3.1 Einführung
In der allgemeinen Literatur werden Cyberattacken mit Sabotagewirkung, bei denen man wegen ihrer Komplexität zumindest von der Unterstützung oder Duldung durch staatliche Stellen ausgehen muss, als Cyberwar geführt.
Die Besonderheit beim Cyberwar ist, dass anders als bei einem herkömmlichen Konflikt die Informationen in aller Regel nur von einer Seite stammen, meistens dem Opfer, in Ausnahmefällen jedoch auch nur vom Angreifer (Kapitel 3.2.6). Dies erschwert die Beweisführung und insofern auch die Überprüfung des tatsächlichen Geschehens.
3.2 Cyberwar von 1998-heute
3.2.0 Vorgeschichte: Pipeline-Explosion in der Sowjetunion
Russland versuchte, an US-Hochtechnologiesysteme zur Steuerung der eigenen Pipelines zu gelangen, die ihnen die USA wegen des kalten Krieges nicht überlassen wollten. Die USA ließen die Entwendung dennoch zu, bauten aber in die Software ein Schadprogramm ein, durch das 1982 der Druck in der Tscheljabinsk-Pipeline über den zulässigen Höchstwert gebracht wurde. Es folgte eine Explosion von ca. 3 Kilotonnen Stärke, immerhin einem Fünftel der Hiroshima-Bombe. Russland widersprach dieser Darstellung der Ereignisse.
3.2.1 Moonlight Maze 1998-2000
Im Zuge der ca. 2 Jahre andauernden Aktion Moonlight Maze wurden Computer des Pentagon, der NASA, des Energieministeriums und anderen Akteuren systematisch auf Schwachstellen abgeprüft und zehntausende von Dateien gestohlen, das Verteidigungsministerium vermutete Russland hinter dem Angriff, das jedoch dementierte.
3.2.2 Jugoslawienkrieg 1999
Als erste dem Cyberwar nahekommende Maßnahme zählen manche Autoren die Sabotage jugoslawischer Telefonnetze im Jahre 1999 durch die NATO im Zuge des Kosovo-Krieges. Als Reaktion auf die versehentliche Bombardierung der chinesischen Botschaft in Belgrad wurden Webseiten der US-Regierung von chinesischen Hackern angegriffen, u.a. die Website des Weißen Hauses.
3.2.3 Der Hainan- oder EP3-Zwischenfall von 2001
Im zeitlichen Zusammenhang mit dem Zusammenstoß eines US-Aufklärungsflugzeugs vom Typ EP-3 mit einem chinesischen Jet, dem sogenannten Hainan-Zwischenfall, wurden mutmaßlich von patriotischen chinesischen Hackern die Würmer Code Red und Code Red II auf amerikanische Computer losgelassen, die dann ca. 600.000 Computer infizierten und 2 Mrd. Dollar Schaden anrichteten. Es kam zu Computerabstürzen und Website defacements, bei denen u.a. der Slogan „hacked by Chinese“ platziert wurde.
3.2.4 Großangriffe auf westliche Regierungs- und Industrie-Computer 2000-2011
Neben militärischen Netzwerken sind aber auch zivile Netzwerke von Behörden und Rüstungsfirmen interessant; auf dem Sektor konstatieren US-Beobachter bereits eine Art kalten Cyberkrieg mit China, so soll China im Jahre 2007 mindestens 10-20 Terabytes an Daten aus entsprechenden US-Netzwerken abgezogen haben, zudem wurden im selben Jahr 117.000 Internet-Angriffe auf die Server des Heimatschutzministeriums Homeland Security gemeldet. Diese Aktivitäten folgten einer mehrjährigen systematischen Angriffswelle, die von den USA Titan Rain getauft wurde. Auch die Bundesregierung beklagte in der Zeit den Angriff auf ihre Computersysteme.
Das aus Titan Rain abgeleitete Angriffsmuster sah wie folgt aus: Teams von ca. 6-30 Hackern dringen in Computer ein, kopieren ihren gesamten Inhalt in ca. 30 Minuten, senden die Daten zu einem Botnetz in Südostasien und von dort weiter in die chinesische Provinz Guangdong, wobei sich letzteres aber nicht sicher nachweisen ließ.
