Russisches Labor hinter Cyberattacke vermutet
Gasförderanlage in Saudi-Arabien wurde 2017 Ziel eines massiven Angriffs
Moskau/Riad – Der in seiner Absicht beispiellose, letzten Endes jedoch gescheiterte Cyberangriff auf eine saudische Gasanlage 2017 wurde laut der US-Cybersecurity Firma FireEye höchstwahrscheinlich von russischen Hackern im Auftrag des Kreml durchgeführt. In ihrem neuen Bericht legen die Forscher eine Indizienkette dar, die das Zentrale wissenschaftliche Forschungsinstitut für Chemie und Mechanik – eine staatliche, dem Militär angeschlossene Einrichtung in Moskau – als Urheber vermutet.
Die Sicherheitsforscher hatten bereits 2017 herausgefunden, dass damals – ähnlich dem berühmten US-Israelischem Stuxnet-Angriff auf Irans Atomprogramm 2010 – eine als Triton bekannte Malware eingesetzt wurde, um die Sicherheitssysteme der Gasförderanlage zu stören bezie- hungsweise lahmzulegen. Gefährliche Entwicklungen wie ein Leck oder Überdruck würden dadurch nicht länger oder nur falsch angezeigt werden, was zu einer Explosion, Öl- und Gaslecks oder anderweitigen Schäden an der kritischen Infrastruktur hätte führen können. Die Malware hätte bei einer Fehlfunktion als letztes Mittel die Sicherheitsmechanismen generell auszuschalten versucht.
Offene Fragen
Genau das geschah damals. Ein für solche Fälle vorprogrammierter kompletter Shutdown der Anlage verhinderte Schlimmeres und machte die Attacke überhaupt erst bekannt. Solche Hackerangriffe werden ob ihrer Komplexität und ob des extremen Aufwands meist Staaten zugeschrieben. Die präzise Zuordnung auf ein bestimmtes Militärlabor ist da- bei aber selten und wirft auch deshalb einige Fragen auf. FireEye will über die Rückverfolgung eines sogenannten PDB-Pfades einen russischen Hacker ausfindig gemacht haben, der in direkter Verbindung zum Moskauer Labor zu stehen scheint.
Dennoch sind IT-Experten vorsichtig. Auch wenn es laut anonymen Quellen „verdammt gute Hinweise“gebe, dass es sich um die zum Teil bekannten Hacker aus dem russischen Labor handelt, könnte es natürlich auch eine Operation unter falscher Flagge gewesen sein. Wegen der sich verbessernden bilateralen Beziehungen zwischen Riad und Moskau in den vergangenen zwei Jahren kommen die Anschuldigungen allerdings überraschend. 2017 hatten noch viele den Iran hinter dem Cyberangriff vermutet. (faso)