Entschlüsselung des Cyberangriffs auf große europäische Flughäfen: Wer könnte hinter dem Vorfall stecken und was war die Absicht?

Der kürzliche Cyberangriff auf wichtige europäische Flughäfen ist ein weiteres Kapitel in einer Reihe von Angriffen auf kritische wirtschaftliche Infrastrukturen weltweit. Da kein Akteur den Angriff für sich beansprucht hat, gibt es Spekulationen darüber, was passiert ist und wie. In diesem Beitrag versuchen wir, den Bedrohungsakteur hinter diesem Angriff anhand von Beweisen zu entschlüsseln.    

Zu Beginn sei gesagt, dass dieser Ransomware-Angriff fast 4 Jahre in der Entstehungsphase war. Seit 2021 wurden große europäische Flughäfen von vielen Bedrohungsakteuren digital ausspioniert, von denen einige mit staatlich unterstützten Gruppen in Verbindung stehen oder an diese berichten, die darauf abzielen, kritische Infrastrukturen lahmzulegen. Die hohe Anzahl von Probeangriffen führte dazu, dass Hacker viele Daten sammelten, um Flughäfen in der Region digital zu profilieren, und hier begannen diese Angriffe wirklich.

Wie hat alles begonnen?

Um diese Angriffe vollständig zu verstehen, muss man die folgenden Faktoren im Detail betrachten:

· Timing der Angriffe auf die 4 großen europäischen Flughäfen

· Auswahl der Ziele

· Die Ereignisse der letzten vier Jahre, die in diesen Angriffen kulminierten, und

· Warum kein Akteur Anspruch auf den Vorfall erhoben hat

· Auswahl der Ransomware

Nun lassen Sie uns jeden dieser Faktoren im Detail getrennt betrachten und dann die Teile zusammenfügen.

Das Timing

Dieser Angriff ereignete sich direkt gegen Ende von Zapad-2025, einer Reihe von Militärübungen, die von Russland und Belarus auf dem Trainingsgelände Borisov in Belarus durchgeführt wurden. Laut Russland wurden die Übungen als „Verteidigungsreaktion auf eine angenommene westliche Invasion“ durchgeführt. Russland führt diese Übungen offen durch, und erst vor einer Woche verletzten russische Drohnen den NATO-Luftraum in Polen.

Diese beiden Entwicklungen waren keine zufälligen isolierten Ereignisse. Vielmehr könnte der offensichtliche Versuch, den NATO-Luftraum zu untersuchen, und diese Cyberangriffe Teil eines großen Plans sein, der mit den Zapad-2025-Übungen zu tun hat, die Russland letzte Woche in Belarus durchgeführt hat. Das Timing ist einfach zu offensichtlich, um ignoriert zu werden. 

Die Auswahl der Ziele

Brüssel, Berlin und Heathrow gehören zu den verkehrsreichsten Flughäfen in Europa. Darüber hinaus sind sie strategisch in Europa gelegen und wichtig aus Mobilitäts-, Wirtschafts- und Einflussgesichtspunkten. Jede Aktion gegen diese Flughäfen hätte naturgemäß einen Kaskadeneffekt auf andere Flughäfen in der Region.

Zudem beherbergen alle drei Länder, in denen sich diese Flughäfen befinden, eine bedeutende US-Militärpräsenz in der Region. In Belgien gibt es das US Army Garrison (USAG) Benelux, und im Vereinigten Königreich sind fast 10.000 US-Militärangehörige, ziviles Personal und Familienmitglieder hauptsächlich auf Stützpunkten wie RAF Lakenheath, RAF Croughton, RAF Welford, RAF Fairford, RAF Feltwell, RAF Upwood, RAF Barford St John, RAF Blenheim Crescent, RAF Fylingdales, RAF Menwith Hill, RAF Mildenhall, RAF Alconbury und RAF Molesworth stationiert.

Zuletzt beherbergt Deutschland fast 40 US-Armee-Anlagen, die so viel wie 5 der 7 Garrisonen, die die USA in Europa eingesetzt haben, umfassen. Auch in Polen gibt es eine bedeutende US-Militärpräsenz, aber wie wir bereits früher gesehen haben, wurde der Luftraum Polens vor einer Woche bereits verletzt.

Visualisierung: US-Stützpunkte in der EU

Die Ereignisse der letzten 4 Jahre

Shieldworkz-Forscher berichten konsequent von einem Anstieg der Aufklärungsangriffe auf kritische Infrastrukturen in der Region. Flughäfen in Europa waren seit 2021 Gegenstand verstärkter digitaler Überwachung. Dies wurde in der neuesten Ausgabe unseres Bedrohungslandschafts-Analyseberichts hervorgehoben.

