#3 Der NotPetya-Angriff 2017 – Der Cyberangriff, der wie Ransomware aussah

00:00:00: Dieser Podcast wurde inhaltlich von Nikolaus Stapels zusammengestellt.

00:00:05: In dieser Reihe erzählen wir wahre Geschichten aus der Welt des Cyberkriminalität, der IT-Sicherheit und digitaler Risiken.

00:00:12: Es sind Geschichten die zeigen wie schnell Unternehmen verwundbar werden können und wie wichtig es ist aus den Fehlern anderer zu lernen bevor man selbst betroffen ist.

00:00:22: Hallo ich bin Nora

00:00:23: Und Ich Bin Nico.

00:00:24: Wie konnte ein banaler, lokaler Stromausfall in einem kleinen Büro in Ghana die Weltwirtschaft vor dem totalen Kollaps bewahren?

00:00:34: Für unser heutiges Thema tauchen wir in den siebenundzwanzigsten Juni.

00:00:39: Ein ziemlich dunkler Tag für die IT-Welt.

00:00:41: Absolut!

00:00:42: Wir untersuchen den Not-Petia Angriff, das ist der verheerendste und teuerste Cyberangriff der bisherigen Geschichte – der weltweite Schäden von geschätzt zehn Milliarden US-Dollar verursacht hat.

00:00:56: Ja, zehn Milliarden.

00:00:57: Das muss man sich wirklich mal auf der Zunge zergehen

00:00:58: lassen.".

00:00:59: Genau!

00:01:00: Und um dieses beispiellose Ereignis wirklich zu durchdringen haben wir uns durch einen massiven Stapel an Quellen gearbeitet.

00:01:07: Forensische Berichte von Forschern wie ESET, Geheimdienstanalysen, investigative Recherchen besonders von Andy Greenberg und auch Gerichtsdokumente aus den Versicherungsprozessen danach.

00:01:19: Der kam ja einiges zusammen...

00:01:20: Ja, unsere Mission heute ist es die Anatomie einer digitalen Massenvernichtungswaffe zu zerlegen.

00:01:27: Wir wollen verstehen wie ein völlig harmloses Update einer regionalen Steuersoftware multinationale Konzerne-Weltheit in die Knie zwang!

00:01:36: Und warum die Täter gar kein Lösegeld wollten obwohl es auf den Bildschirmen so aussah?

00:01:41: Richtig – der siebenundzwanzigste Juni zwei Tausend Siebzehn beginnt in Kiew.

00:01:46: eigentlich wie das Drehbuch von einem apokalyptischen Freller.

00:01:49: Ohne Vorwarnung fallen dort landesweit Systeme aus.

00:01:52: Bankautomaten frieren einfach ein,

00:01:55: am

00:01:55: Flughafen Boris Pill erlöschen die Anzeigetafeln.

00:01:59: Die Kassensysteme der Supermärkte streiken, Ministerien sind offline und das absurdeste Bild lieferte wohl das ehemalige Kernkraftwerk Chernobyl.

00:02:10: Ah ja!

00:02:10: Die Strahlungs-Messgeräte.

00:02:11: Genau.

00:02:12: Die waren Windows basiert und fielen komplett aus.

00:02:16: Die Mitarbeiter mussten sich plötzlich wieder Schutzausrüstung anziehen und mit analogen Handgeräten durch die Sperrzone laufen.

00:02:23: Das war kein isoliertes Server-Problem, das war der digitale Herzstillstand eines ganzen Landes.

00:02:30: Ja innerhalb von Minuten ne?

00:02:32: Der Ursprung dieses Kollapses lag in einem sogenannten Supply Chain Angriff also einem Angriff auf die Lieferkette.

00:02:39: Das Einfallstor war ironischerweise keine hochkomplexe Militärsoftware...

00:02:43: ...sondern

00:02:44: Ein externes Buchhaltungs- und Steuerprogramm namens MEDoc.

00:02:48: Das wurde von einem Familienunternehmen in Kiev entwickelt, und hatte dort eine Art Monopolstellung.