Es gibt auch zahlreiche Medienberichte zu russischen und chinesischen Eindringversuchen in das Pentagon und das Weiße Haus in den Jahren 2007-2008.
ArcSight berichtet von 360 Millionen Eindringversuchen in das Pentagon-Computersystem im Jahre 2008.
Weitere Angriffe waren GhostNet und die Operation Aurora aus dem Jahr 2009. Bei GhostNet wurden laut BBC News durch ein Virus offenbar gezielt Computer von Botschaften attackiert, u.a. von Indien, Südkorea, Indonesien, Thailand, Taiwan, Deutschland und Pakistan sowie in den Außenministerien u.a. des Iran, Bangladesch, Indonesien, Brunei und Bhutan. China wurde verdächtigt, weil auch der Computer des Dalai Lama infiziert wurde, aber der sichere Beweis ließ sich wieder nicht führen. Das Virus konnte in den befallenen Computern die eingebaute Kamera und die Tonaufzeichnungsfunktionen zur Raumüberwachung in Gang setzen.
Bei der Operation Aurora versuchten mutmaßlich chinesische Angreifer, Zugang zu den Computerprogrammen, genauer gesagt den Quellcodes, von Firmen aus der IT-Branche (allen voran Google, aber auch Adobe) sowie von Hochtechnologiefirmen der Sicherheits-, Computersicherheits- und der Verteidigungsbranche zu erlangen. Operation Aurora wird inzwischen der Axiom/APT17 Group zugeschrieben, siehe Kapitel 5. Zwei weitere groß angelegte Cyberattacken richteten sich 2009 gegen Firmen der Öl-, Gas- und petrochemischen Industrie (Operation Night Dragon) und über 5 Jahre ab Juli 2006 gegen insgesamt 72 globale Organisationen (Operation Shady RAT), wobei China eine Beteiligung energisch bestreitet. 2011 wurden weitere Angriffe dieser Art, u.a. auf die Rüstungsfirma Lockheed Martin und Googles Mailservice Gmail berichtet.
3.2.5 Der Angriff auf Estland im Jahre 2007
Es kam zu einem computertechnischen Großangriff auf Estland 2007, nachdem Estland ein russisches Kriegerdenkmal abgebaut hatte, das für die Russen die Opfer bei der Befreiung Estlands von Hitler darstellte, den Esten jedoch als Besatzungssymbol erschien. Estlands Netz wurde daraufhin von Russland aus mit gewaltigen Datenmengen bombardiert, wobei dies nicht vom russischen Staat ausging, sondern ‘nur’ von nationalistisch gesinnten Kreisen. Die Zahl der Anfragen auf bestimmte Computer stieg von 1.000 pro Tag auf 2.000 pro Sekunde an und die gesamte Attacke dauerte insgesamt Wochen.
Intensiv wird über die Frage diskutiert, ob die Cyberwardebatte nicht übertrieben oder nur ein Mythos sei, den militärische Einrichtungen dazu nutzen, um ihre Expansion in den Cybersektor zu rechtfertigen. Eines der Kernargumente ist, dass ein Cyberwar gerade beim meistzitierten Beispiel, dem Angriff auf Estland 2007, nicht wahrscheinlich sei. Einige Autoren sehen die Schläge als zu unkoordiniert und unausgereift an, um auf staatliche Angreifer aus Russland hinzudeuten, vielmehr sprächen die Angriffsmuster für die Aktivitäten patriotischer script kiddies, d.h. Angreifern, die mit im Internet erhältlichen Standardwerkzeugen operiert hätten.
