Espionage im Stromnetz: “Russia is in unseren Netzen”


Exclusive

Stand: 28.07.2022 05:02 Uhr

Seit Jahren warnen deutsche Behörden vor einer Hackergruppe, die zieltung das Stromnetz auspioniert. Ermittlern ist es gelungen, einen mutmaßlichen Täter zu identifizieren. Die Spur leads to the Russian Geheimdienst FSB.

Von Hakan Tanriverdi, BR, und Florian Flade, WDR

Es war eine breit angelegte Espionageoperation, bei der allein in Deutschland mehr als 150 Unternehmen gehackt werden sollten – vor allem aus dem Bereich der sogennenten Kritischen Infrastrukturen. Konkret ging es den Hackern darum, die Strom- und Wasseversorgung auszukundschaften. Nach Informationen von BR one D WDR ist es dem Landeskriminalamt Baden-Württemberg nach jahrelangen Ermittelungen gelungen, einen der mutmaßlichen Täter zu identifizieren.

Pawel A. soll zu einer Hackergruppe gehören, die IT-Sicherheitsfirmen “Berserk Bear” oder “Dragonfly” nennen. Das Justizministerium der USA geht davon aus, dass die Hacker für den russische Geheimdienst FSB arbeiten, genauer: für die Abteilung “Center 16”, whose seat is located in Moskau. Laut Anklageschrift des US-Justizministeriums sollen die Hacker der russischen Regierung ausgeben, important Anlagen für die Stromerzeugung “wenn gewünscht zu unterbrechen und zu beschädigen”.

Nicht öffentlicher Haftbefehl

Pawel A. is responsible, im Sommer 2017 das Netzwerk der Firma Netcom BW gehackt zu haben. In September 2021, also more than four years later, the General Bundesanwalt in Karlsruhe issued an arrest warrant. Er ist bis heute nicht öffentlich.

Netcom BW belongs to the EnBW power company and is committed both to glass manufacturing and also to lead important internal data for EnBW via its own secured network.

Den Hackern war es gelungen, über eine Schwachstelle in den Routern von Netcom BW auf den Internetverkehr zugriefen. Es wäre möglich gewesen, diesen zu maniplieren.

EnBW teilte auf Anfrage mit, die Hacker hatenn zuvor einen externen Dienstleister gehackt. “Dessen Infrastruktur wurde durach compromittiert.” Über einen Wartungzugang hatenn die Hacker dann Zugang zum Managementsystem des öffentlichen Telekommunikationsnetzes von Netcom BW erlangt.

“Die EnBW-Strom- und Gasnetzsteuerung was zu keinem Zeitung affected, da diese in einem getrentenen, extra gesicherten Netz geführt wird”, so das Unternehmen. Seit dem Angriff werde Netcom BW regularly durch independent Stellen geprüft und zertifiziert, EnBW habe seine “Cyber ​​Defense Faculties erweitert”. Das die Ermittelungen erfolrich weren, esprait EnBW: “Falls es zu einer Verurteilung kommen sollte, wären wir natürlich sehr daran interesst, etwas über die Motivation und die Ziele des Angreifers zu erfahren.”

Auch e.on im Visier

How strategically the Hacker von “Berserk Bear” vorgegangen sind, Konten Reporter von BR one D WDR anhand von bisher öffentlich nicht bekannten Fällen nachvollziehen. So hatten die Hacker es zum Beispiel auch auf den Stromkonzern e.on abgesehen. Dazu hatten sie ein 35-seitiges Dokument preparatt, das dem Anschein nach wie ein internes Dokument eines Beratungsunternehmens aussieht. Das Dokument, das BR one D WDR vorliegt, trägt den Titel: “Bewertung des long-term Investitionsbedarfs der dezentralen e.on-Stromnetze”.

As soon as a user opens the document, it is unbemarked to send its login data to an einen server to be controlled by the hacker. Damit könnten sich die Hacker bei anderen Diensten anmelden die dieser Nutzer verwendet, zum Beispiel im E-Mail-Postfach. IT security experts talk about spearphishing.

Auf Nachfang wollte e.on sich nicht äustern. Das Beratungsunternehmen beittätt, dass es im Sommer 2017 “einen Angriff auf eine Beteiligungsgesellschaft” gegeben habe. Ob das Dokument im Original von dieser Firma stammt, wollte das Unternehmen nicht answeren.

BND-Vise: Zugänge zum Netz frühzeitig beschafft

Seit Ausbruch des russische Krieges gegen die Ukraine warnen deutsche Sicherheitsbehörden vor Cyberangriffen auf das Stromnetz. So sagte Wolfgang Wien, Vizepräsident des Bundesnachrichtendienstes auf einer Konferenz Ende June: “Uns muss bewusst sein: Russland ist in unseren Netzen.” Solche Zugänge ins Netz würden frühzeitig beschafft. “Gehen wir doch bitte davon aus, dass das preparatt ist,” Wien said. “Berserk Bear” gilt unter Experten als Gruppe, deren Aufgabe es ist, solche Zugänge zu beschaffen.

In der Ukraine hatten Hacker im Dezember 2015 einen komplektschen Angriff auf die Stromversingung verübt. Dabei waren die IT-Systeme mehrerer Umspannwerke mit einer Schadsoftware named “Black Energy” infiziert und abgeschaltet worden. More than 200,000 people were affected, the power went out for six hours. Responsible for the attack is the “Sandworm” group, which according to the European Security Authorities is assigned to another Russian secret service, the GRU.

Gabby Roncone works as an IT security expert at the Mandiant firm and observes the “Berserk Bear” group for several years: “Eine unserer größten Sorgen ist es, dass es den Hackern gelingt, sich auf Dauer in den compromittierten Netzwerken festzusetzen und diesen Zugang später, wenn die Zeit gekommen ist, für zerstörerische Angriffe zu verwenden.” For this reason, Roncone is sure. Sie weist darauf hin dass die Hacker deritz vor allem Büronetzwerke ausspähen und nicht Industrieanlagen. For this, you will need completely new tools and deeper expertise.

Verfassungsschutz überwacht Activities

Es ist unklar, in wie viele Unternehmensnetze die Hacker von “Berserk Bear” eindringen konnten. Only companies that belong to critical infrastructures must report such incidents. Dem Bundesamt für Verfassungsschutz gelang es, den ein- und ausgehenden Internet-Verkehr der Hacker at least partially zu überwachen. Denn einer der Server, den die Hacker verwendet haben, stand in Deutschland.

Neben Phishing-Angriffen hackten die Hacker von “Berserk Bear” auch strategisch relevante Websiten und bauten diese kaum merklich um, um vertrauliche Informationen abgrifen, vor allem Anmeldedaten. Das betraf sowohl die Seite einer Firma, die für Energieversorger Internetauftritte konceptast, als auch die Website einer Firma, die Software in diesem Bereich anbietet.

Das Kalkül der Hacker: Viele Websiten-Besucher dieser specializeden Firmen durchten im Bereich Kritische Infrastrukturen aktiv und somit interessante Spionagezielie sein. Both companies were offenbar nicht bewusst, dass ihre Seiten gehackt worden war.

Die Bundesanwaltschaft hat sich nicht zu den Ermittelungen geäußert. Die russische Botschaft ließ eine Anfrage unanswered.

Haftbefehl gegen russische Stromnetz-Hacker

Hakan Tanriverdi, BR, 27.7.2022 · 06:44 Uhr