©Reuters. Ein Mann fährt mit seinem Motorrad vor der St.-Georgs-Kirche im Vorort Ayios Dhometios in Nikosia, Zypern, 24. Februar 2022. REUTERS/Yiannis Kourtoglou
Von Michele Kambas und James Pearson
NIKOSIA/LONDON (Reuters) – Ein 24-jähriger Videospieldesigner, der sein kleines Unternehmen von einem Haus neben einer alten zypriotischen Kirche in einem ruhigen Vorort von Nikosia aus betreibt, findet sich nun nach der russischen Invasion in der Ukraine in einer globalen Krise wieder .
Die Firma von Polis Trachonitis, Hermetica Digital Ltd, wurde von US-Forschern in einen datenzerstörenden Cyberangriff verwickelt, der Hunderte von Computern in der Ukraine, Litauen und Lettland traf.
Der Cyberangriff, der am Mittwochabend nur wenige Stunden vor dem Einmarsch russischer Truppen in die Ukraine entdeckt wurde, wurde weithin als Eröffnungssalve der Moskauer Invasion angesehen.
Die Malware wurde laut den Forschern mit einem digitalen Zertifikat mit dem Namen von Hermetica Digital signiert, von denen einige den Schadcode wegen der Verbindung „HermeticWiper“ nennen.
Trachonitis sagte Reuters, er habe nichts mit dem Angriff zu tun. Er sagte, er habe nie nach einem digitalen Zertifikat gesucht und keine Ahnung gehabt, dass seiner Firma eines ausgestellt worden sei.
Er sagte, seine Rolle in der Videospielbranche bestehe nur darin, den Text für Spiele zu schreiben, die andere zusammenstellen.
„Ich schreibe nicht einmal den Code – ich schreibe Geschichten“, sagte er und fügte hinzu, dass er sich der Verbindung zwischen seiner Firma und der russischen Invasion nicht bewusst war, bis ihm ein Reporter von Reuters am Donnerstagmorgen davon erzählte.
„Ich bin nur ein Zypriot … ich habe keine Verbindung zu Russland.“
Das Ausmaß des durch den Malware-Angriff verursachten Schadens war nicht klar, aber das Cybersicherheitsunternehmen ESET sagte, der bösartige Code sei auf “Hunderten von Computern” installiert worden.
Westliche Führer warnen seit Monaten davor, dass Russland vor einer Invasion destruktive Cyberangriffe auf die Ukraine durchführen könnte.
Letzte Woche gaben Großbritannien und die Vereinigten Staaten an, dass russische Militärhacker hinter einer Flut von DDoS-Angriffen (Distributed Denial of Service) stecken, die ukrainische Banken und Regierungswebsites kurzzeitig offline geschaltet haben.
DIGITALES ZERTIFIKAT
Cyber-Spione stehlen routinemäßig die Identität von zufälligen Fremden, um Serverplatz zu mieten oder bösartige Websites zu registrieren.
Das Zertifikat von Hermetica Digital wurde im April 2021 ausgestellt, aber der Zeitstempel auf dem Schadcode selbst war der 28. Dezember 2021.
ESET-Forscher sagten in einem Blogbeitrag, dass diese Daten darauf hindeuten, dass „der Angriff möglicherweise schon seit einiger Zeit in Arbeit ist“.
Wenn, wie von Cybersicherheitsexperten und US-Verteidigungsbeamten allgemein angenommen, die Angriffe von Russen ausgeführt wurden, dann sind die Zeitstempel potenziell wichtige Datenpunkte für Beobachter, die zu verstehen hoffen, wann der Plan für die Invasion der Ukraine zustande kam.
Jean-Ian Boutin, Head of Threat Research bei ESET, sagte gegenüber Reuters, dass es verschiedene Möglichkeiten gibt, wie ein böswilliger Akteur in betrügerischer Weise ein Code Signing-Zertifikat erhalten kann.
“Sie können es natürlich selbst beschaffen, aber sie können es auch auf dem Schwarzmarkt kaufen”, sagte Boutin.
„Daher ist es möglich, dass die Operation weiter zurückliegt, als wir bisher wussten, aber es ist auch möglich, dass der Angreifer dieses Code-Signing-Zertifikat kürzlich nur für diese Kampagne erworben hat.“
Ben Read, Leiter der Cyber-Spionage-Analyse bei Mandiant, sagte, es sei möglich, dass eine Gruppe „sich in der Kommunikation mit einem Unternehmen, das digitale Zertifikate bereitstellt, als ein Unternehmen ausgeben und ein legitimes Zertifikat erhalten könnte, das ihnen in betrügerischer Weise ausgestellt wurde“.
Das Cybersicherheitsunternehmen Symantec (NASDAQ:) sagte, Organisationen in den Bereichen Finanzen, Verteidigung, Luftfahrt und IT-Dienstleistungen seien bei dem Angriff am Mittwoch ins Visier genommen worden. DigiCert, das Unternehmen, das das digitale Zertifikat ausgestellt hat, reagierte nicht sofort auf eine Bitte um Stellungnahme.
Juan-Andres Guerrero-Saade, Cybersicherheitsforscher bei einem Unternehmen für digitale Sicherheit SentinelOne (NYSE:), sagte, der Zweck des Angriffs sei klar: “Dies sollte Schaden anrichten, deaktivieren, signalisieren und Chaos anrichten.”