Ukraine bleibt Microsoft vage: Man habe bisher keine „nennenswerten Überschneidungen zwischen den einzigartigen Merkmalen der Gruppe hinter diesen Angriffen und Gruppen identifiziert, die wir traditionell verfolgen“, schreiben die IT-Sicherheitsexperten.
Aber offenbar sind die Fachleute alarmiert, dass die Attacke auch gegen andere Staaten als die Ukraine gerichtet gewesen sein könnte: „Wir haben Regierungsbehörden in den Vereinigten Staaten und anderswo benachrichtigt. Es ist möglich, dass mehr Organisationen mit dieser Malware infiziert wurden.“ Umso mehr, als sich in Sicherheitskreisen die Vermutung hält, dass der Angriff in staatlichem Auftrag, mindestens aber von Hackern mit Bezug zu ausländischen Geheimdiensten oder staatlichen Stellen ausgeführt worden sein könnte.
Ein Szenario, das nicht nur für Angriffe auf ukrainische Regierungsstellen gilt, sondern auch für Attacken auf die Privatwirtschaft. Vor wenigen Tagen erst hatte etwa Thomas Haldenwang, der Präsident des Bundesamtes für Verfassungsschutz, mit Blick auf die steigende Zahl von Cyberattacken auf Unternehmen in der WirtschaftsWoche gewarnt, dass die Grenzen zwischen kriminellen Hackern und Spionen verschwimmen. „Wir haben Anhaltspunkte, dass Cyberkriminelle direkt im Auftrag fremder Nachrichtendienste arbeiten. Etwa, dass sie Daten, die sie bei ihren Attacken erbeutet haben, an staatliche Stellen weitergeben oder verkaufen“, erörtete Haldenwang.
Die Opfer erfolgreich getäuscht
Beim Angriff auf Flexbooker ist inzwischen immerhin grob klar, wer hinter der Attacke steckte, oder zumindest daran beteiligt war: gewöhnliche Kriminelle. Am 23. Dezember publizierte eine Hackergruppe mit Namen Uawrongteam die gestohlenen Daten in einem Darknet-Forum. Darunter waren neben Nutzernamen und Passwörtern auch Teile von Kreditkartendaten. Zudem behaupten die Hacker, dass sie auch Zugang zu anderen Zahlungsdaten und zu Führerscheinfotos von Flexbooker-Kunden haben. Offensichtlich war der Ablenkungsangriff also erfolgreich.
Ob die Hacker in der Ukraine auf ähnliche Weise Erfolg hatten, wird sich dagegen wohl erst in den kommenden Tagen zeigen.
Mehr zum Thema: Lange wähnten sich Mittelständler sicher vor Netzangriffen. Sie ignorierten die Risiken, ersparten sich Schutzmaßnahmen. Nun ist die Schonfrist vorbei. Die Hackerbranche treibt die Industrialisierung der Cyberkriminalität voran - mit dramatischen Folgen für Deutschlands Hidden Champions.