3.2.6 Der Angriff auf Syrien 2007
Bei dem Angriff auf eine mutmaßliche Atomanlage in Ostsyrien am 06.09.2007 mussten israelische Flugzeuge den gesamten syrischen Luftraum durchfliegen. Um dies zu ermöglichen, hatten die Israelis den Computern der syrischen Luftabwehr einen leeren Himmel vorgegaukelt, so dass die Flugzeuge unbehelligt einfliegen und angreifen konnten. Dies ist ein klassisches Beispiel für die Idee des Cyberwars als operativer Ergänzung zu konventionellen Maßnahmen.
3.2.7 Der Angriff auf Georgien 2008
Schon im Vorfeld des Krieges zwischen Russland und Georgien begannen mutmaßlich aus Russland kommende Angriffe gegen georgische Computersysteme, wobei auch kritische Infrastrukturen und Webseiten von Medien, Banken und Transportunternehmen betroffen waren. Schon Wochen vorher wurde die Internetseite des georgischen Staatspräsidenten am 20. Juli 2008 durch einen Distributed Denial of Service (DDoS)-Angriff lahmgelegt. Außerdem kam es zum Website defacement, bei dem auf georgischen Internetseiten neben Fotos des georgischen Präsidenten solche von Adolf Hitler positioniert wurden.
Der Hauptangriff bestand aus einer großangelegten DDoS-Attacke einen Tag vor dem Beginn des russischen Vormarsches und schwächte die Computersysteme Georgiens massiv. Inzwischen wird die Attacke APT28/Fancy Bear/Sofacy zugeschrieben.
3.2.8 Eindringen in amerikanische Kampfdrohnen 2009/2011
2009 wurde berichtet, dass irakische Aufständische mit einer Software in die Videosysteme unbemannter US-Drohnen eindringen und so die Videos dieser Drohnen mit ansehen konnten. 2011 wurde berichtet, dass die Computer der Creech Air Force Base in Nevada, die als Steuerzentrale für Predator- und Reaper-Drohnen dient, von einem Computervirus befallen wurden; laut US Air Force hatte dies jedoch keinen Einfluss auf die Einsatzfähigkeit der Drohnen. Der Iran brachte 2011 eine US-Drohne vom Typ RQ-170 in seinen Besitz.
Die US Navy hat 2012 entschieden, die Kontrollsysteme der Drohnenbasen auf Linux umzurüsten, was von der Rüstungsfirma Raytheon mit einem Budget von 28 Million US-Dollar durchgeführt werden sollte. Die Verwundbarkeit von Drohnen ist aber auch typabhängig, da diese mit unterschiedlichen Kontrollmethoden und verschieden großer Systemautonomie gesteuert werden.
3.2.9 Attacken in der Ukraine
Während der Krimkrise im März 2014 wurden Cyberattacken zwischen der Ukraine und Russland berichtet, außerdem berichtete die russische Rüstungsfirma Rostec, eine US-Drohne MQ-5B über der Krimhalbinsel mittels elektromagnetischer Störmanöver zur Landung gezwungen zu haben.
Am 23.12.2015 kam es zu Stromausfällen in der Ukraine durch Cyberattacken bei drei regionalen Stromanbietern, die insgesamt ca. 225.000 Kunden betrafen. Drei weitere Anbieter waren betroffen, hatten aber keine Stromausfälle. Die Eindringlinge waren in der Lage, Stromverbindungen aus der Distanz zu öffnen, was zum Stromausfall führte, was in koordinierter Form in einem kleinen Zeitfenster geschah. Telephone denial of service-Attacken (TDoS attacks) wurden genutzt, um die Anbieter-Hotlines mit Anrufen zu fluten, so dass die Kunden die Stromausfälle nicht telefonisch weitermelden konnten.
Am Schluss wurde die Wiper-Malware KillDisk benutzt, um die Systeme zu beschädigen. Die Sandworm/Quedagh-Gruppe wurde als Angreifer vermutet, aber ihre Malware Black Energy schien die Ausfälle nicht herbeigeführt zu haben, siehe auch Kapitel 7.
Am 17. Dezember 2016 verursachte die Malware Industroyer/CrashOverride einen Blackout in Kiew, der einer neuen APT namens Electrum zugeschrieben wurde, die mit der Sandworm/Quedagh-Gruppe verbunden ist. Dies wird im Abschnitt 8 im Kapitel Smart Grid ausführlich besprochen.
