Angriff auf Pipeline-Betreiber Colonial

Großwildjagd im Kritis-Gehege

12. Mai 2021, 12:00 Uhr   |  Wilhelm Greiner

Großwildjagd im Kritis-Gehege
© Wolfgang Traub

Daten sind das neue Öl, heißt es. Auch für Kriminelle sind sie das neue Öl, insbesondere wenn man sie von einem Unternehmen stehlen und den Besitzer damit erpressen kann. Das Opfer muss dabei nicht aus der Ölbranche sein, aber es hilft. So haben Cyberkriminelle jüngst mit der Ransomware DarkSide den US-amerikanischen Pipeline-Betreiber Colonial angegriffen, dessen IT-Systeme – einschließlich des Pipeline-Betriebs selbst – über Tage hinweg lahmgelegt und Daten abgezogen. Damit lagen die Angreifer im Trend: Man konzentriert sich neuerdings gern auf besonders attraktive Ziele.

Der Angriff auf Colonial ist nach Erkenntnissen der US-Bundespolizei FBI mit der Ransomware DarkSide erfolgt. Laut dem 2021 Global Threat Report des US-amerikanischen Security-Anbieters CrowdStrike ist die DarkSide-Ransomware der Angreifergruppe Carbon Spider zuzuordnen. Diese widmete sich einst Angriffen auf Kassensysteme (Point-of-Sale- oder POS-Systeme), hat sich aber in letzter Zeit weiterentwickelt in Richtung des sogenannten „Big Game Huntings“ – also hin zu gezielten Angriffen auf besonders lukrative Organisationen wie Konzerne oder Kritis-Betreiber.

Diesmal nahmen die Kriminellen mit Colonial den Energiesektor ins Visier: Das Unternehmen, ansässig in Alpharetta im südöstlichen US-Bundesstaat Georgia, ist der größte Pipeline-Betreiber der USA. Sein Pipeline-Bestand erstreckt sich über rund 8.900 Kilometer, reicht von Houston, Texas bis nach New York und versorgt damit den Südosten der USA mit Treibstoff, darunter auch einige Flughäfen. US-Präsident Joe Biden sah sich durch den Angriff veranlasst, den Notstand auszurufen, um den Transport von Öl auf der Straße erleichtern zu können. Er schrieb die Angreifergruppe Russland zu, ohne allerdings die russische Regierung direkt verantwortlich zu machen.

An der Abwehr des Ransomware-Angriffs waren nach Informationen der Nachrichtenagentur Bloomberg das Weiße Haus, das FBI, die US-Behörde CISA (Cybersecurity and Infrastructure Security Agency) und der Geheimdienst NSA (National Security Agency) beteiligt. Die Angreifer haben laut Bloombergs anonymer Quelle bei Colonial 100 GByte Daten gestohlen, woraufhin das Unternehmen den Betrieb der größten Kraftstoff-Pipeline in den USA einstellen musste. Den US-Behörden sei es gelungen, die Daten abzufangen – diese waren laut Bloomberg gerade auf dem Weg, nach Russland exfiltriert zu werden. Was nach einer Cybercrime-Operation aussieht, könnte also ebenfalls unter das fallen, was der Security-Experte „The Grugq“ als „Cyberwarfare“ bezeichnet: digitale Angriffe, häufig – anders als in der öffentlichen Wahrnehmung – durchgeführt diesseits der Schwelle tatsächlicher Kriegsführung.

DarkSide umfasst vielfältige Angriffswerkzeuge.
© Sophos

DarkSide umfasst vielfältige Angriffswerkzeuge.

„Es handelt sich hierbei um ein weiteres Beispiel für einen alarmierenden Trend: verheerende Cyberangriffe auf die US-Infrastruktur“, erklärte vor diesem Hintergrund zum Beispiel Marcin Kleczynski, CEO des US-amerikanischen Security-Anbieters Malwarebytes. Der Vorfall verschärfe die Spannungen zwischen Russland und den USA aufgrund von Cyberangriffen, unabhängig davon, ob er vom Kreml sanktioniert worden sei oder nicht. „In Übereinstimmung mit der jüngsten Empfehlung der Ransomware Taskforce muss Ransomware als nationale Sicherheitsbedrohung behandelt werden“, fordert Kleczynski.

Seite 1 von 2

1. Großwildjagd im Kritis-Gehege
2. Big Game Hunting

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Kaspersky, CrowdStrike GmbH

Ransomware

Cybercrime