00:02:54: Okay

00:02:54: also eine Software die eigentlich jeder genutzt hat?

00:02:57: Fast jeder ja!

00:02:59: Jedes Unternehmen das in der Ukraine geschäftlich aktiv war oder Steuern abführte, war administrativ quasi gezwungen diese Software zu nutzen.

00:03:08: wir sprechen davon von gut achtzig bis neunzig Prozent Marktabdeckung.

00:03:13: Ein gigantischer Flaschenhals.

00:03:15: Und der wurde dann ausgenutzt?

00:03:16: Genau, die Update-Server von MEDoc wurden schon Wochen wendigt Monate im Vorfeld kompromittiert.

00:03:22: Da wurde tief im Quellcode eine versteckte Backdoor also eine Hintertür verankert und am Tag X lieferten die Server dann ein Einkommer fünf Gigabyte großes Update aus.

00:03:32: Weil Computersysteme so konfiguriert sind dass sie diesen offiziellen Updates blind vertrauen saugten die Netzwerke das einfach an allen Firewalls vorbei ein.

00:03:40: Das ist ja im Grunde so, als würde man das Wasserrohr von einem einzigen kleinen Berührgebäude in der Stadt vergiften.

00:03:46: Nur um dann festzustellen dass dieses eine Rohr ironischerweise direkt an das Hauptreservoir der Weltwirtschaft angeschlossen ist.

00:03:56: aber da frage ich mich für unsere Zuhörer wie konnte ein Angriff der so auf die Ukraine fokussiert war überhaupt die Landesgrenzen überspringen?

00:04:03: Ja Das ist der Architektur der globalisierten IT geschuldet.

00:04:07: Spezifisch den sogenannten Flachennetzwerken.

00:04:11: Multinationale Konzerne stellen Bequemlichkeit oft über Sicherheit.

00:04:15: Wie meinst du das?

00:04:16: Naja, wenn ein Konzern eine kleine Niederlassung in Odessa hat, ist diese meist über weitreichende VPN-Tunnel permanent mit dem Hauptquartier im, sagen wir mal London oder New York verbunden – ohne digitale Brandschutzmauern dazwischen!

00:04:31: Ah, damit der IT-Admin in London bequem den Drucker in der Ukraine warten kann.

00:04:36: Exakt!

00:04:37: Und sobald das infizierte MA-Doc Update den Rechner in der ukrainischen Niederlassung erreichte nutzte die Shard Software genau diese offenen Autobahnen.

00:04:46: Die ist quasi mit Lichtgeschwindigkeit um den Globus gerast

00:04:49: Und die Domino-Effekte sind ja unfassbar.

00:04:52: Nehmen wir mal MERSC, den weltgrößten Schifffahrtskonzern!

00:04:55: Bei denen wurden innerhalb von hundertzwanzig Minuten einfach fünfundvierzichtausend PCs und viertausend Server zerstört.

00:05:02: Das gesamte Unternehmen stand still?

00:05:04: Ja – weltweit fielen Sechsundsiebzig Hafenterminals aus.

00:05:09: Da bildeten sich kilometerlange Lkw-Staus weil kein Kran mehr wusste welcher Container wohin gehört.

00:05:14: Schaden über dreihundert Millionen US-Dollar.

00:05:17: Und FedEx, beziehungsweise deren Tochter TNT Express hat es ähnlich hart getroffen.

00:05:22: Genau vierhundert Millionen Schaden mussten ihre Sortierzentren plötzlich wieder händisch mit Stift und Papier betreiben.

00:05:30: oder der Pharma-Riese Merck, wo Impfstoffproduktionen still standen.

00:05:35: über achthundertsiebzig Millionen Dollar Schaden.

00:05:38: Mondeles, Sango Barn sogar der russische Ölkonzern Rosneft war betroffen.

00:05:45: Da hat es wirklich alle erwischt, die irgendwie Verbindungen in die Ukraine hatten.

00:05:48: Und hier müssen wir unbedingt über das Wunder von Ghana sprechen!

