2017 bricht in der gesamten Ukraine das komplette Chaos aus. Geldautomaten funktionieren nicht mehr, Kartenlesegeräte in U-Bahn-Stationen sind defekt, unzählige ukrainische Banken, Unternehmen und staatliche Einrichtungen büßen den Großteil Ihrer Computer ein. Sie schalten sich einfach aus und beim Neustart erscheint nur noch eine seltsame Nachricht. „Alle Daten der Maschinen sein nun verschlüsselt und somit völlig nutzlos. Es wird aufgefordert 275 Bitcoins zu bezahlen, um die Daten wieder frei zu geben“.
In Kopenhagen geschieht das gleiche, tausende PC´s gehen einfach aus. In Häfen überall auf der Welt stehen in der Folge abertausende LKW´s Schlange! Sie sollen eigentlich Ladungen von gigantischen Containerschiffen abholen, leider ist die gesamte IT-Infrastruktur von Maersk, der größten Schifffahrtsgesellschaft der Welt, auf einen Schlag in sich zusammengebrochen, niemand weiß welches Schiff, welche Ladung mit sich trägt, wer was wo abholen und wo hin bringen muss. Das alles und noch viel mehr ist das Resultat von NotPetya, dem schlimmsten Hacker Angriff aller Zeiten.
Er hat globale Schäden von über 9 Milliarden Euro verursacht und zeigt vor allem eins: zu was für vernichtende, beängstigende Cyber-Angriffen die mächtigen Länder dieser Welt heute fähig sind.
Aber fangen wir ganz von vorne an. Die ukrainische „Linkos Group“, vertreibt die beliebte Software „medoc“ mit ihr können Unternehmen in der Ukraine ihre Steuererklärung vorbereiten. 2017 wurde diese Software von den aller meisten Unternehmen des Landes genutzt (90%). Ein Server der Linkos Group, sendet regelmäßig Updates an alle „Medoc-Nutzer“. Dieser Update Server wird von Hackern gekapert, am 27.06.2017 verschicken sie ein „medoc“ Update, es erreicht unzählige Unternehmen, Regierungsorganisationen und allgemein so gut wie jede Institution die Steuern in der Ukraine zahlen muss. Was niemand merkt, bei dem Update handelt es sich um ein 1,5 GB Schadsoftware-Paket „NotPetya“.
Aber was genau macht „NotPetya“ eigentlich?
NotPEtya ist ein Wurm, also eine Schadsoftware, die sich selbst vervielfältigt und von allein immer mehr Systeme infiziert, grob vereinfacht besteht „NotPetya“ aus 3 Bausteinen.
- Sobald der Wurm es über das „MeDoc“ Update auf ein System geschafft hat, kommt „Mimikatz“ zum Einsatz. Mit Mimikatz können Hacker auf Computern nach Benutzernamen und Passwörtern suchen. Oft sind alle PC´s eines Unternehmens vernetzt. Mimikatz kann mit Glück auch Daten von anderen Nutzern in diesem Netz finden. Mit Hilfe dieser Benutzerdaten, breitet sich der Wurm dann in dem Netzwerk aus. Aber was, wenn Mimikatz keine wichtigen Nutzernamen und Passwörter finden kann?
- Um sicher zu stellen, dass der Wurm zur richtigen Computern und Servern vordringen kann, wird deshalb zusätzlich „Eternal Blue“ genutzt. Mit Eternal Blue können sich Hacker, Kontrolle über Windows Computer verschaffen. Eternal Blue wurde von der NSA entwickelt und nutzte eine Schwachstelle im Windows die völlig unbekannt war. Deshalb war so gut wie jeder Windows Computer auf der Welt auf diese Weise angreifbar. Eternal Blue wurde am 14. April 2017 geleakt und stand nun der ganzen Welt zur Verfügung. Microsoft hatte die betreffende Schwachstelle im Windows zum Zeitpunkt von NotPetya bereits behoben. Zahllose Windows Systeme auf der Welt waren dennoch ungeschützt, weil Betriebssysteme von Ihren Nutzern in der Regel nicht aktualisiert werden. Mitte 2017 waren also noch sehr viele Systeme mit Eternal Blue angreifbar. Mit der Macht des NSA Tools und Mimikatz breitet sich der Wurm rasent schnell aus.
- Aber was macht der Wurm sobald er ein System infiziert und sich weiterverbreitet hat?