Die IT-Sicherheitsfirma CrowdStrike entdeckte Ende 2016 einen Angriff auf ukrainische Artilleriegeschütze des Howitzer-Typs.
Die APT 28/Fancy Bear/Sofacy-Malware X-Agent wurde verdeckt in ein Android-Paket implantiert, das von einem ukrainischen Offizier namens Sherstuk entwickelt wurde und 9.000 User hatte. Diese App unterstützt D-30/122mm Howitzer Artillerie-Waffen, um Ziel-Daten in kürzester Zeit zu verarbeiten. CrowdStrike nahm an, dass dies zu einem Verlust von 80% der Artilleriegeschütze im Vergleich zu einem durchschnittlichen Waffenverlust 50% in den letzten zwei Jahren beigetragen hat, diese Analyse blieb aber umstritten.
3.2.10 Nord-Korea
Die New York Times berichtete, dass die NSA in der Lage gewesen sei, in nordkoreanische Netzwerke über Malaysia und Südkorea vorzudringen, so dass sie in der Lage gewesen sei, nordkoreanische Hackeraktivitäten zu beobachten und nachzuverfolgen, aber eine offizielle Bestätigung dieser Darstellung wurde nicht gegeben.
Während des so genannten Sony Hacks (siehe Kapitel Lazarus-Gruppe in Abschnitt 5) fand ein Netzwerkversagen in Nordkorea statt, was zu Spekulationen führte, dass dies eine Cybervergeltung der USA für den Druck war, dem Sony und der Film The Interview ausgesetzt war.
Im Jahr 2014 befahl US-Präsident Obama, Cyber- und elektronische Schläge gegen das nordkoreanische Raketenprogramm zu verstärken. Während es eine hohe Ausfallrate bei den Raketentests gibt, hat das Programm dennoch Fortschritte gemacht. Die aktuelle Diskussion geht davon aus, dass das nordkoreanische Programm möglicherweise widerstandsfähiger als erwartet ist.
3.2.11 Lokale Cyberkonflikte
Eine wachsende Zahl lokaler politischer und/oder militärischer Konflikte wird von mehr oder weniger koordinierten Cyberattacken begleitet, die sich ggf. über einen längeren Zeitraum hinziehen können. Diese Attacken betreffen auch sicherheitsrelevante Systeme des Gegners, und werden eventuell auch von gleichzeitigen Medienkampagnen begleitet. Wichtige Beispiele unter vielen sind die Konflikte von Indien und Israel mit Akteuren aus den Nachbarstaaten.
Nachdem vermutlich Hacker aus Pakistan erfolgreich die Website der indischen National Security Guard gehackt hatten, wurden am 02.01.2017 Computer der Flughäfen von Islamabad, Multan und Karachi von indischen Hackern mit Vergeltungs-Ransomware angegriffen, was den Flugverkehr beeinträchtigte. Im Gegensatz zu früheren Attacken wurde kein Code gegen Lösegeld angeboten, stattdessen wurde die Ransomware verwendet, nur um die Computer nur zu beschädigen. Im Gegensatz zu anderen Cyberwars wurden wenig Anstrengungen unternommen, um den Ursprung des Angriffs zu verbergen oder etwas zu verweigern, stattdessen wird dies als shooting over the virtual border betrachtet.
3.2.12 Cyberwar gegen den Islamischen Staat (‘IS’)
Der Islamische Staat IS (synonym auch ISIS, ISIL und Daesh) ist ein wichtiger dschihadistischer Akteur in den andauernden Konflikten in Syrien und Irak und kontrolliert relevante Gebiete beider Länder seit der Übernahme vom Rakka in Syrien und Mosul im Irak in 2014.
