ZURÜCK ZU NACHRICHTEN
Eilmeldung

Sandworm-APT greift polnisches Stromnetz mit Datenlösch-Malware an

2 Min. LesezeitQuelle: SecurityWeek

Russische Sandworm-Hacker attackieren Polens Stromnetz mit zerstörerischer Malware. Erfahren Sie Details zum Angriff, den TTPs und Schutzmaßnahmen für kritische Infrastrukturen.

Russische Sandworm-APT-Gruppe attackiert polnisches Stromnetz mit zerstörerischer Malware

Sicherheitsforscher haben einen kürzlichen Cyberangriff auf das polnische Stromnetz der Sandworm-Gruppe zugeschrieben, einer hochentwickelten russischen Advanced Persistent Threat (APT). Der Angriff, bei dem Datenlösch-Malware eingesetzt wurde, markiert eine besorgniserregende Eskalation von Cyber-Physical-Threats für kritische Infrastrukturen – eine Parallele zum berüchtigten Angriff auf das ukrainische Stromnetz 2015, der Hunderttausende ohne Strom zurückließ.

Technische Details des Angriffs

Obwohl spezifische Malware-Stämme und Angriffsvektoren noch nicht offengelegt wurden, entspricht der Vorfall den historischen Taktiken, Techniken und Verfahren (TTPs) von Sandworm. Die Gruppe, die mit dem russischen GRU-Militärnachrichtendienst in Verbindung gebracht wird, hat in der Vergangenheit folgende Tools eingesetzt:

  • BlackEnergy (Angriff auf die Ukraine 2015)
  • Industroyer/CrashOverride (Angriff auf die Ukraine 2016, CVE-2016-5851)
  • NotPetya (globale Wiper-Malware 2017, CVE-2017-0144)

Der Angriff auf das polnische Stromnetz deutet auf den Einsatz von Wiper-Malware hin, die darauf abzielt, Daten zu beschädigen oder zu löschen, was potenziell Operational Technology (OT)-Systeme stören könnte. Im Gegensatz zu Ransomware priorisieren Wiper die Zerstörung gegenüber finanziellen Gewinnen, was sie zu einem bevorzugten Werkzeug für staatlich unterstützte Sabotage macht.

Auswirkungen und geopolitischer Kontext

Der Zeitpunkt des Angriffs fällt mit erhöhten Spannungen zwischen Russland und NATO-verbündeten Staaten zusammen, insbesondere nach der russischen Invasion in der Ukraine. Polen, ein zentraler logistischer Knotenpunkt für westliche Militärhilfe an die Ukraine, war bereits häufig Ziel russischer Cyberoperationen. Der Vorfall unterstreicht:

  • Kritische Infrastrukturen als hochwertige Ziele in modernen hybriden Kriegen.
  • Die zunehmende Verwischung der Grenze zwischen Cyberspionage und kinetischen Effekten in staatlich unterstützten Kampagnen.
  • Die Herausforderung der Attribution bei Cyberangriffen, bei denen forensische Beweise oft nur indirekt sind.

Empfehlungen für Betreiber kritischer Infrastrukturen

Sicherheitsteams, die Stromnetze und andere kritische Infrastrukturen verwalten, sollten:

  1. Die Überwachung auf OT-spezifische Bedrohungen verstärken, einschließlich anomalem Netzwerkverkehr oder unbefugtem Zugriff auf Industrial Control Systems (ICS).
  2. Strikte Segmentierung zwischen IT- und OT-Netzwerken umsetzen, um laterale Bewegungen einzuschränken.
  3. Endpoint Detection and Response (EDR/XDR)-Lösungen einsetzen, die auf OT-Umgebungen zugeschnitten sind.
  4. Regelmäßige Tabletop-Übungen durchführen, um Cyber-Physical-Angriffsszenarien zu simulieren.
  5. Incident-Response-Pläne überprüfen und aktualisieren, um Wiper-Malware und zerstörerische Angriffe zu berücksichtigen.

Das Polnische Computer Emergency Response Team (CERT) und internationale Cybersicherheitsbehörden untersuchen den Vorfall. Weitere Details, einschließlich Indicators of Compromise (IOCs), könnten im Zuge der forensischen Analyse bekannt werden.

Für aktuelle Updates folgen Sie der Berichterstattung von SecurityWeek.

Teilen

TwitterLinkedIn