Hier kommt Petya ins Spiel. Petya verschlüsselt alle Daten auf einem System und macht die gesamte Maschine so unbrauchbar. Nach dem Neustart wird eine Lösegeld Forderung angezeigt: „ für ein paar Bitcoin kriegt man seine Daten zurück“. Diese Forderung ist bei NoTPetya aber eher Tarnung. Denn anders als bei der originalen Petya Software geht es hier gar nicht um Erpressung, niemand hat vor die Daten für ein paar Bitcoin wieder zu entschlüsseln. NotPetya tut nur so als würde es den Nutzer erpressen, in Wahrheit sind die Daten für immer weg! Bitcoin hin oder her, das eigentliche Ziel ist: maximale Zerstörung! Deshalb der Name „NotPetya“.
Und diese Bestie wurde auf die Ukraine losgelassen. Am 27. Juni 2017 verschickte der „medoc“ Server das infizierte Update und „NotPetya“ breitete sich rasend schnell aus. Bevor irgendjemand verstand was hier passierte war es zu spät. Der Wurm zerstörte oder beschädigte die technische Infrastruktur zahlreicher ukrainischer Ministerien, Banken, Metros und Flughäfen. Auch Telekommunikationsfirmen und Bahngesellschaften waren betroffen. „NotPetya“ schaltete sogar das Strahlungsüberwachungssystem um Tschernobyl aus. MeDoc wurde natürlich auch von ausländischen Unternehmen mit einem Sitz in der Ukraine genutzt, so hinterließ NotPetya auch global eine Schneise der Verwüstung. Zudem betroffenen Firmen gehörten u.a. Giganten wie Mondeléz oder Fedex. Auch die gesamte Produktion eines der größten Pharmakonzerne der Welt kollabierte einfach. Das Unternehmen heißt Merck und verlor in der Folge fast 830 Millionen Euro. Auch der Fall von Maersk war besonders brutal. „NotPetya“ hat 45.000 PC´s und 4.000 Server der Firma komplett nutzlos gemacht. Darüber hinaus wurde auch der Domain Controller verschlüsselt. Der Domain Controller ist wie das Zentralhirn einer solchen IT Infrastruktur. NotPetya hat alle hundertfünfzig Backups dieses Controllers gleichzeitig erwischt. Durch pures Glück überlebte dann doch ein BackUp in Ghana weil während der Attacke der Strom in der Region ausfiel. Mit Hilfe dieses überlebenden Domain Controllers konnte Maersk ihre Infrastruktur dann unter unglaublichen Anstrengungen wieder aufbauen. Ca. 9 % der gesamten Infektionen sollen deutsche Unternehmen getroffen haben.
Aber warum ist das ganze überhaupt passiert? Wer zieht denn einen Vorteil aus purer Zerstörung?
NotPetya ist das Resultat eines Krieges. 2014 hat Russland die ukrainische Halbinsel Krim widerrechtlich zu russischem Staatsgebiet erklärt. Kurze Zeit später brach im Osten der Ukraine nach langen Unruhen ein Krieg aus, er dauert bis heute an. Pro russische Milizen und russische Truppen, kämpfen gegen das ukrainische Militär. Es geht um die Abspaltung der Region von der Ukraine, aber dieser Konflikt wird eben nicht nur mit physischer Gewalt ausgefochten. In gewisser Weise wurde die Ukraine für Russland zu einem Versuchslabor für die digitale Kriegsführung. Das Land wurde aber 2015 immer wieder systematisch von einer Gruppe von Hackern angegriffen. Die Gruppe attackierte vor allem ukrainische Infrastruktur und hat u.a. die weltweit ersten massiven Stromausfälle durch Hacks ausgelöst. Es gibt zahlreiche Indizien das die Gruppe auch für NotPetya verantwortlich ist. Quasi als Höhepunkt ihrer Bemühungen. Die Hacker sind mit hoher Wahrscheinlichkeit ein Teil des russischen Geheimdienstes. Beweisen kann man das aber längst nicht. Eine Steuersoftware als Ausgangspunkt zu nehmen war ein absoluter Genie Streich! Stellen wir uns mal für eine Sekunde vor dieser Angriff wäre über „Turbotax“, das amerikanische Äquivalent von Medoc, verbreitet worden. Die Folgen wären wahrscheinlich unvorstellbar. Wie eine digitale Atombombe mitten in die Welt geschafft. Cyberwarfare ist eine Realität und momentan gibt es keine Spielregeln meistens geben die jeweiligen Staaten nicht mal zu das sie hinter den Angriffen stehen. Russland bestreitet z.B. bis heute jegliche Beteiligung an den Cyberangriffen in der Ukraine. Es braucht dringend einen Diskurs über Regeln und Grenzen digitaler Kriegsführung. Denn Ihre Waffen sind viel potenter, zerstörerischer und gefährlicher als den meisten bewusst ist.