00:05:52: Die unglaubliche Ettungsgeschichte von Merz.

00:05:54: Ach ja?

00:05:55: Die Geschichte ist verrückt...

00:05:56: Das gesamte globale Netzwerk von Merck war ja vernichtet.

00:06:00: Insbesondere die Domain-Controller also die absoluten Kernsysteme.

00:06:04: ohne die existiert so ein Unternehmen digital einfach nicht mehr.

00:06:08: Die verwalten ja alle Passwörter und Berechtigungen genau

00:06:11: Und das Krisenteam fand heraus, dass weltweit nur ein einziger Domaincontroller überlebt hatte.

00:06:17: In einer kleinen Niederlassung in Ghana.

00:06:20: Weil dort der Strom ausgefallen war?

00:06:22: Exakt!

00:06:23: Nur weil in Ghana zufällig ein lokaler Stromausfall herrschte, war dieser Server vom Netz getrennt.

00:06:30: genau als Not-Petia Zuschlug – das war das einzige überlebende Backup.

00:06:35: Unglaubliches Glück.

00:06:36: Und weil die Internetleitung in Ghana zu schwach war, riss ein Mitarbeiter die Festplatte aus dem Server und flog wie bei einem Staffellauf nach Nigeria übergab sie am Flughafen an einen Kollegen und der flog damit nach London um das Herzstück des Unternehmens zu retten.

00:06:53: Ein Stromausfall bewahrt einen Weltkonzern vor dem Ruin.

00:06:57: Das kann man sich nicht ausdenken.

00:06:58: Aber warte mal kurz, auf den Bildschirmen stand ja eine Lösegeldforderung.

00:07:03: Ja in roter Schrift!

00:07:04: Genau – dreihundert US-Dollar im Bitcoin.

00:07:07: Bei diesen ganzen Schäden in Milliardenhöhe hätten die Firmen das nicht einfach aus der Portokasse zahlen können?

00:07:13: Warum tat das

00:07:13: niemand?!

00:07:14: Weil es absolut nichts gebracht hätte.

00:07:17: Not Petia war im Kern gar keine Renzumwell.

00:07:20: Okay... Die Lösegeltforderung war nun ne Fassade unter der Haube.

00:07:24: was ein sogenannte Viper Also eine Software, die ausschließlich auf Zerstörung programmiert ist.

00:07:29: Also ein Reißwolf?

00:07:30: Kein Safe!

00:07:31: Ganz

00:07:31: genau.

00:07:32: Klassische Renzemwear verschlüsselt deine Daten und der Angreifer hat den Schlüssel.

00:07:37: Not Petya aber attackierte die Master File Table – Die MFT Das ist das Inhaltsverzeichnis der Festplatte Und zusätzlich wurde der Master Boot Record Der MBR überschrieben.

00:07:48: Ohne den weiß der Computer gar nicht mehr, wie er das Betriebssystem starten soll.

00:07:52: Es gab von den Angreifern nie eine Schlüsse.

00:07:55: Die Daten waren unwiederbringlich zerstört.

00:07:57: Krass!

00:07:58: Aber wie konnte sich das denn so extrem schnell verbreiten wenn es alles kaputt macht?

00:08:02: Dafür nutzte NotPetya modernste digitale Waffen Für die laterale Bewegung also die Ausbreitung im Netzwerk.

00:08:09: Nutze ist die Exploits Eternal Blue und Eternal Romance.

00:08:13: Das waren diese von den Shadow Brokers gelegten NSA-Exploits, oder?

00:08:17: Richtig!

00:08:18: Extrem mächtige Werkzeuge.

00:08:20: Die Schwachstellen im SMBV I Protokoll von Windows angriffen – das ist der Standarddienst fürs Teilen von Dateien.

00:08:26: Also quasi ein Einbrecher, der durch eine alte völlig unverschlossene Kellertür eindringt.

00:08:31: Eternal Blue is die Kellertüre.

00:08:33: Sehr gutes Bild ja...

00:08:34: Aber Moment….

