Ukrainische Hacker zerstören die IT-Infrastruktur eines russischen Drohnenherstellers

Hacker-News-Kommentare

• Ich betreibe zu Hause ein kleines Lab mit ungefähr 30 Services.
  Eines Tages habe ich beim Austausch der Hauptfestplatte mithilfe der Backups alles von Grund auf neu aufgebaut, und nach einer Stunde lief wieder alles.
  Danach habe ich aber eine Woche lang überall Dinge nachgebessert und mich mit Teilen herumgeschlagen, bei denen ich nicht einmal mehr wusste, warum ich sie so konfiguriert hatte.
  Das ist ein einfaches, von einer Person verwaltetes Docker-basiertes Lab, und ich arbeite selbst in der IT.
  Aber eine komplette Infrastruktur wiederherzustellen, die über Jahre von mehreren Leuten verwaltet wurde, ist wirklich eine gewaltige Aufgabe.
  Ich habe einmal ehrenamtlich bei der Wiederherstellung geholfen, als ein Krankenhaus in der Nähe von Ransomware betroffen war, und die beiden IT-Mitarbeiter dort hatten überhaupt keine Ahnung, was sie tun sollten; die offizielle Unterstützung war enttäuschend.
  Ich habe auch bei Ransomware-Vorfällen in Großunternehmen geholfen, und der Aufwand war enorm, sich daran zu erinnern, warum Systeme überhaupt so aufgebaut waren.
  Es gab zwar Dokumentation und Tests, aber in der Praxis stößt man sehr deutlich an die Grenzen der Realität.

  • Unser Haus wurde einmal von der Polizei durchsucht, und sie nahmen Equipment im Wert von 10.000 Dollar mit: Desktops, Laptops, NAS, Festplatten und mehr.
    Da ich in meinem früheren Job für Backups und Disaster-Recovery-Pläne zuständig war, hatte ich mich vorbereitet.

    • Vor-Ort-gespiegelte Backups (die die Polizei entweder nicht gefunden oder absichtlich dagelassen hat)
    • ältere Geräte (ich sammle so etwas etwas, auch für genau solche Fälle)
    • mehrere Offsite-Backups
    • dokumentierte Setups
      Innerhalb von ein bis zwei Tagen war das meiste wiederhergestellt, und der Datenverlust betrug etwa zwei Tage; zum Glück war es nur für den Hausgebrauch, also nicht kritisch.
      Diese Erfahrung führte zu verschiedenen strukturellen Verbesserungen, wodurch der Schaden bei künftigen Vorfällen noch geringer ausfallen dürfte.
      (Und acht Monate später kam die Polizei zu dem Schluss, dass ich unschuldig war, und sagte, meine Geräte sollten zurückgegeben werden, aber die Kinder hatten ein Trauma davongetragen.)

  • Das ist genau der Grund, warum Dokumentation so wichtig ist; auf Ebene der Softwarearchitektur gilt das genauso.
    Schon nach ein paar Monaten erinnert man sich leicht nicht mehr daran, warum man bestimmte Entscheidungen getroffen hat.
    Zum Beispiel: „Warum haben wir Kysely als ORM/SQL-Tool gewählt?“, „Warum nutzen wir Deno/Bun?“, „Warum ist die Ordnerstruktur feature-basiert?“, „Warum haben wir eine Library geforkt und wie pflegen wir sie?“, „Warum AWS/GCP/Azure/Docker?“, „Warum genau diese Kubernetes-Distribution?“, „Warum haben wir dieses Projekt überhaupt gestartet und was ist das Ziel?“
    Deshalb lege ich in der README.md einen Abschnitt # Decisions an und dokumentiere das dort.
    So muss ich mich nicht ständig selbst infrage stellen und endlos in Dokumenten nach Antworten suchen.

  • Mainframes in den 90ern waren so stabil und so gut redundant aufgebaut, dass sie teils über zehn Jahre lang nicht neu gestartet wurden; sogar Kernel-Upgrades ohne Downtime waren möglich.
    Aber als es in einem Unternehmen einen Stromausfall gab und auch die Notstromversorgung versagte, brauchte man nach der Wiederkehr des Stroms Monate, um herauszufinden, was diese Maschine eigentlich tat und wie man sie überhaupt wieder hochfahren sollte.
    Danach gingen die meisten Unternehmen dazu über, ihre Mainframes alle sechs Monate absichtlich neu zu starten, um den Wiederanlauf zu testen.

