Warum der Belarus Railways Hack eine Premiere für Ransomware ist
Warum der Belarus Railways Hack eine Premiere
für Ransomware ist
Blick auf einen Bahnhof in Weißrussland in
der Abenddämmerung
Jahrelang idealistisch Hacktivisten haben die
IT-Systeme von Unternehmen und Regierungen in Protestakten gestört.
Cyberkriminelle Banden haben unterdessen zunehmend die gleiche Art von
Unternehmensnetzwerken mit Ransomware als Geiseln gehalten, ihre Daten
verschlüsselt und sie für Profit erpresst. Jetzt, im geopolitisch
aufgeladenen Fall eines hacktivistischen Angriffs auf das belarussische
Eisenbahnsystem, scheinen diese beiden Adern des Zwangshackens zu
verschmelzen.
Am Montag gab eine Gruppe belarussischer
politisch motivierter Hacker, die als belarussische Cyber-Partisanen
bekannt sind, auf Twitter und Telegram bekannt, dass sie die
Computersysteme der Belarussischen Eisenbahn, des nationalen Zugsystems
des Landes, als Teil einer hacktivistischen Anstrengung, die die
Angreifer Scorching Heat nennen, durchbrochen haben. Die Hacker haben
seitdem Screenshots veröffentlicht, die ihren Zugang zu den
Backend-Systemen der Eisenbahn zu zeigen schienen, und behaupteten, ihr
Netzwerk mit Malware verschlüsselt zu haben, für die sie nur Dann
entschlüsselte, wenn die belarussische Regierung eine Liste von
Forderungen erfüllte. Sie haben die Freilassung von 50 politischen
Gefangenen gefordert, die inmitten der Proteste des Landes gegen den
Diktator Alexander Lukaschenko inhaftiert wurden, sowie eine
Verpflichtung der belarussischen Eisenbahn, keine russischen Truppen zu
transportieren, während sich der Kreml auf eine mögliche Invasion der
Ukraine an mehreren Fronten vorbereitet.
Die Hacker scheinen am Montag zumindest
einige datenbanken der belarussischen Eisenbahn erfolgreich unzugänglich
gemacht zu haben, so Franak Viačorka, ein technischer Berater der
belarussischen Oppositionsführerin Swjatlana Tsikhanouskaya. Viačorka
sagt, er habe die Datenbankausfälle mit belarussischen
Eisenbahnarbeitern bestätigt. Das Online-Ticketing-System der Bahn wurde
am Montag ebenfalls heruntergefahren; Am Dienstag zeigte es eine Meldung
an, dass "die Arbeit im Gange ist, um die Leistung des Systems
wiederherzustellen", blieb aber offline.
"Auf Befehl des Terroristen Lukaschenko
erlaubt #Belarusian Eisenbahn den Besatzungstruppen, in unser Land
einzudringen. Wir haben einige der Server, Datenbanken und Workstations
von BR verschlüsselt, um den Betrieb zu stören", schrieben die Cyber
Partisan-Hacker am Montag auf Twitter und stellten fest, dass die Hacker
darauf achteten, "Automatisierungs- und Sicherheitssysteme" nicht zu
beeinträchtigen, die gefährliche Eisenbahnbedingungen verursachen
könnten.
Cybersicherheitsforscher müssen noch
unabhängig bestätigen, welche Art von Ransomware verwendet wurde, um die
Systeme der belarussischen Eisenbahn zu verschlüsseln. Aber eine
Sprecherin von Cyber Partisans, Yuliana Shemetovets, schrieb an WIRED,
dass, während die Hacker einige Backup-Systeme dauerhaft gelöscht haben,
andere lediglich verschlüsselt waren und entschlüsselt werden könnten,
wenn die Hacker die Schlüssel zur Verfügung stellen. Shemetovets fügte
hinzu, dass die ransomware, die die Hacker verwendeten, "speziell
erstellt wurde, aber auf der gängigen Praxis in diesem Bereich basiert".
Die Verwendung reversibler Verschlüsselung
anstelle des bloßen Löschens von Zielmaschinen würde eine neue
Entwicklung in hacktivistischen Taktiken darstellen, sagt Brett Callow,
ein auf Ransomware fokussierter Forscher bei der Sicherheitsfirma
Emsisoft. "Dies ist das erste Mal, dass ich mich daran erinnern kann,
dass nichtstaatliche Akteure Ransomware ausschließlich für politische
Zwecke eingesetzt haben", sagt Callow. "Ich finde das absolut
faszinierend und bin überrascht, dass es nicht vor langer, langer Zeit
passiert ist. Es ist viel effektiver als das Schwenken von Plakaten vor
einem Welpentestlabor. "
Ransomware – und zerstörerische Malware, die
vorgibt, Ransomware zu sein – wurde in der Vergangenheit sicherlich für
politischen Zwang eingesetzt. Nordkoreanische Hacker zum Beispiel
platzierten 2014 zerstörerische Malware auf Maschinen im Netzwerk von
Sony Pictures. Sie geben sich als Hacktivisten mit dem Namen Guardians
of Peace aus, scheinen vor dem Angriff eine E-Mail mit der Aufforderung
zur Zahlung geschickt und dann das Unternehmen unter Druck gesetzt zu
haben, die Kim Jong-un-Mordkomödie The Interview nicht zu
veröffentlichen. In den Jahren 2016 und 2017 nutzten die russischen
Hacker, bekannt als Sandworm, Teil des militärischen Geheimdienstes GRU
des Landes, gefälschte Ransomware als Mittel, um Computer in der Ukraine
- und letztendlich Hunderte anderer Netzwerke auf der ganzen Welt - zu
zerstören, während sie sich als gewinnorientierte Cyberkriminelle
ausgaben. (Nicht identifizierte Hacker scheinen Anfang dieses Monats
Systeme in der Ukraine mit den gleichen Tricks in einem viel kleineren
Maßstab angegriffen zu haben.)
https://www.wired.com/story/belarus-railways-ransomware-hack-cyber-partisans/