Das US-Justizministerium hat angekündigte Gebühren gegen vier russische Regierungsangestellte wegen einer jahrelangen Hacking-Kampagne, die auf kritische Infrastruktur abzielt, darunter ein US-Atomkraftwerksbetreiber und eine saudische petrochemische Anlage.
Die erste Anklage vom Juni 2021 beschuldigt Evgeny Viktorovich Gladkikh, 36, einen Computerprogrammierer im russischen Verteidigungsministerium, und zwei Mitverschwörer, geplant zu haben, industrielle Steuerungssysteme – die kritischen Geräte, die Industrieanlagen betriebsbereit halten – weltweit zu hacken Energieanlagen. Es wird angenommen, dass Gladkikh hinter der berüchtigten Triton-Malware steckt, mit der 2017 eine petrochemische Anlage in Saudi-Arabien angegriffen wurde. Hacker nutzten die Malware, um Sicherheitssysteme in der Anlage zu deaktivieren, die dazu bestimmt waren, gefährliche Bedingungen zu verhindern, die zu Lecks führen könnten oder Explosionen. Triton wurde zuerst mit Russland in Verbindung gebracht im Oktober 2018.
Nach ihrem gescheiterten Plan, das saudische Werk in die Luft zu sprengen, versuchten die Hacker laut DOJ, die Computer eines Unternehmens zu hacken, das ähnliche kritische Infrastruktureinheiten in den USA verwaltete.
Die zweite Anklageschrift, die im August 2021 eingereicht wurde, beschuldigt Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov und Marat Valeryevich Tyukov, alle angeblich Mitglieder der Militäreinheit 71330 des russischen Föderalen Sicherheitsbüros (FSB), einer Reihe von Angriffen auf den Energiesektor zwischen 2012 und 2017. Die Hacker, besser bekannt unter den Sicherheitsforschern „DragonFly“, „Energetic Bear“ und „Crouching Yeti“, versuchten, sich Zugang zu Computernetzwerken von Unternehmen des internationalen Energiesektors zu verschaffen, darunter Öl- und Gasfirmen, Kernkraftwerke , und Versorgungs- und Stromübertragungsunternehmen, sagte das DOJ.
In der ersten Phase ihrer Angriffe, die zwischen 2012 und 2014 stattfand, kompromittierten die Bedrohungsakteure die Netzwerke von Herstellern industrieller Steuergeräte und Softwareanbieter und versteckten dann Havex-Malware in Software-Updates. Zusammen mit Spearphishing- und Watering-Hole-Angriffen – einer Angriffsform, die auf Benutzer abzielt, indem sie häufig besuchte Websites infizieren – ermöglichte dies den Angreifern, Malware auf mehr als 17.000 einzelnen Geräten in den Vereinigten Staaten und im Ausland zu installieren.
Die zweite Phase, „DragonFly 2.0“, lief von 2014 bis 2017 und umfasste die Ausrichtung auf mehr als 3.300 Benutzer bei über 500 US-amerikanischen und internationalen Organisationen, darunter die Nuclear Regulatory Commission der US-Regierung und die Wolf Creek Nuclear Operating Corporation.
„Russische staatlich geförderte Hacker stellen eine ernsthafte und anhaltende Bedrohung für kritische Infrastrukturen sowohl in den Vereinigten Staaten als auch auf der ganzen Welt dar“, sagte die stellvertretende US-Generalstaatsanwältin Lisa Monaco in ein Statement. „Obwohl die heute entsiegelten Strafanzeigen vergangene Aktivitäten widerspiegeln, machen sie glasklar die dringende Notwendigkeit für amerikanische Unternehmen, ihre Verteidigung zu verstärken und wachsam zu bleiben.“
John Hultquist, Vizepräsident für Geheimdienstanalysen bei Mandiant, sagte, die Anklagen geben einen Einblick in die Rolle des FSB bei den staatlich geförderten Hacking-Versuchen Russlands und seien ein „Warnschuss“ für die russischen Eindringlingsgruppen, die diese zerstörerischen Cyberangriffe durchführen. „Diese Aktionen sind persönlich und sollen allen, die für diese Programme arbeiten, signalisieren, dass sie Russland in absehbarer Zeit nicht verlassen können“, sagte er.
Aber Hultquist warnte davor, dass die Hacker wahrscheinlich weiterhin Zugang zu diesen Netzwerken haben. „Bemerkenswerterweise haben wir noch nie gesehen, dass dieser Akteur tatsächlich störende Angriffe durchführt, sondern sich nur für zukünftige Eventualitäten in sensible kritische Infrastrukturen eingräbt“, sagte er gegenüber Tech. „Unsere Sorge angesichts der jüngsten Ereignisse ist, dass dies die Eventualität sein könnte, auf die wir gewartet haben.“
Casey Brooks, ein hochrangiger gegnerischer Jäger bei Dragos, der die Gruppe hinter der Triton-Malware „Xenotime“ nennt, sagte gegenüber Tech, dass die Anklagen die Hacker wahrscheinlich nicht abschrecken werden.
„Diese Aktivitätsgruppen sind gut ausgestattet und können kontinuierlich komplexe Operationen durchführen. Während die Anklagen die Eindringungsaktivitäten einiger dieser Gruppen detailliert beschreiben, ist ihr Umfang viel größer“, sagte Brooks. „Wir wissen zum Beispiel, dass dies für Xenotime nur ein Bruchteil ihrer Gesamtaktivität ist. Es ist wichtig zu erkennen, dass diese Gruppen immer noch aktiv sind und die Anklagen wahrscheinlich wenig dazu beitragen werden, die zukünftigen Operationen dieser gegnerischen Gruppen abzuschrecken.“
Die Entsiegelung der Anklagen erfolgte drei Tage, nachdem Präsident Joe Biden als Reaktion auf die westlichen Sanktionen gegen Russland wegen seiner Invasion in der Ukraine vor einer wachsenden russischen Cyberbedrohung gegen US-Unternehmen gewarnt hatte. Es kommt auch nur wenige Tage, nachdem das DOJ sechs Hacker angeklagt hat, die im Dienst des russischen Militärgeheimdienstes GRU arbeiten. Den als Sandworm bekannten Hackern wird eine fünfjährige Serie von Angriffen vorgeworfen, darunter der zerstörerische NotPetya-Cyberangriff, der 2017 auf Hunderte von Firmen und Krankenhäusern weltweit abzielte, und ein Cyberangriff, der das ukrainische Stromnetz lahmlegte.