Kyivstar: Ukrainische Telefongesellschaft seit Monaten von Russland infiltriert
Bereits im Mai vergangenen Jahres drangen Angreifer in die Systeme der Telefongesellschaft ein und hatten vollen Zugriff. Auch Kundendaten sind betroffen.
(Bild: PabloLagarto/Shutterstock.com)
Nach der verheerenden Cyberattacke auf die ukrainische Telefongesellschaft Kyivstar im vergangenen Dezember sind nun weitere Details bekannt geworden. Professionelle Angreifer, wahrscheinlich aus der Gruppe "Sandworm" des russischen Geheimdienstes GRU, hatten nach Angaben des ukrainischen Geheimdiesnstes monatelang die volle Kontrolle über Netzwerk und Daten des größten Mobilfunkanbieters der Ukraine.
Über 24 Millionen Kyivstar-Kunden waren Mitte Dezember vorübergehend offline, der Anbieter empfahl ihnen zeitweise die Nutzung anderer Telefongesellschaften. Schon damals hatten ukrainische Sicherheitskreise berichtet, der Angriff gehe über eine gewöhnliche Ransomware-Attacke hinaus und sei im Krieg mit Russland begründet.
Das tatsächliche Ausmaß des Einbruchs reicht aber offenbar noch weiter über die damaligen Annahmen hinaus. In einem Video-Interview mit der Nachrichtenagentur Reuters verriet Ilia Vitiuk, Chef der Cybersicherheits-Abteilung beim ukrainischen Geheimdienst SBU, dass die Einbrecher "katastrophale Zerstörungen" angerichtet hätten. Neben der Informationsbeschaffung habe wohl die psychologische Auswirkung im Vordergrund gestanden.
"Dieser Angriff ist eine wichtige Nachricht, eine wichtige Warnung, nicht nur für die Ukraine, sondern für die ganze westliche Welt, um zu verstehen, dass niemand wirklich unantastbar ist", zitiert Reuters den Geheimdienstler. Obgleich Kyivstar viel Geld für die IT-Sicherheit ausgegeben habe, sei den Russen der Angriff geglückt.
Nicht nur tausende Server und somit ein Großteil der IT-Landschaft der Telefongesellschaft fielen der Cyberattacke zum Opfer, die Eindringlinge hatten wohl auch vollen Zugriff auf die Kommunikationsdaten der Kyivstar-Kunden. Der SBU nimmt an, dass personenbezogene Daten, Textnachrichten, Kontoinformationen von Messengern wie Telegram, aber auch die Ortsinformationen von Mobiltelefonen in die Hände der Sandworm-Gangmitglieder gefallen sind.
Das ukrainische Militär nutze jedoch nicht direkt die betroffene Infrastruktur, habe unter den Cyberangriffen also nicht gelitten. So habe weder die Früherkennung von Drohnen-, noch die von Raketenangriffen infolge des Angriffs versagt, wohl aber die Luftwarnsirenen in manchen Gebieten der Ukraine.
Die Suche nach dem Sandwurm
Aufgrund der umfangreichen Zerstörungen in der IT-Infrastruktur bei Kyivstar ist die Ursachenforschung schwierig. Zwar ist sich der ukrainische Geheimdienst "ziemlich sicher", dass die GRU-Abteilung "Sandworm" dahintersteckt, sagte Vitiuk, auf Telegram übernahm jedoch eine Gruppe namens Solntsepyok die Verantwortung. Diese sei, so der SBU, mit Sandworm verbandelt, wenn nicht gar identisch.
Wie sich die Angreifer ins Kyivstar-Netz eingeschleust haben, ist noch immer unklar. Die Spekulationen in Geheimdienstkreisen reichen von Malware über Phishing bis hin zu Verrat aus den eigenen Reihen.
Derweil sind alle Dienste bei Kyivstar seit dem 20. Dezember voll wiederhergestellt. Der CEO des Telekommunikationsunternehmens, Oleksandr Komarov, dankte dem Incident-Response-Team des SBU für seine Mithilfe bei der Sicherung der Systeme.
(cku)