00:08:35: Im Vormonat gab es doch schon die WannaCry-Attacke, die genau denselben Exploit genutzt hat.

00:08:40: Daraufhin haben doch alle Unternehmen Überstunden gemacht und Patches installiert.

00:08:44: Warum sind dann auch gepatchte Systeme gefallen?

00:08:47: Und genau da wird es richtig perfide!

00:08:49: NotPetja hatte noch eine zweite Waffe im Gepäck, wenn die Eternal Blue-Tür verschlossen war, griff es zu Mimikats.

00:08:55: Was genau macht

00:08:56: das?!

00:08:56: Mimikkats ist ein Tool, dass Passwörter von Administratoren direkt aus dem Arbeitsspeicher – also dem RAM – ausliest.

00:09:05: Sobald der Angreifer über einen einzigen ungepatchten Rechner im Netzwerk stahl er die Adminrechte.

00:09:11: Ah, um in der Analogie zu bleiben?

00:09:14: Der Einbrecher ist drin, findet auf dem Küchentisch den Generalschlüssel des Hausmeisters und spaziert damit ganz legal durch alle anderen eigentlich gesicherten Sicherheitstüren.

00:09:24: Besser hätte man es nicht zusammenfassen können!

00:09:27: Mit diesen gestohlenen Rechten nutzte Notpetya dann legitime Windows-Werkzeuge wie PSSEC und WMIC – damit verwalten Admins normalerweise ihre Netzwerke.

00:09:37: Das Ding hat sich also mit legitimen Befehlen selbst auf die gepetschten Rechner kopiert.

00:09:42: Wenn es also gar nicht um Geld ging, sondern nur um diese unfassbare effiziente Zerstörung – wer programmiert sowas?

00:09:50: Das führt uns in die Geopolitik!

00:09:53: Die forensischen Berichte von westlichen Geheimdiensten wie der CIA oder dem britischen Verteidigungsministerium aber auch von Sicherheitsforschern wie ESET deuten sehr stark auf eine Gruppe hin.

00:10:03: Welche?

00:10:04: Sandworm Das ist eine Hacker-Gruppe, die der russischen Militäreinheit.

00:10:12: Im Westen sieht man Nordpätya als Teil einer hybriden Kriegsführung gegen die Ukraine.

00:10:17: Hier müssen wir für dich als Zuhörer aber ganz unparteiisch hinzufügen – Russland bestreitet jegliche Beteiligung an diesem Angriff vehement!

00:10:25: Ja

00:10:25: das tun sie.

00:10:26: Sie verweisen ja auch darauf, dass russische Firmen wie eben Rossneft extrem hart getroffen wurden.

00:10:32: Wir wehrten das hier gar nicht!

00:10:33: Wir schildern nur die Aussagen, die in den Quellen stehen.

00:10:35: Richtig

00:10:36: – aber genau diese geopolitische Dimension also die Frage ob es ein staatlicher Angriff war führte danach zu einem massiven juristischen Nachspiel.

00:10:44: Du meinst die Versicherungskatastrophe?

00:10:46: Ganz genau.

00:10:47: Mondeles und Merck haben natürlich versucht, ihre Schäden über ihre Cyberversicherungen abzuwickeln Aber Versicherer wie Zürich American oder Ace American haben die Zahlung verweigert.

00:10:56: Mit

00:10:56: welcher Begründung?

00:10:58: Man kauft doch so eine Versicherung genau für so einen Fall.

00:11:01: Sie beriefen sich auf eine Klausel zum Ausschluss von Kriegshandlungen Die sogenannte Acts of War Exclusion.

00:11:09: Da es sich um einen staatlichen Angriff handelte war es eine kriegerische Handlung auch wenn sie digital stattfand.

00:11:15: Aber das war doch kein physischer Krieg im klassischen Sinn mit Kriegserklärung und so.

00:11:19: Eben, deshalb hat Merck geklagt.

00:11:21: nach jahrelangen Rechtsstreitigkeiten kam es zu einem Vergleich aber das hat gezeigt wie veraltet dass traditionelle Verständnis von Klick im Cyberspace ist

00:11:29: was mich zu den Schwachstellen der Firmen bringt.

