Die Five-Eyes-Staaten haben eine gemeinsame Cybersecurity-Beratung veröffentlicht, in der sie vor einer Zunahme bösartiger Angriffe russischer staatlicher Akteure und krimineller Gruppen auf kritische Infrastrukturen inmitten der anhaltenden militärischen Belagerung der Ukraine warnen.
„Neue Erkenntnisse deuten darauf hin, dass die russische Regierung Optionen für mögliche Cyberangriffe prüft“, so die Behörden von Australien, Kanada, Neuseeland, Großbritannien und den USA.
„Russlands Einmarsch in der Ukraine könnte Organisationen innerhalb und außerhalb der Region vermehrten böswilligen Cyber-Aktivitäten aussetzen. Diese Aktivitäten könnten eine Reaktion auf die beispiellosen wirtschaftlichen Kosten sein, die Russland auferlegt wurden, sowie auf die materielle Unterstützung durch die Vereinigten Staaten und ihre Verbündeten und Partner.“
Die Warnung folgt auf eine weitere Warnung der US-Regierung, die davor warnt, dass nationalstaatliche Akteure spezielle Schadsoftware einsetzen, um sich Zugang zu industriellen Kontrollsystemen (ICS) und SCADA-Geräten (Supervisory Control and Data Acquisition) zu verschaffen.
In den vergangenen zwei Monaten seit Beginn der Invasion war die Ukraine einem Blitzkrieg gezielter Kampagnen ausgesetzt, die von DDoS-Angriffen (Distributed Denial of Service) bis hin zum Einsatz zerstörerischer Malware für Regierungs- und Infrastruktureinrichtungen reichten.
In der Warnung vom Mittwoch wird darauf hingewiesen, dass russische Cyber-Akteure in der Lage sind, IT-Netzwerke zu kompromittieren, sich langfristig zu halten, sensible Daten zu stehlen und dabei im Verborgenen zu bleiben, sowie industrielle Kontrollsysteme zu stören und zu sabotieren.
Auch Cyberkriminelle wie Conti (alias Wizard Spider), die sich öffentlich zur Unterstützung der russischen Regierung bekennen, sind mit von der Partie. Andere russisch orientierte Cybercrime-Syndikate sind The CoomingProject, Killnet, Mummy Spider (die Betreiber von Emotet), Salty Spider, Scully Spider, Smoky Spider und das XakNet Team.
„Die Botschaft sollte laut und deutlich sein: Russische Nexus-Staat-Akteure sind auf der Jagd, der Cyberspace ist zu einem chaotischen, heißen Kriegsgebiet geworden und jeder sollte auf einen Angriff aus jeder Richtung vorbereitet sein“, sagte Chris Grove, Direktor für Cybersicherheitsstrategie bei Nozomi Networks, in einer Erklärung gegenüber The Hacker News.
Die Enthüllung kommt zu einem Zeitpunkt, an dem das Federal Bureau of Investigation (FBI) eine Zunahme von Ransomware-Angriffen meldet, die während der Pflanz- und Erntesaison auf Unternehmen der Lebensmittel- und Landwirtschaftsbranche abzielen.
„Cyber-Akteure könnten Genossenschaften als lukrative und zahlungswillige Ziele ansehen, da sie eine zeitkritische Rolle in der landwirtschaftlichen Produktion spielen“, so die Behörde. „Zu den anfänglichen Einbruchsvektoren gehörten bekannte, aber ungepatchte allgemeine Schwachstellen und Exploits sowie sekundäre Infektionen durch die Ausnutzung gemeinsam genutzter Netzwerkressourcen oder die Kompromittierung von verwalteten Diensten.
Außerdem hat das US-Finanzministerium das russische Kryptowährungs-Mining-Unternehmen Bitriver mit Sanktionen belegt, weil es dem Land geholfen hat, die Sanktionen zu umgehen – das ist das erste Mal, dass ein Unternehmen, das virtuelle Münzen schürft, auf einer Wirtschaftssperrliste steht. Russland ist weltweit das drittgrößte Land für Bitcoin-Mining.
„Durch den Betrieb riesiger Serverfarmen, die Mining-Kapazitäten für virtuelle Währungen international verkaufen, helfen diese Unternehmen Russland, seine natürlichen Ressourcen zu monetarisieren“, so das Finanzministerium. „Allerdings sind die Mining-Unternehmen auf importierte Computerausrüstung und Fiat-Zahlungen angewiesen, was sie anfällig für Sanktionen macht.