  • In modernen IT-Praktiken wird Disaster Recovery kaum noch mitgedacht.
    Selbst Organisationen mit strikten Backups testen die tatsächliche Wiederherstellung nur selten.
    Wegen Personalmangels wird meist einfach schnell etwas aufgebaut.
    Eine Infrastruktur so zu entwerfen, dass sie sich leicht rekonstruieren lässt, kostet schlicht doppelt so viel Aufwand wie sie einfach nur zu installieren.

  • Mich interessiert die Geschichte über das ehrenamtliche Helfen beim Krankenhaus-Ransomware-Fall.
    In Healthcare-IT wird mit Zugriffsrechten normalerweise extrem streng umgegangen; früher war ohne PHI-Schulung oder Hintergrundprüfung kein Zugang zu Systemen möglich. Ich würde gern wissen, ob in der Notsituation schnell ein temporärer Onboarding-Prozess eingerichtet wurde oder ob das Ehrenamt über Kontakte innerhalb des Krankenhauses zustande kam.

• Ich arbeite in einem deutschen Unternehmen.
  Die Produktionsplanung läuft auf Basis von Excel-Ausdrucken eines vor drei Monaten erstellten Plans.
  Eine ERP-Systemmigration ist gescheitert, aber niemand weiß, wie man das beheben soll.
  Die Produktionsplanung verschweigt das und sagt der Engineering-Abteilung nichts davon.
  Das wird wahrscheinlich noch Jahre so weitergehen; für Berater ist das ein sicheres Geschäftsmodell.
  Es beweist, dass IT-Infrastruktur für die Fertigung nicht zwingend unverzichtbar ist; man kann auch ohne auskommen, sie ist eher ein Nice-to-have.

  • Ende der 90er bis Anfang der 2000er wollte das dänische Verteidigungsministerium ein neues SAP-basiertes Beschaffungssystem namens DeMars einführen.
    Ein Freund von mir, der in der Beschaffung arbeitete, bestellte kurz vor der Einführung von DeMars die von ihm betreuten Güter in riesigen Mengen und wurde dafür sogar einmal wegen Betrugsverdachts vorgeladen.
    Er misstraute DeMars so sehr, dass er Lagerbestände für essenziell hielt.
    Als DeMars dann tatsächlich eingeführt wurde, kam die Beschaffung für ein Jahr praktisch zum Stillstand.
    Am Ende waren ausgerechnet nur die Artikel, für die mein Freund zuständig war, während der Einführung des neuen Systems durchgehend vorrätig.

  • Ich habe Ende der 90er als Firmware-Entwickler bei einem Hersteller gearbeitet.
    Damals wurde noch alles auf Papier festgehalten.
    Im Unternehmen wurde erfolgreich ein Oracle-basiertes ERP eingeführt, und alle waren begeistert, aber sechs Monate später fuhr jemand mit einem Gabelstapler in die Wand des Maschinenraums, wodurch ein Feuer an der UPS ausbrach und drei Racks mit dem Oracle-Server und weiterer Ausrüstung vollständig ausbrannten.
    Da ohnehin niemand dem System wirklich vertraute und weiterhin alles auf Papier dokumentierte, arbeiteten wir bis zu meinem Weggang sechs Jahre später immer noch mit Papier plus Excel-Berichten.
    Im Ergebnis erwies sich der papierbasierte Ansatz als gabelstaplerresistent.

  • Excel können viele Büroangestellte intuitiv verstehen und anpassen.
    Wenn mehr IT-Infrastruktur solche leicht zugänglichen Funktionen hätte, wäre sie vermutlich deutlich praxisnäher.

  • Andererseits kann es sehr schwierig sein, zu manuellen Verfahren zurückzukehren, wenn sich IT-Automatisierung in der Produktion vollständig durchgesetzt hat und niemand mehr da ist, der die alten manuellen Abläufe beherrscht.
    Das hängt natürlich auch von der Komplexität der Aufträge und Workflows ab.