00:11:32: also flache Netzwerke veraltete Systeme mehr skattier Stellenweise noch Windows zwei tausend am Laufen ja

00:11:38: leider keine Einzelfall damals

00:11:40: Und fehlende Offline Backups.

00:11:42: Lass uns daraus mal die Lehren für Unternehmen heute ziehen.

00:11:46: Was müssen Führungskräfte, Berater und IT-Dienstleister jetzt anders machen?

00:11:50: Der erste Punkt ist ganz klar – Patchmanagement allein reicht nicht aus!

00:11:55: Wenn Zugangsdaten gestohlen werden wie durch Mimikarts verbreitet sich Malware unaufhaltsam.

00:12:01: Also braucht man Mikrosegmentierung.

00:12:03: Richtig

00:12:04: Flache Netzwerke sind toxisch.

00:12:06: Man muss das Netzwerk in kleine isolierte Zonen unterteilen.

00:12:10: Der Rechner in der Buchhaltung in Kiew darf niemals direkten Zugriff auf den globalen Server in London

00:12:15: haben.

00:12:16: Und die zweite Lektion, die ich aus dem Garnas Szenario ziehe, Backups müssen isoliert sein?

00:12:21: Absolut

00:12:21: überlebenswichtig!

00:12:23: Ein Backup nützt dir überhaupt nichts wenn es dauerhaft mit dem Netzwerk verbunden ist.

00:12:28: Dann wird es in Sekundenschnelle einfach mit verschlüsselt.

00:12:32: Getrennte offline Aufbewahrte und vor allem regelmäßig getestete Backups sind der einzige Weg.

00:12:38: Nummer drei wäre dann das Thema Supply Chain, also Lieferkettenrisiken.

00:12:42: Ja jedes Unternehmen ist nur so sicher wie sein schwächster Software-Anbieter.

00:12:46: Die Abhängigkeit von Drittanbietern wie bei Amadok erfordert stringste Überprüfungen.

00:12:51: Man braucht Zero Trust Architekturen.

00:12:53: Vertrauen niemandem Verifiziere alles auch wenn es ein offizielles Update ist.

00:12:58: Und viertens, was wir gerade beim Mundles- und Merk gesehen haben.

00:13:02: Cyberversicherungen genau prüfen!

00:13:04: Das kleingedruckte Bezüglich Kriegsklauseln und Kummlerisiken wurde nach Nordpätya radikal angepasst.

00:13:10: Unternehmen müssen heute hagenau wissen, was ihre Poliessinnen bei staatlich gesteuerten Angriffen überhaupt noch abdecken.

00:13:20: Definitiv – das sind drastische Lektionen aus einem echten Disaster.

00:13:27: Und genau das bringt mich zu einem abschließenden Gedanken, den ich – der uns gerade zuhört – gerne mitgeben möchte.

00:13:34: Nordpatia nutzte eine Scheinbach völlig banale Steuersoftware auf die niemand wirklich geachtet hatte!

00:13:41: Überleg einmal… Welche unscheinbare Software?

00:13:44: Welches Smart-Bildinggerät oder welche externe HR-Plattform in deinem Unternehmensnetzwerk hat eigentlich weitreichende Berechtigungen?

00:13:54: Wir alle sind Teil der Lieferkette eines anderen.

00:13:57: Ein sehr guter Gedanke zum Schluss!

00:14:00: Vielen Dank, dass du bei dieser Folge dabei warst.

00:14:03: Denkt daran – Cyber-Sicherheit beginnt nicht erst beim großen Angriff sondern bei den kleinen Entscheidungen im Alltag.

00:14:10: Wenn dir die Folge gefallen hat abonniere den Podcast und teile ihn gerne mit Freunden, Kolleginnen und Kollegen.

00:14:17: Schreib uns auch gerne deine Gedanken zur Folge oder deine Ideen für eine der nächsten Episoden Bis zur nächsten Folge.

00:14:24: Bleib aufmerksam und digital sicher!