Die USA gaben 2016 offiziell bekannt, dass das US Cyber Command aktiv gegen den IS vorgeht, um die Kommunikation durch Beeinträchtigung der Netzwerke zu unterbrechen, insbesondere sie durch Überlastung außer Funktion zu setzen, um die Rekrutierung, die Planung und den Ressourceneinsatz zu treffen. Die Aktivitäten wurden in die allgemeinen militärischen Maßnahmen eingebettet. Während der IS formal kein Staat war (da er vom Ausland nicht als solcher anerkannt wurde), kam er aus militärischer Sicht einem Staat gleich (Größe, Macht, Bevölkerung, Gebiete, Kontrolle).
Nach den Terroranschlägen in Paris vom November 2015 erklärte die Gruppe Anonymous (zuweilen als ‘hacktivists’ = hacking activists bezeichnet) dem IS den Cyberkrieg, der dann intensiv in den Medien diskutiert wurde. Diese Erklärung kam jedoch unerwartet, da Anonymous schon im August 2014 den „full-scale cyberwar“ (umfassenden Cyberkrieg) gegen den IS erklärt hatte, die zweite Erklärung kann man evtl. als Erneuerung bzw. Bekräftigung interpretieren. In der Woche nach den Paris-Attentaten war Anonymous in der Lage, 5.500 ISIS-Twitter-Accounts lahmzulegen. Im Jahre 2015 wurden noch weitere Cyberwar-Erklärungen gegen Israel und die Türkei abgegeben. Mittlerweile hat Twitter die eigenen Aktivitäten verstärkt und in einem Jahr ab Mitte 2015 360.000 Accounts geschlossen, die Terroraktivitäten guthießen.
Um die Überwachung von e-Mails zu umgehen, werden zunehmend Messengerdienste mit Verschlüsselung benutzt. Ein dem Islamischen Staat (IS) zugeschriebenes Dokument aus dem Januar 2015 listet insgesamt 33 Messengerdienste auf und unterteilt sie in 5 Sicherheitskategorien. In der Praxis wurde der sichere Messengerdienst Telegram von IS-Aktivisten genutzt, da dieser die Kommunikation und Versendung von Dateien ohne digitale Spuren erlaubt. Telegram schloss mehr als 660 IS-Konten seit November 2015. Ursprünglich wurde vermutet, dass die Attentäter von Paris im November 2015 Kommunikationskanäle in der Playstation 4 (PS 4) genutzt hätten, aber Beweise hierfür konnten nicht vorgelegt werden.
In Januar 2016 gab der IS ein Cyberwar-Magazin namens Kybernetiq heraus mit Cyberwar-Informationen. Am 08.03.2016 erhielt der Fernsehsender Sky News die Personaldateien von 22.000 IS-Kämpfern zugespielt, die Personen- und Kontaktdaten insbesondere von ausländischen Kämpfern enthielten. Dazu hieß es, die Dateien stammten aus einem internen Leck in der IS-Sicherheitsabteilung.
Im April 2016 gaben die USA offiziell den Abwurf von Cyberbomben auf die IS-Systeme bekannt, wobei Details dieser Maßnahmen geheim blieben. Jedoch wurde berichtet, dass die USA in der Lage waren, die Systeme zu infiltrieren, um so falsche Befehle einzuspeisen, Finanztransaktionen zu behindern und die Kommunikation in sozialen Netzwerken einzudämmen.
Jedoch wollte das Pentagon seine Aktivitäten verstärken, da der IS weiter operierte, z.B. mittels der Nachrichtenagentur Amaq oder der weiteren Herausgabe des regelmäßig erscheinenden Magazins Dabiq. Deshalb ließ der Chef des Cybercom, Rogers, die 100 Mann starke Einheit „Joint Task Forces Ares“ errichten.