  • Ohne Software sind auch Drohnen nutzlos.
    Wenn man den Bestand auswendig kennt, kann man vielleicht noch manuell gesteuerte Quadrokopter zusammenbauen, aber 3D-gedruckte Teileproduktion, stabiler Flug, autonomer Betrieb, Überwachung und andere fortgeschrittene Anwendungen sind dann nicht möglich.
    Selbst Fernsteuerung dürfte schwierig werden.

• Der Cyberkrieg in der Ukraine erreicht gerade eine neue Stufe; es geht längst über einfache Cyberangriffe hinaus.
  Drohnen sind, wie bei der diesmal angegriffenen russischen Drohnenfabrik, ein entscheidender Faktor, der den Verlauf dieses Krieges verändert hat.
  Drohnen haben Innovationen bei Aufklärung, Störung und sogar beim Abfangen von Munition gebracht.
  Gemessen am Materialeinsatz ist ihre Zerstörungskraft groß, und durch Fortschritte in der Bilderkennung funktionieren manche trotz Signalstörung weiter.
  Die Realität wirkt wie aus einem Spionagefilm.
  Die Ukraine zeigt, dass sie asymmetrische Kriegsführung meisterhaft beherrscht.
  Durch die Zerstörung von Langstreckenbombern und das Ausschalten von Drohnenproduktionsstandorten wird Russlands Kernstreitmacht erschüttert.
  Wie der Krieg endet, weiß niemand, aber dass der ukrainische Widerstand weitergehen wird, scheint klar.

  • Im Roman Ministry of the Future wird eine Zukunft beschrieben, in der Drohnen so weit entwickelt sind, dass traditionelle Kriegsführung bedeutungslos wird, weil niemand mehr irgendwo sicher ist.
    Selbst kleine Gruppen könnten dann überall auf der Welt jeden ermorden.
    Interessant ist das schon, aber die Geschichte ist schwach, deshalb würde ich das Buch selbst nicht wirklich empfehlen.

  • Zu den „Drohnen, die auch bei elektronischer Störung funktionieren“: Heute gibt es sogar Drohnen, die nicht über Funk, sondern über Glasfaserkabel gesteuert werden; die Realität ist noch beängstigender.

  • Ob die wichtige Rolle von Drohnen in diesem Krieg künftig auch auf andere Kriege übertragbar ist, bleibt abzuwarten.
    Die besondere Situation, dass Russland unter enormen Menschenverlusten Stück für Stück vorrückt, steigert den Wert von FPV-Drohnen.
    Die meisten Staaten würden solche Verluste nicht akzeptieren, daher glaube ich nicht, dass diese Form der Kriegsführung zum Standard wird.
    Günstige Langstrecken-Jet-Drohnen könnten stattdessen noch wichtiger werden.

  • In den Informationen des Artikels steckt viel Annahme.
    Wir hören nur eine Seite der Geschichte, und wegen des propagandistischen Werts könnte vieles übertrieben sein.
    In der Regel gibt es ordentliches Versionsmanagement, und jeder Entwickler hat Code und CAD-Dateien lokal kopiert.
    E-Mails und Office-Dateien könnten verloren gegangen sein, aber wahrscheinlich wäre das kein kritischer Schaden.
    Auch die Website läuft weiterhin.
    Dieses jetzt angegriffene Unternehmen ist selbst in der Drohnen-Community kein bekannter Name, daher scheint es nicht um einen Ausfall bei der Produktion großer Modelle zu gehen.
    Dass man dort elementare Dinge wie Versionsverwaltung nicht kennen sollte, ist schwer vorstellbar, und ich habe auch den Eindruck, der Stil des Kommentars wirkt, als wäre er von ChatGPT geschrieben.

• Ich arbeite in einem mittelständischen Unternehmen in der Schweiz.
  Wir entwickeln ein eigenes ERP, und der Stack ist ein absoluter Albtraum.
  Wir nennen es selbst „Security through chaos“.
  Selbst wenn ein Angreifer eindringt, kommt er wahrscheinlich nicht wieder heraus.
  Selbst wenn 90 % des Codes zerstört würden, hätte das keine Auswirkungen auf den Service, denn 95 % sind ohnehin bereits nutzloser Code.

