Ein Word-Dokument könnte entscheidend dazu beigetragen haben, dass im Südwesten der Ukraine 700.000 Menschen vorübergehend vom Stromnetz abgeschnitten waren. Das zumindest berichten das slowakische Sicherheitsunternehmen ESET und der ukrainische Fernsehsender TSN. Demnach haben unbekannte Hacker den Stromausfall am 23. Dezember ausgelöst. Wie sie das genau taten, ist nicht ganz klar. ESET geht aber davon aus, dass sie mithilfe präparierter Office-Dateien die Malware BlackEnergy in das System eines regionalen Energieversorgers schleusen konnten.
Dazu sollen sie gefälschte E-Mails an Mitarbeiter des Energieversorgers verschickt haben, mit der Werchowna Rada als vermeintlichem Absender, dem ukrainischen Parlament. Der Inhalt sollte die Mitarbeiter zum Herunterladen des Anhangs bewegen: Die ukrainische Armee solle kampfbereit gehalten werden, hieß es ESET zufolge in der Mail, und der Staat brauche dafür eine Liste aller Mitarbeiter. Weitere Informationen sollten die Empfänger in einer angehängten Word-Datei finden.
Wer die Datei öffnete, bekam laut ESET angezeigt, dass die Word-Version veraltet sei. Um den Inhalt zu lesen, sollte die Opfer das Ausführen eines Makros erlauben, also einer Befehlssammlung, die bestimmte Aufgaben automatisiert. Wer dann auf "Aktivieren" klickte, ließ die Malware ins System.
BlackEnergy sabotiert Industriesysteme
Die Malware-Familie BlackEnergy ist bekannt. Schon 2014 hatten Hacker mit damit auf ähnliche Weise staatliche Organisationen und Unternehmen in Polen und der Ukraine attackiert. Dabei konnten sie auf Passwörter und Dateien zugreifen.
Mittlerweile haben die Täter BlackEnergy mit einem Feature namens KillDisk ausgestattet. Das kann nicht nur Festplatten beschädigen, indem es wichtige Systemdateien löscht. Laut ESET beinhaltet es auch Funktionen zum Sabotieren von Industriesystemen. In diesem Fall sollen sie dazu geführt haben, dass die Verbindung zwischen mehreren Umspannstationen abbrach.
Dass solche Steuerungsanlagen im Prinzip anfällig sind, ist bekannt. Es gezielt zu tun, sodass sie sich wie vom Angreifer gewünscht verhalten, ist allerdings schwierig, weil es Expertenwissen verlangt, das nur wenige haben. Die Informationen von ESET sind deshalb eher als Theorie zu verstehen denn als komplette Beweisführung. Das Unternehmen formuliert seinen Verdacht selbst recht vorsichtig.
Auch die Stromversorgung in Deutschland ist hackbar
Grundsätzlich ist es auch in Deutschland möglich, von außen die Stromversorgung zu beeinflussen. Der Hacker Felix "FX" Lindner hat das mal für eine Dokumentation an den Stadtwerken Ettlingen demonstriert. Und auf dem 32. Chaos Communication Congress (32c3) im Dezember hat Mathias Dalheimer gezeigt, wie man einen Blackout durch Frequenzmanipulationen verursachen kann.
"In Deutschland gibt es kein Bewusstsein dafür, wie man mit kritischer Infrastruktur umgehen soll. Das ist nicht zu tolerieren", sagt Dalheimer. "Wenn Hacker erst einmal einen Angriffspunkt gefunden haben, können sie bei vielen Stadtwerken einen Stromausfall verursachen, da alle ein verwandtes System nutzen."
Einen Angriff wie in der Ukraine erwartet Dalheimer hierzulande aber derzeit nicht. Zwar sei es technisch möglich, allerdings gebe es in der Ukraine durch den Konflikt zwischen prorussischen Separatisten und dem ukrainischen Militär ein besonders schwieriges politisches Umfeld und entsprechende Motive für Sabotage.
Kommentare
Klingt wie ein russisches Revanchefoul für den Blackout auf der Krim.
War auch meine erste Idee.
Frage mich allerdings, ob Russland wirklich so offensichtlich dumm agieren würde.
Ich habe nie begriffen, warum man so leichtsinnig sein kann, seine Prozesssteuerung (welche auch immer) nicht penibel vom Internet zu trennen.
Liegt vielleicht daran, daß die ukrainischen Kraftwerke wahrscheinlich schon etwas betagter sind.
"Word" is a four-letter word.
Vor einigen Tagen habe ich eine Mail von einem Cousin aus Kiev bekommen. Der eigentliche Inhalt war eine .docx-Datei.
Libre Office runtergeladen, .docx-Datei gelesen. Geht doch...
Ich benutze OpenOffice. Geht aber nur solange man damit nicht ernsthaft arbeitet.
Ist schon eine Schweinerei, dass feindliche Hacker sich erlauben die Sicherheitslücken auszunützen, die die sich um Sicherheit sorgende US-Institutionen in allen Standardanwendungen einzubauen erzwungen haben...
...und dann auch noch gegen die von unseren Politikern gesponserten Untertanen! ist schon eine Frechheit.
Welche Sicherheitsluecke wurde hier denn ausgenutzt? Es war die Makrofunktion von Word, die erst nach Bestaetigung durch den User aktiv wurde. Wahrscheinlich haben die US-Institutionen Sicherheitsluecken in den Standard-Word-User "eingebaut".