Im Mai 2016 wurde Generalleutnant Cardon durch Cybercom angewiesen, die Zusammenarbeit von Ares mit dem Zentralkommando für den Mittleren Osten und Asien zu sichern und digitale Waffen zu entwickeln oder zu beschaffen. Der IS hat gezeigt, dass er alle Arten von Kommunikationswegen zu nützen weiß und dass er möglicherweise nicht so sehr auf eine zentralisierte Serverarchitektur angewiesen ist wie die großen Staaten, d.h. er ist schwer greifbar. Zum Beispiel half die NSA den deutschen Behörden bei der Entschlüsselung der Anweisungen der IS-Anleiter für die Terrorangriffe in Würzburg und Ansbach im Juli 2016. Die Kommunikation schien aus Saudi-Arabien zu kommen, aber die saudi-arabische Botschaft erklärte, dass für die Instruktion des einen Attentäters zwar eine saudische Telefonnummer benutzt wurde, sich die Person aber in den vom IS kontrollierten Gebieten aufhielt.
Das US-Verteidigungsministerium DoD befand, dass die NSA und die Intelligence Community im Kampf gegen den IS die Informationsgewinnung aus den IS-Netzwerken gegenüber der Bekämpfung priorisierten, also ein Zielkonflikt aus verdeckter nachrichtendienstlicher Arbeit und offensiven militärischen Erfordernissen existierte. In Zukunft sollen Cybersoldaten direkt an der Front mit der Infanterie zusammenarbeiten, eine Taktik, die schon im Kampf gegen den IS erprobt wurde.
Um die Cyberwarfähigkeiten der USA weiter zu stärken, plante Präsident Obama 2016 die Aufwertung von Cybercom zu einem eigenständigen militärischen Kommando mit einem Fokus auf die militärischen Aspekte des Cyberspace. Die Verbindung zur NSA sollte aufgehoben und die NSA dann von einem Zivilisten geführt werden. Präsident Trump führte die Aufwertung 2017 durch und unterstellte Cybercom direkt dem DoD.
Ein 20-jähriger Hacker aus dem Kosovo lieferte im Jahr 2015 die Adressen von 1.300 US-Militärs und stellte sie online. Im September 2016 plädierte er auf schuldig und wurde zu 20 Jahren Gefängnis verurteilt.
Eine weitere Aktivität waren Dutzende von Website-Defacements durch die Unterstützer des islamischen Staates mit dem Namen System DZ Team. In den letzten drei Jahren seit Oktober 2014 weisen die IP-Adressen auf einen Standort in Algier hin. Im Juni 2017 wurde die Website des Gouverneurs des US-Bundesstaates Ohio, John Kasich, mit einer Pro-ISIS-Nachricht des System DZ-Team defaced.
Europol und US-Polizeibehörden konnten in einer zweitägigen Aktion im April 2018 IS-Plattformen stilllegen. Betroffen davon waren die Nachrichtenagentur Amaq, Radio Al-Bayan und die Nachrichtenseiten Halumu und Nashir. Nashir veröffentlichte Amaq News jedoch weiter über den Messenger-Dienst Telegram.
3.2.13 Cyberkonflikte im Jahr 2019/2020
Neben anderen militärischen Unterstützungsmaßnahmen (Luftverteidigungssysteme, Hubschrauber usw.) wurden Ende März 2019 von Russland einige Cybersoldaten nach Venezuela entsandt. Dies ist zwar kein Beweis dafür, dass die USA in den Wochen zuvor die großen Stromausfälle in Venezuela verursacht hatten (die USA sagten, das Kraftwerk sei durch ein natürliches Lauffeuer beschädigt worden), aber es könnte eine Warnung Russlands gewesen sein, nichts in diese Richtung zu unternehmen.
Anfang Mai 2019 kombinierte die Hamas ihre Raketenangriffe vom Gaza-Streifen mit Cyberangriffen, woraufhin Israel das Gebäude der Hackereinheit gezielt bombardierte, so dass erstmals Hacker während eines Konflikts ums Leben kamen.
Im Juni 2019 wurde bekannt, dass die USA seit mindestens 2012 Aufklärungsprogramme in Steuerungssystemen des russischen Stromnetzes einsetzen. Zusätzlich zur Wolf Creek-Attacke waren nämlich Versuche unternommen worden, die Cooper Nuclear Station des Nebraska Public Power Districts zu infiltrieren, wo die Angreifer die Kommunikationsnetze erreichten, jedoch nicht das Reaktorsystem.
