Cyberkrieg und konventioneller Krieg zwischen Russland und Ukraine

Vor wenigen Stunden hat der schwerste Konflikt in Europa seit Jahrzehnten begonnen. Laut ukrainischen Angaben sollen bereits sechs russische Flugzeuge abgeschossen worden sein.

Update 12.40: Gegenüber der britischen Zeitung „Guardian“ erklärte Dr. Lennart Maschmeyer vom Zentrum für Sicherheitsstudien an der ETH Zürich, dass Russlands Cyberstrategie bisher eher improvisiert wirkt: „Ein plausibles Szenario für verheerendere Cyberangriffe wäre, dass Russland diese Invasion von langer Hand geplant und Implantate in der kritischen Infrastruktur der Ukraine platziert hat, um zeitgleich mit der militärischen Invasion massive Störungen zu verursachen. Das scheint nicht der Fall zu sein. Die Cyber-Operationen, die wir gesehen haben, lassen keine lange Vorbereitung erkennen, sondern wirken eher zufällig.“

Die Sicherheitsexperten von Palo Alto Networks  warnen davor, dass künftige Angriffe auf US-amerikanische und westeuropäische Unternehmen und Institutionen als Vergeltung für verschärfte Sanktionen oder andere politische Maßnahmen gegen die russische Regierung erfolgen könnten. Palo Alto Networks rät allen Unternehmen dazu, sich proaktiv auf die Abwehr dieser potenziellen Bedrohung vorzubereiten.

Hier die Übersetzung des Blogs:

In den letzten Wochen haben sich die geopolitischen Spannungen zwischen Russland und der Ukraine weiter verschärft. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (Cybersecurity and Infrastructure Security Agency, CISA) hat die Industrie aufgefordert, ihre Schilde hochzuziehen, um sich auf einen Cyberangriff vorzubereiten, der kritische Infrastrukturen in den USA stören, deaktivieren oder zerstören könnte.

Die Krise in der Ukraine hat bereits zu einer Zunahme der russischen Cyber-Aktivitäten geführt, über die wir in unserem ersten Threat Brief vom letzten Monat und in unserem jüngsten Bericht über die Gamaredon-Gruppe berichtet haben. Künftige Angriffe könnten sich gegen US-amerikanische und westeuropäische Organisationen richten, als Vergeltung für verschärfte Sanktionen oder andere politische Maßnahmen gegen die russische Regierung. Wir empfehlen allen Organisationen, sich proaktiv auf die Abwehr dieser potenziellen Bedrohung vorzubereiten. Hier finden Sie Informationen über bewährte Praktiken sowie spezielle Hinweise für unsere Kunden und Klienten, wie wir helfen können. Sobald neue Informationen und Empfehlungen verfügbar sind, werden wir diese aktualisieren.

In den letzten Monaten hat Unit 42 unternehmensweite Anstrengungen unternommen, um die neuesten Erkenntnisse über diese Krise zu sammeln, auszuwerten und zu verbreiten. Wir arbeiten aktiv mit unseren Partnern in der Industrie und den Regierungen zusammen, um unsere Analysen und Erkenntnisse auf der Grundlage unseres globalen Bedrohungs-Telemetrie-Netzwerks weiterzugeben.

Diese Bemühungen haben es uns ermöglicht, unsere Plattform fast täglich zu aktualisieren, um unseren Kunden den bestmöglichen Schutz zu bieten. Dazu gehört auch das Sperren von Hunderten von Domänennamen, IP-Adressen und URLs für unsere Kunden im Zusammenhang mit neu entdeckten Angriffen. Wir haben das WildFire-Analysesystem aktualisiert, um die Erkennung bestimmter Malware-Familien zu verbessern, die von russischen Bedrohungsgruppen verwendet werden. Unsere Cortex XDR-Plattform enthält jetzt zusätzliche Signaturen, um neu entdeckte Sicherheitslücken und Malware zu blockieren. Unser Threat Prevention-Produkt deckt nun auch die bei den WhisperGate-Angriffen ausgenutzte OctoberCMS-Schwachstelle ab, und wir haben ein XSOAR Playbook veröffentlicht, das Unternehmen bei der Suche nach dieser Bedrohung unterstützt. Cortex Xpanse kann Ihnen dabei helfen, die Angriffsfläche Ihrer Organisation zu verstehen und zu verwalten.

Wir haben öffentliche Berichte über die WhisperGate-Angriffe und die von der Gamaredon-Gruppe verwendete Infrastruktur und Taktik veröffentlicht. Auf der Website von Unit 42 finden Sie außerdem ein kostenloses ATOM, das eine strukturierte Darstellung der Taktiken der Gamaredon-Gruppe enthält, die sich an MITREs ATT&CK-Framework orientiert. Während sich die Situation weiter entwickelt, werden wir unseren Blog mit den neuesten Informationen aktualisieren. Unit 42 beobachtet die Situation genau und wir halten Ihnen den Rücken frei.

