Wie Hacker das Strom­netz der Ukraine zerstören wollten

Russische Hacker wollten keinen Stromausfall auslösen. Sie wollten physische Zerstörung, das zeigen neue Erkenntnisse zum Hack.
 
Im Dezember 2016 kam es in einer Unterstation des ukrainischen Stromnetzes zu einem mysteriösen Zwischenfall. Hackern war es gelungen, eine Malware in die Steuersysteme einzuschleusen. Kurz vor Mitternacht übernahmen sie die Kontrolle und schalteten auf einen Schlag sämtliche Sicherungen aus. Dies führte zu einem totalen Stromausfall in grossen Teilen von Kiew.

Allerdings gelang es den Technikern des Stromversorgers Ukrenergo schon nach einer Stunde, die Sicherungen wieder umzulegen und der Strom konnte wieder fliessen.

Seither stand die Frage im Raum, ob ein einstündiger Stromausfall wirklich alles war, was die vermutlich aus Russland stammenden Hacker verursachen wollten. Das auf Security für industrielle IT-Systeme spezialisierte Unternehmen Dragos hat nun die Malware sowie Netzwerklogs von Ukrenergo untersucht und kommt zum Schluss: Nein, das war nicht alles. In Wahrheit, so Dragos, hätten die Angreifer viel grösseren Schaden anrichten und physisches Equipment zerstören wollen. Bisher hat man erst zweimal Malware gefunden, die dafür ausgelegt war, physischen Schaden an industriellen Einrichtungen anzurichten. Stuxnet kam 2009 und 2010 im Iran zum Einsatz und sollte Zentrifugen für die Urananreicherung zerstören. Triton sollte 2017 in einer saudi-arabischen Raffinerie Schaden anrichten.

Schon seit einiger Zeit war bekannt, dass die in der Ukraine eingesetzte Malware eine Komponente hatte, die spezielle Schutzschalter hätte ausser Betrieb nehmen können. Diese Schalter sollen die Stromzufuhr unterbrechen, wenn es zu gefährlichen Stromspitzen oder Frequenzschwankungen im Netz kommt. Aufgrund der analysierten Logs glaubt Dragos nun zu wissen, wie die Angreifer vorgehen wollten. Demnach sollte die eigentliche Attacke in der Phase erfolgen, während derer die Techniker in der Ukraine das Stromnetz wieder in Betrieb nahmen. In diesem Moment, so Dragos, aktivierten die Angreifer eine Softwarekomponente, welche sämtliche Computer der Unterstation lahmlegte. Die Techniker hatten dadurch keine Möglichkeit mehr, die digitalen Systeme der Station zu überwachen.

Erst danach versuchten die Angreifer, die erwähnten Schutzschalter zu deaktivieren. Die Idee der Angreifer war es laut Dragos, die ukrainischen Techniker dazu zu zwingen, die Stromzufuhr manuell und überhastet wieder einzuschalten. Ohne die Schutzschalter hätte es dabei zu zerstörerischen Überlastungen in Transformatoren oder Stromleitungen kommen können. Dabei hätten sogar die Techniker verletzt oder getötet werden können.

Allerdings, und Dragos weiss nicht genau warum, misslang der Angriff auf die Schutzschalter. Die für sie bestimmten Datenpakete wurden an eine falsche IP-Adresse geschickt, möglicherweise aufgrund eines Netzwerk-Konfigurationsfehlers der Hacker.

Nur dadurch, so scheint es, lief letztlich alles glimpflich ab, trotz der bösen Absichten der Angreifer. Die ausführliche Analyse von Dragos findet man online als PDF. (Hans Jörg Maron)