Die USA haben laut eigenen Angaben am 18 Juni 2019 Raketenkontrollsysteme der iranischen Revolutionsgarden und ein Spionagenetzwerk angegriffen. Dies war auch eine Reaktion auf eine Zunahme iranischer Cyberattacken auf US-Regierungseinrichtungen, den Wirtschafts- und Finanzsektor sowie Öl- und Gasfirmen, wobei die Attacken typischerweise mit Spearphishing ausgeführt wurden.
Ein weiterer Angriff wurde vom US Cyber Command gestartet. Es löschte Berichten zufolge eine essentielle Datenbank, die von den paramilitärischen Streitkräften des Iran, den Revolutionsgarden, im August 2019 verwendet wurde.
Der israelische Angriff auf den Hafen von Shahid Rajaee im Mai 2020 verursachte einen Verkehrsstau bei Lieferwagen und Verzögerungen bei den Lieferungen als Vergeltung für einen Vorfall vom 24. April 2020, als eine Pumpe in einem kommunalen Wassersystem in der Region Sharon in Zentralisrael nicht mehr funktionierte. Diese Unterbrechung war kurz, wurde jedoch als erhebliche Störung wahrgenommen. Die auslösende Malware stammte offenbar von den Cyber-Einheiten der Revolutionsgarden.
3.2.14 Auswirkungen der Corona-Krise
Die Corona-Krise im Jahr 2020 führte zu zwei verschiedenen Arten von Cyber-Angriffen: Cyber-Kriminelle missbrauchten die Corona-Berichterstattung als Angriffsmöglichkeit, während die Nationalstaaten nach Know-how zur Coronavirus-Forschung suchten.
Über 50 einzigartige Malware-Typen wurden von Cyberkriminellen über Kampagnen zum Thema Covid-19 verbreitet.
Unter anderen High-Tech-Unternehmen richteten sich die von China unterstützten Hacker Li und Dong gegen das COVID-19-Impfstoffunternehmen Moderna, was zu einer Anklage gegen Li und Dong führte.
Zwei chinesische Staatsbürger, Geheimdienstoffiziere der MSS-Abteilung in Guangdong; bekannt als GSSD, drangen mit der Hilfe eines weiteren MSS-Offiziers in High-Tech-Firmen ein, indem sie bekannte Sicherheitslücken ausnutzten, aber auch ein Web-Shell-Tool namens Chinese Chopper verwendeten. Die Aktivitäten reichten von der Lasertechnologie über Projekte für das FBI bis hin zur Entwicklung des Covid-19-Impfstoffs durch das US-amerikanische Unternehmen Moderna. Sie haben auch versucht, die letzten Änderungszeitpunkte von Dateien zu ändern; eine Technik, die als Timestomping bekannt ist.
Hacker versuchten im März 2020, durch Passwortdiebstahl in die Weltgesundheitsorganisation einzudringen, die vermutlich von der Gruppe DarkHotel stammten, die seit mindestens 2007 Cyberspionage-Operationen durchführt.
Das britische National Cyber Security Centre (NCSC) berichtete, dass die russische APT29 verschiedene Organisationen angriff, die an der Entwicklung von Covid-19-Impfstoffen in Kanada, den USA und Großbritannien beteiligt sind. APT29 führte grundlegende Schwachstellenüberprüfungen anhand bestimmter externer IP-Adressen durch und verwendete die WellMess-Malware für Shell-Befehle und die Dateiverwaltung und das TWellMail-Tool für Befehle oder Skripte mit Datenübertragung an einen hartcodierten Befehls- und Steuerungsserver. Es wurden auch Beispiele für die SoreFang-Malware gefunden, die speziell auf SangFor-Geräte abzielt. Diese Malware wurde jedoch auch von der APT DarkHotel verwendet.
Klaus Saalbach; 2020
https://nbn-resolving.org/urn:nbn:de:gbv:700-202009303598
https://creativecommons.org/licenses/by/3.0/de/
Zur einfacheren Lesbarkeit wurden die Quellenverweise entfernt.