  • Ich habe selbst schon MRP-Systeme für Großunternehmen entwickelt und bin neugierig, wohin dieser Ansatz führt.
    Ich ergänze die üblichen empfohlenen Sicherheits-/Disaster-Recovery-Methoden normalerweise noch um eine schlüsselbasierte Authentifizierungsschicht auf OTP-Hash-Basis.
    Ich hielt mich schon für extrem, aber dieses System fühlt sich fast wie ein Survival-Szenario am Ende der Welt an.

  • Das wirkt auf mich wie eine Form von Resilienz, die durch Evolution entstanden ist.

  • Es ist witzig, weil es wie eine ICE-Barriere aus der realen Welt wirkt.

  • Es ist zugleich beängstigend und irgendwie beeindruckend.

• Die meisten Unternehmen sind nicht wirklich darauf vorbereitet, dass nahezu alle Datenspeicher im Unternehmen komplett gelöscht werden und alles von Null an neu ausgerollt werden muss.
  Wenn man eine Wiederherstellung von Grund auf noch nie tatsächlich selbst durchgeführt hat, ist die Wahrscheinlichkeit hoch, dass es zyklische Abhängigkeiten in den Deployment-Abhängigkeiten gibt.
  Man setzt mit Jenkins/Puppet/Ansible einen Config-Pusher auf, und irgendwann hängt Jenkins selbst vom Config-Pusher ab, sodass man nicht mehr einfach alles der Reihe nach aufbauen kann und stattdessen alle Änderungen seit Urzeiten nachvollziehen muss.

  • In der IT gibt es fast überall zyklische Abhängigkeiten.
    SSO wird zur Abhängigkeit fast aller Systeme, und innerhalb von SSO sowie in Netzwerk- und Systemverwaltung entstehen wiederum neue Zyklen.
    Ein kompletter Neustart von Grund auf ist immer schwierig und zeitaufwendig.
    Solange man keine vollständig getrennte doppelte Infrastruktur aufbaut, ist dieses Problem in Perfektion praktisch nicht lösbar.

  • Ein Unternehmen, das ich kenne, hat vor einem Jahr so etwas erlebt.
    Der zentrale Storage-Cluster, von dem alles abhing, fiel aus.
    Am Ende wurde alles von den Dev-Laptops aus neu ausgerollt und so wiederhergestellt.

  • Ein black start ist ein enorm schwieriges Problem.
    Selbst Facebook musste in der Vergangenheit einmal mit Bohrern die Türschlösser eines Rechenzentrums aufbrechen, um die Systeme wiederherzustellen.

  • Ich frage mich, wie man in so einer Situation überhaupt wieder auf die Beine kommt.
    Wenn wenigstens Papierdokumentation übrig ist, kann man damit ein Bootstrap durchführen, oder muss man davon ausgehen, dass selbst die verschwunden ist?

  • Das Bauwesen hat ein ähnliches Problem.
    Produkte haben dort eine Lebensdauer von 50 Jahren oder mehr, teils von Jahrhunderten, aber Entwurfsdateien von vor 30 Jahren lassen sich heute wegen Problemen mit Dateiformatkompatibilität oft nicht mehr öffnen.
    Über Digitalisierung wird seit Jahrzehnten gesprochen, aber am Ende könnten alte 2D-Zeichnungen — oder heute PDFs, die manche „digitales Papier“ nennen — in Zukunft doch hilfreicher sein.
    Echtes Papier wird zwar immer seltener genutzt, aber wegen Dateikompatibilitätsproblemen könnte Papier am Ende doch wieder nützlich werden.

• Im Titel des Artikels werden die Angreifer als „Cyberaktivisten“ bezeichnet, im Text aber als „Cyberkriminelle“.
  Das erinnert an die Grauzone aus der Zeit der Segelschiffe mit quasi offiziellen Piraten wie Kaperfahrern oder Kaperbriefen.
  In Theorien zur Kriegsführung der vierten Generation heißt es, dass die Grenze zwischen zivil und militärisch verschwimmt.
  Die Regeln der Kriegführung werden immer undeutlicher.

  • Russland tötet jeden Tag mit Drohnen Zivilisten.
    Das ist keine vage Grauzone hybrider Kriegsführung, sondern einfach der Versuch von Bürgern, zu verhindern, dass ihre Nachbarn Drohnenangriffen zum Opfer fallen.

