Analyse des SANS Institute

Wie lief der Angriff auf das Stromnetz der Ukraine?

| Autor / Redakteur: Robert M. Lee* / Stephan Augsten

Noch ist nicht eindeutig geklärt, wie das Stromnetz in der Ukraine angegriffen wurde. Das SANS Institute will Licht in die Angelegenheit bringen.
Noch ist nicht eindeutig geklärt, wie das Stromnetz in der Ukraine angegriffen wurde. Das SANS Institute will Licht in die Angelegenheit bringen. (Bild: kentoh - Fotolia.com)

Der Stromausfall in der Ukraine ist zweifelsohne auf eine gezielte, koordinierte Cyber-Attacke zurückzuführen. Doch wie sind die Angreifer genau vorgegangen? Dieser Beitrag erläutert die belegbaren Umstände.

Am 23. Dezember 2015 kam es im westlichen Teil der Ukraine, genau gesagt bei Ivano-Frankivisk Oblast in der Nähe der moldawischen Grenze, zu einem Stromausfall. Aufgrund von Berichten russischer und ukrainischer Medien sowie unserer eigenen Analyse können wir mit großer Gewissheit sagen, dass der Stromausfall das Ergebnis eines koordinierten gezielten Angriffs war.

Durch die Kombination von Malware und direktem Fernzugriff scheinen die Angreifer die Kraftwerkseinsatzplanung getäuscht und unerwünschte Statusänderungen der Infrastruktur zur Verteilung der Energie herbeigeführt zu haben. Darüber hinaus scheinen sie Einträge auf SCADA-Servern gelöscht zu haben, nach sie den Stromausfall ausgelöst hatten.

Was wir bis heute wissen

Basierend auf den Verlautbarungen der Medien und den Betreibern bestand der Angriff aus drei Teilen: der Malware, dem DoS-Angriff (Denial-of-Service) auf die Telefonanlage, um Support-Dienste zu blockieren) – und dem bisher fehlenden Hinweis auf das, was den Stromausfall tatsächlich verursacht hat.

Eventuell wurde die Unterbrechung der Energieversorgung durch eine Malware ermöglicht. Möglicherweise war sie direkt in die Abschaltung involviert, wie wir nachher noch sehen werden. In jedem Fall hatte der Schadcode aber zwei ganz bestimmte Aufgaben: den Kraftwerkseinsatzplanern die Übersicht zu nehmen und Kundenanrufe beim Support unmöglich zu machen.

Wir gehen davon aus, dass es koordinierte Attacken auf verschiedene lokale Stromverteilungsunternehmen gegeben hat. Eine davon, Kyivoblenergo genannt, hatte veröffentlicht, dass durch ein unautorisiertes Eindringen in sieben Umspannwerke mit 110 Kilovolt und 23 Umspannwerke mit 35 Kilovolt ein Stromausfall für 80.000 Verbraucher in der Region entstanden ist. Das gleiche Energieunternehmen hat erklärt, dass sie technische Probleme mit ihrem Support-Telefon hatten.

Die zuständigen Mitarbeiter des Betreibers mussten selbst Hand anlegen, da das SCADA-System immer noch betroffen war. Sie haben einen großartigen Job gemacht und das System manuell wiederhergestellt, ohne Hilfe eines automatischen Verteilungszentrums.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43840384 / Sicherheitsvorfälle)