Wie Sie sich auf die Cyber-Auswirkungen der eskalierenden Russland-Ukraine-Krise vorbereiten sollten

Es gibt keine Einzelmaßnahme, die Sie ergreifen können, um Ihr Unternehmen vor dieser Bedrohung zu schützen. Anders als eine neue Malware-Familie oder eine Sicherheitslücke in freier Wildbahn könnten die zu erwartenden Angriffe in vielen Formen auftreten. Die Empfehlungen der CISA sind breit gefächert, was jedoch angesichts der Vielfalt der Taktiken, die russische Akteure in der Vergangenheit angewandt haben, angemessen ist.

Wir empfehlen Unternehmen, Maßnahmen in den folgenden vier Bereichen zu priorisieren:

Ausgenutzte Schwachstellen patchen: Installieren Sie Patches für jede Software, die Schwachstellen enthält – nicht nur für solche, von denen bekannt ist, dass sie in freier Wildbahn ausgenutzt werden. Am dringendsten ist dies bei Software, die mit dem Internet verbunden und für den Betrieb Ihres Unternehmens notwendig ist, wie Webmail, VPNs und andere Fernzugriffslösungen.

Bereiten Sie sich auf Ransomware und/oder Datenzerstörung vor: Eine wahrscheinliche Form eines störenden Cyberangriffs wird entweder Ransomware oder einen zerstörerischen Angriff nutzen, der sich als Ransomware ausgibt. Wie wir bei den NotPetya-Angriffen im Jahr 2017 und den WhisperGate-Angriffen im letzten Monat gesehen haben, handelt es sich bei einem Angriff, bei dem ein Lösegeld gefordert wird, möglicherweise gar nicht um „Ransomware“. Die bei diesen Angriffen verwendete Malware zerstörte Daten ohne jede Chance auf Wiederherstellung und nutzte die Lösegeldforderung lediglich zur Verschleierung ihrer wahren Absicht. Die erforderlichen Vorbereitungen zur Verhinderung und Wiederherstellung dieser Angriffe sind in beiden Fällen ähnlich. Das Testen von Backup- und Wiederherstellungsplänen ist von entscheidender Bedeutung, ebenso wie das Testen Ihres Plans zur Aufrechterhaltung der Betriebsabläufe für den Fall, dass Ihr Netzwerk oder andere wichtige Systeme durch den Angriff außer Betrieb gesetzt werden.

Seien Sie darauf vorbereitet, schnell zu reagieren: Sie wollen Ihre Krisenreaktionsprozesse nicht in der Hitze einer tatsächlichen Krise testen. Stellen Sie sicher, dass Sie in Ihrem Unternehmen Ansprechpartner in Schlüsselbereichen für den Fall eines Cybersecurity-Vorfalls oder einer Unterbrechung kritischer Infrastrukturen benennen. Testen Sie Ihr Kommunikationsprotokoll (und Sicherungsprotokolle), um zu vermeiden, dass Sie ohne einen klaren Mechanismus zur Verbreitung wichtiger Informationen dastehen. Führen Sie eine Tischübung mit allen wichtigen Beteiligten durch, um zu erfahren, wie Sie im Falle des Falles reagieren würden.

Sperren Sie Ihr Netzwerk: Kleine Änderungen der Richtlinien können die Wahrscheinlichkeit eines erfolgreichen Angriffs auf Ihr Netzwerk verringern. Bei jüngsten Angriffen wurden beliebte Anwendungen wie Trello und Discord missbraucht, um bösartige Dateien zu verbreiten. Die Angreifer nutzten einfach die Plattformen, um Links zu den Dateien zu hosten, ohne dass die Benutzer die Software verwenden mussten. Viele Anwendungen können auf diese Weise missbraucht werden, und wenn Ihr Unternehmen deren Funktionalität nicht benötigt, kann die Sperrung dieser Anwendungen Ihre Sicherheit verbessern.

Atlassian, Entwicklungsunternehmen von Trello, hat nach eigenen Angaben sofort Systeme zur Erkennung dieser bösartigen Kampagnen eingesetzt, die es ermöglicht haben, verdächtige Trello-Boards und -Konten sofort zu sperren: „Die Angriffe wurden nicht durch Schwachstellen im Trello-Produkt ermöglicht, und die Daten der Trello-Benutzer wurden nicht kompromittiert. Unser Sicherheitsteam überwacht weiterhin alle Anzeichen von möglichem weiteren Missbrauch.“

Es gibt keine Möglichkeit, mit Sicherheit zu wissen, welche Form ein Angriff annehmen wird, aber diese Schritte werden dazu beitragen, einen umfassenden Schutz gegen das zu bieten, was wir erwarten.