Große Flughäfen in der Region wurden auch während der Hochzeiten von Covid ins Visier genommen. Solche verstärkten Aktivitäten, die weltweit keine sektoralen Parallelen haben, deuten auf ein langfristiges Interesse von Bedrohungsakteuren an spezifischen Elementen kritischer Infrastrukturen hin.

Es gab einen Grund dafür, dass diese Flughäfen von russischen Bedrohungsakteuren beobachtet wurden, die von APT29 geführt werden, einem Bedrohungsakteur, der schlüssig mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung gebracht wird.  

Warum hat bisher kein Bedrohungsakteur Anspruch erhoben?

Bis Montagmorgen hat kein Akteur den Vorfall für sich beansprucht. Tatsächlich herrscht im Cyberspace absolute Stille mit gedämpften Diskussionen in Telegrams. Aber keine Gruppe hat sich bisher gemeldet und die Verantwortung für diese Angriffe übernommen. Ein Angriff dieses Ausmaßes hätte einer Gruppe viel Aufmerksamkeit und Publicity einbringen können, und wenn es sich um einen Routineangriff gehandelt hätte, hätte sich der dahinterstehende Bedrohungsakteur sofort gemeldet, um Schlagzeilen zu machen.

Sie erinnern sich vielleicht, dass in der jüngeren Vergangenheit Gruppen wie Scattered Spider (aka Sp1d3rhunters), [die schattenhafte Gruppe hinter dem Jaguar Land Rover Cyber-Vorfall] sich innerhalb weniger Stunden oder früher zu Cyberangriffen bekannt haben. Solche Gruppen sind oft von jeglicher Art von Publicity motiviert und begrüßen jede Gelegenheit, die Folgen eines von ihnen geplanten, beeinflussten oder ausgeführten Angriffs für sich zu beanspruchen. Dies war hier nicht der Fall, und das Fehlen einer Anspruchserhebung bietet den bisher bedeutendsten Hinweis auf die Natur der Gruppe hinter diesem Cyberangriff.

Der Bedrohungsakteur hinter den Cyberangriffen auf europäische Flughäfen ist nicht auf Publicity aus, was bedeutet, dass er keine unabhängige Gruppe darstellt, sondern vielmehr eine Form von staatlicher Zugehörigkeit hat. Sie wollten eine Botschaft leise übermitteln.

Die im Angriff verwendete Ransomware scheint ebenfalls einzigartig und gezielt zu sein. Es scheint, dass sie so gestaltet wurde, um ihren ursprünglichen Zweck zu verschleiern, wie es oft bei Ransomware der Fall ist, die ihren Ursprung in einer APT-Gruppe haben. Der Lösegeldanteil ist nur eine Fassade, um einen noch bösartigeren Zweck zu verbergen, während eine unmissverständliche geopolitische Botschaft übermittelt wird.

Die Teile zusammenfügen

Wenn man die verstreuten Beweise addiert, wird die Schlussfolgerung so klar wie Sommertageslicht. Dies ist ein Angriff auf kritische Infrastrukturen, der von einem staatlich unterstützten Akteur durchgeführt wurde. Derzeit deuten alle Finger auf eine mögliche russische APT-Beteiligung hin. Die Tatsache, dass diese Angriffe innerhalb von 7-10 Tagen nach den Luftraumverletzungen und regionalen Militärübungen stattfanden, zusammen mit dem Fehlen einer Anspruchserhebung durch einen Bedrohungsakteur und der Raffinesse des Angriffs, sind alles Indikatoren zur Untermauerung dieser Behauptung.

Vergleichen Sie dies mit dem Jaguar Land Rover Cyberangriff, bei dem eine Anspruchserhebung innerhalb von 48 Stunden nach Entdeckung des Angriffs von Scattered Spider (aka Sp1d3rhunters) erfolgte.

Egal wie Sie den Angriff betrachten, es ist an der Zeit, die Verteidigungen hoch zu skalieren, um die Sicherheit zu verbessern und kritische Vermögenswerte und Netzwerke außer Reichweite von Bedrohungsakteuren zu bringen.

Sprechen Sie mit unseren Cyber-Bedrohungs-Intelligence-Experten für ein individuelles Briefing.

Hier finden Sie Informationen zu unseren Fähigkeiten im Incident Response.