Vor diesem Fall hatten viele Fachleute gewarnt: Die Ukraine meldet einen vereitelten Versuch von Hackern, einen Stromausfall im Land auszulösen. Die Angreifer sollen sich mit spezieller Software in die Steuerungstechnik von Hochspannungs-Umspannwerken eingeschlichen haben, bevor der Angriff gestoppt wurde. In einer Stellungnahme des Cybersicherheits-Notfallteams der ukrainischen Regierung heißt es: "Die Abschaltung von Umspannwerken und die Stilllegung der Infrastruktur des Unternehmens war für Freitagabend, den 8. April 2022, geplant." Um welches Energieunternehmen es geht, wurde nicht bekannt. In der betroffenen Region leben laut ukrainischer Regierung "zwei Millionen Menschen".
Gemeinsam mit dem staatlichen Notfallteam hat das slowakische IT-Sicherheitsunternehmen Eset den Fall untersucht. Die eingesetzte Software deutet der Analyse von Eset zufolge darauf hin, dass es sich um die Hackergruppe Sandworm handelt. Sie gilt westlichen Regierungen als Einheit des russischen Militärnachrichtendienstes GRU. Allerdings sind endgültige Zuordnungen nach Hackerangriffen oft schwierig, auch Operationen unter falscher Flagge sind möglich.
Victor Zhora von der ukrainischen Cyberabwehrbehörde sagte, die Zahl der digitalen Attacken auf kritische Infrastruktur sei seit Beginn des Krieges in die Höhe geschossen, aber: "Die bisherigen Attacken waren nicht so ausgeklügelt wie diese. Die Angreifer nahmen sich viel Zeit, um sich vorzubereiten. Wir hatten viel Glück, dass wir das entdeckt haben." Man habe einen Hinweis auf die Infiltration erhalten, woher dieser stammte, sagte Zhora aber nicht. Die Hacker hätten den Angriff Wochen im Voraus vorbereitet.
Schaffen Hacker es, die Stromversorgung zu unterbrechen, können sie damit große Teile des öffentlichen Lebens lahmlegen. Cyberangriffe auf die Steuerung von Industrieanlagen oder anderer Infrastruktur gelten als besonders anspruchsvoll. Hacker müssen dafür nicht nur in das Netzwerk eines Versorgers, sondern von dort in die meist besonders gut gesicherten Steuerungssysteme vordringen - oder sie brauchen gleich physischen Zugriff, etwa mit einem infizierten USB-Stick, den jemand in der Anlage verwendet.
In der Ukraine hatten es Hacker schon mehrmals geschafft, kritische Infrastruktur lahmzulegen
Die Ukraine gehört zu den wenigen Staaten, in denen kritische Infrastruktur schon erfolgreich von Hackern lahmgelegt worden ist. 2015 waren mehr als 200 000 Ukrainer im Westen des Landes für Stunden ohne Strom, 2016 erwischte es Teile Kiews für eine Stunde. Beide Angriffe wurden Sandworm zugeschrieben, ebenso der zerstörerische Wurm Notpetya, der 2017 zuerst ukrainische Unternehmen befiel und dann auf der ganzen Welt Computer lahmlegte. Seitdem galt die Ukraine als "Testlabor für den Cyberkrieg". Doch seit der russischen Invasion in diesem Februar rätselten Fachleute, ob Russland größere Hackerangriffe auf kritische Infrastruktur der Ukraine fahren würde. Die Eset-Forscher erklärten nun, man habe eine Weiterentwicklung der Schadsoftware "Industroyer" entdeckt, die speziell auf das Auslösen von Stromausfällen zugeschnitten und schon bei der Operation gegen das ukrainische Stromnetz 2016 eingesetzt worden sei. Seitdem war sie nicht mehr bei Angriffen gesichtet worden.
Erst vergangene Woche hatte das US-Justizministerium bekannt gegeben, man habe ein Botnet von Sandworm unschädlich gemacht: ein Netz aus Tausenden Geräten nichts ahnender Menschen, das die Hacker über das Internet unter ihre Kontrolle gebracht hatten. Sie wollten die Kapazitäten der gekaperten Geräte wohl für ihre digitalen Operationen nutzen.
Der aktuelle Angriff sollte in zwei Stufen erfolgen, heißt es bei Eset. Der neue Industroyer habe vergangenen Freitag um 16.10 Uhr Weltzeit versucht, "den Strom in einer Region der Ukraine abzuschalten". Zehn Minuten später sollte dann eine weitere Software zum Einsatz kommen: ein sogenannter Wiper, der Daten auf den Computern der Opfer löscht. Das sollte Eset zufolge wohl die Verteidiger des Energieunternehmens daran hindern, die Kontrolle über die Steuerung der Anlage zurückzugewinnen. Derselbe Wiper sei schon bei Angriffen auf eine ukrainische Bank und eine Behörde vor einigen Wochen eingesetzt worden, was zumindest ein Hinweis auf denselben Täter sein kann. Wie der Angriff auf die Umspannwerke schließlich verhindert wurde, darüber hüllen sich die Fachleute und die ukrainischen IT-Verteidiger in Schweigen.