Kurz nach den Angriffen auf Websites der US-Bundesstaatsregierung hat die pro-russische Bedrohungsgruppe Killnet am Montag die Websites mehrerer US-Flughäfen in einer Reihe von Distributed-Denial-of-Service-Angriffen (DDoS) gestört.
Es forderte auch ähnlich ausgerichtete Gruppen und Einzelpersonen auf, DDoS-Angriffe auf andere US-Infrastrukturziele durchzuführen, was eine Eskalation einer kürzlichen Kampagne zu sein scheint, in der gegen die Unterstützung der US-Regierung für die Ukraine in ihrem Krieg mit Russland protestiert wurde.
Zu den von Killnets DDoS-Angriffen betroffenen Flughafen-Websites gehörten der Los Angeles International Airport (LAX), der Chicago O'Hare, der Hartsfield-Jackson Atlanta International Airport und der Indianapolis International Airport. Während die DDoS-Angriffe einige der Seiten für mehrere Stunden unzugänglich machten, hatten sie offenbar keine Auswirkungen auf den Flughafenbetrieb.
Forscher von Mandiant, die die Angriffe verfolgt haben, sagten, sie hätten beobachtet, dass insgesamt 15 Websites von US-Flughäfen betroffen seien.
Meist kurze Unterbrechungen
In einer Erklärung gegenüber Dark Reading bestätigten die Flughafenbehörden von LAX den Angriff.
„Heute früh wurde die FlyLAX.com-Website teilweise gestört“, bemerkte ein LAX-Sprecher in einer per E-Mail gesendeten Erklärung. LAX-Beamte beschrieben die Dienstunterbrechung als nur auf Teile der öffentlich zugänglichen FlyLAX.com-Website beschränkt. „Keine internen Flughafensysteme wurden kompromittiert und es gab keine Betriebsunterbrechungen“, heißt es in der Erklärung und fügte hinzu, dass das IT-Team des Flughafens die Dienste wiederhergestellt hat und dass der Flughafen das FBI und die Transportation Security Administration (TSA) benachrichtigt hat.
Ivan Righi, Senior Cyber Threat Intelligence Analyst bei Digital Shadows, sagt, Killnet habe auch seine Unterstützer gebeten, sich an den Flughafenangriffen zu beteiligen, und eine Liste von Zieldomänen auf seinem Telegram-Kanal veröffentlicht. Insgesamt erwähnte die Gruppe 49 Domains, die zu Flughäfen in den USA gehören, sagt er. Die Zielliste von Killnet umfasst Flughäfen in etwa zwei Dutzend Bundesstaaten, darunter Kalifornien, Delaware, Florida, Georgia, Illinois, Maryland, Massachusetts und Michigan.
„Zum jetzigen Zeitpunkt ist nicht bekannt, wie erfolgreich diese Angriffe waren, aber Killnet-Angriffe sind dafür bekannt, Websites für kurze Zeit lahmzulegen“, sagt Righi. Die Angriffe begannen mit einem DDoS-Angriff auf O'Hare, bei dem die Gruppe ihre Motivation zum Angriff auf den zivilen US-Netzwerksektor erklärte, den die Gruppe als nicht sicher erachtete, sagt er.
O'Hare antwortete nicht sofort auf eine Bitte von Dark Reading um einen Kommentar. Aber ab Mittag, Central Time, war die Website des Flughafens zugänglich.
Ruft nach breiteren Angriffen
Vlad Cuiujuclu, Teamleiter für globale Informationen bei Flashpoint, sagt, dass der DDoS-Angriff auf den O'Hare International Airport kurz nachdem Killnet neue Runden von DDoS-Angriffen gegen Domänen angekündigt hatte, die zur zivilen Infrastruktur der Vereinigten Staaten gehören. Zu den Angriffszielen, zu deren Angriffen die Unterstützer aufgefordert werden, gehören Seeterminals und Logistikeinrichtungen, Wetterüberwachungszentren, Gesundheitssysteme, Ticketsysteme für den öffentlichen Nahverkehr, Börsen und Online-Handelssysteme, sagt Cuiujuclu.
Killnets Beitrag, in dem andere pro-russische Gruppen aufgefordert wurden, DDoS-Angriffe gegen Domains zu starten, die zur zivilen Infrastruktur der USA gehören, wurde von anderen russischsprachigen Cyber-Kollektiven geteilt, darunter Anonymous | „Russland“, „Phoenix“ und „Wir sind Clowns“, bemerkte Cuiujuclu.
Killnet gehörte in den letzten Monaten zu den aktiveren pro-russischen Cyberbedrohungsgruppen. Erst letzte Woche beanspruchte es Kredit für DDoS-Angriffe auf die Websites der Regierung von Mississippi, Kentucky und Colorado. Im Juli reklamierte die Gruppe einen DDoS-Angriff auf die Website des US-Kongresses, der kurzzeitig den öffentlichen Zugang beeinträchtigte.
Im August sagte Killnet, es plane einen Angriff auf Lockheed Martin, das Unternehmen, das die in den USA hergestellten Raketenwerfer herstellt, die das ukrainische Militär in dem Konflikt einsetzt. Die Gruppe behauptete, sie habe die Identitätsautorisierungsinfrastruktur von Lockheed Martin kompromittiert, aber Flashpoint, das die Kampagne verfolgte, sagte, dass dies der Fall sei keine überprüfbaren Beweise finden des vermeintlichen Angriffs. „Das ist möglich, aber Killnet hat bisher nur wenige nachprüfbare Beweise dafür gezeigt, abgesehen von einem Video und einer Tabelle, die angeblich Mitarbeiterdaten enthält, deren Echtheit nicht festgestellt werden konnte“, sagte Flashpoint damals.
Ein besonders aktiver Bedrohungsakteur
Fast seit Beginn der russischen Invasion in der Ukraine hat Killnet kontinuierlich angebliche Beweise für DDoS-Angriffe auf Organisationen in NATO-Mitgliedstaaten und solche veröffentlicht, von denen es annimmt, dass sie die Ukraine in dem Konflikt unterstützen. Flashpoint hat Killnet zuvor als eine medienerfahrene Bedrohungsgruppe beschrieben, die dazu neigt, zu versuchen, ihr Profil aufzublähen, indem sie mit Angriffen prahlt. „Während Killnets Drohungen oft grandios und ehrgeizig sind, scheinen die greifbaren Auswirkungen ihrer jüngsten DDoS-Angriffe bisher vernachlässigbar zu sein.“
Die Angriffe von Killnet – und die, zu deren Ausführung es andere drängt – sind Beispiele dafür, was Sicherheitsexperten als die Tendenz der letzten Jahre bezeichnen, dass geopolitische Konflikte in den Cyberbereich übergreifen. Die offensichtliche Eskalation der Kampagne der Bedrohungsgruppe gegen die USA und andere NATO-Staaten erfolgt beispielsweise nur wenige Tage, nachdem eine Explosion einen Abschnitt einer kritischen Brücke zerstört hat, die Russland mit der Halbinsel Krim verbindet.
Bisher waren die meisten Cyberangriffe von pro-russischen Gruppen, die US-Organisationen betrafen, nicht annähernd so störend wie Angriffe russischer Gruppen auf ukrainische Einheiten. Einige dieser Angriffe – darunter viele, die auf die Annexion der Krim durch Russland zurückgehen – waren darauf ausgelegt, Systeme zu zerstören und die Stromversorgung und andere kritische Infrastrukturen beeinträchtigen zur Unterstützung russischer militärischer Ziele.
