Ukraine: Russische Hacker verbrachten wohl Monate im Kyivstar-Netz

Der Cyberangriff auf den ukrainischen Telekommunikationsdienstleister Kyivstar, der ab dem 12. Dezember 2023 rund 24 Millionen Kunden für mehrere Tage vom Internet trennte, ist offenbar kein kurzfristiger Eingriff gewesen. Wie Illia Vitiuk, Leiter der Abteilung für Cybersicherheit des ukrainischen Sicherheitsdienstes (SBU), der Nachrichtenagentur Reuters erklärte, hatten die Angreifer wohl mindestens seit Mai 2023 Zugriff auf die Systeme von Kyivstar.

Der Angriff habe "fast alles" verwüstet, einschließlich Tausender virtueller Server und PCs. Der Kern des Telekommunikationsbetreibers sei vollständig zerstört worden. "Im Moment können wir mit Sicherheit sagen, dass sie mindestens seit Mai 2023 im System waren. Ich kann aber derzeit nicht einschätzen, seit wann sie ... vollen Zugriff hatten: wahrscheinlich mindestens seit November", sagte Vitiuk.

In dem Cyberangriff sehe er eine Warnung an die westliche Welt, dass niemand wirklich unantastbar sei. Bei Kyivstar handle es sich um ein wohlhabendes privates Unternehmen, das viel in die Cybersicherheit investiere.

Folgen für Millionen ukrainischer Bürger

Für einige Bürger der Ukraine war der Angriff laut Reuters mit weitreichenden Problemen verbunden. Rund 1,1 Millionen Ukrainer aus kleinen Städten und Dörfern seien von Kyivstar abhängig, da dort keine anderen Anbieter vertreten seien. Auch Geldautomaten und Luftangriffssirenen seien teilweise ausgefallen, da diese über das Kyivstar-Netz nicht mehr erreichbar gewesen seien.

Persönliche Informationen, Standortdaten und SMS von Kyivstar-Kunden abzufangen sei den Angreifern zwar potenziell möglich gewesen, einem Kyivstar-Sprecher zufolge gab es aber bisher keine Hinweise auf einen Abfluss solcher Daten.

Auf das ukrainische Militär hatte der Angriff laut Vitiuk keine großen Auswirkungen. Dieses verlasse sich grundsätzlich nicht auf Telekommunikationsanbieter und verwende stattdessen "andere Algorithmen und Protokolle", heißt es auf der Webseite des ukrainischen Sicherheitsdienstes.

Wahrscheinlich steckt Sandworm hinter dem Angriff

Aufgrund der weitreichenden Schäden innerhalb der Kyivstar-Infrastruktur werde die Untersuchung des Vorfalls zwar erschwert, jedoch sei sich Vitiuk "ziemlich sicher", dass die Hackergruppe Sandworm hinter dem Angriff stecke, heißt es weiter bei Reuters. Dabei handelt es sich wohl um eine Cybereinheit des russischen Militärgeheimdienstes, die bereits mit anderen Cyberangriffen auf Ziele in der Ukraine in Verbindung gebracht wurde.

Unklar sei noch, wie genau die Angreifer in die Systeme von Kyivstar eindringen konnten. Immerhin seien aber Proben einer Malware sichergestellt worden, die derzeit untersucht würden.