  • Das wirkt für mich wie ein Übersetzungsproblem.
    Die betreffende Website ist deutlich pro-ukrainisch, daher wollte man die Hacker vielleicht nicht negativ erscheinen lassen und hat „cyber criminal“ einfach im Sinne von „Hacker“ verwendet.

  • Realistisch betrachtet dürfte das am ehesten eine organisierte Operation des ukrainischen Militärs sein.
    Deshalb wäre es wohl zutreffender, sie nicht als Kriminelle zu bezeichnen.

  • Das ist ein bisschen wie bei Robin Hood.
    Für die einen ein Held, für die anderen ein Verbrecher.
    Vermutlich wurde der Artikel aus mehreren Berichten zusammengesetzt und dadurch wurden die Begriffe vermischt.
    Es wäre gut, wenn es im Cyberkrieg eigene Begriffe gäbe, um die Seiten klarer zu benennen.
    „Cyberaktivist“ klingt einfach nach Online-Demonstranten; statt eines abgenutzten Filmausdrucks wären vielleicht Begriffe wie „Cybersoldat“ oder „Netzwerkmiliz“ passender.

• Ich finde es amüsant, dass das Datum auf dem Artikelfoto nur einen Tag vom Beginn der Unix-Epoche entfernt ist.

• Diese Website ist ziemlich eigentümlich.
  Die russische Regierung blockiert sie, wodurch TLS-Fehler auftreten, und selbst wenn man das umgeht, landet man auf einer Cloudflare-Seite mit „blockiert“; erst mit VPN kommt man an den Originalartikel auf Russisch.

  • Die verlinkte Seite ist zwar auf Englisch, aber für Menschen in Russland war womöglich gar nicht die russischsprachige Version dieser Website das Ziel.
    In Russland ist man bei Sprachfragen sensibel, aber in der Ukraine wird tatsächlich auch viel Russisch gesprochen und es werden auch russischsprachige Artikel veröffentlicht.

  • Ich empfehle dringend, Archivseiten wie archive.today oder archive.org (Internet Archive) zu nutzen.
    Jemand hat auch diesen Archivlink vor Kurzem gespeichert.

  • Das muss kein Problem der Website selbst sein, sondern könnte an staatlicher Sperrung oder an Cloudflare liegen.
    Cloudflare blockiert möglicherweise wegen der eigentlichen Ursache des TLS-Fehlers.

• Ich frage mich, ob sich beide Seiten auch Sorgen um die Firmware der Drohnen machen.
  Es scheint strategisch wertvoll zu sein, feindlichen Drohnen unbemerkt manipulierte Firmware unterzuschieben.

  • Interessant, aber riskant (es könnte leicht auffliegen und eine ganze Operation zunichtemachen).
    Am Ende scheint der harte Weg doch der vernünftigste zu sein.

  • Drohnen werden normalerweise kurz vor dem Einsatz mit Firmware bespielt.

  • In der Praxis könnte es wirksamer sein, statt die Fabrik stillzulegen die Drohnen heimlich etwas anderes tun zu lassen, zum Beispiel beim Start die eigene Basis anzugreifen oder sich fernsteuern zu lassen.

  • Eine interessante Taktik soll darin bestehen, einen Virus auf die SD-Karte einer Drohne zu legen, sodass, wenn die Drohne im Feindgebiet abstürzt und der Gegner die Karte in einen Computer steckt, dieser Computer infiziert wird.

• „Ukrainische Cyberaktivisten arbeiten mit dem Militärgeheimdienst zusammen …“
  Das heißt also, sie bekommen nur Signale von einem ausländischen Geheimdienst und es handelt sich nicht um direkte Cyberkriegsführung.

  • Zu der Ansicht „Ein ausländischer Geheimdienst gibt nur Signale, also ist es keine direkte Cyberkriegsführung“:
    Russische Geheimdienste greifen NATO-Staaten bereits direkt an; viel Raum für Ausreden bleibt da nicht.

  • Zwischen der Ukraine und Russland herrscht ohnehin schon seit Jahren Krieg, daher braucht es keine plausible Abstreitbarkeit mehr.

  • Ich frage mich, was mit einem ausländischen Geheimdienst gemeint ist, und generell sollte man nicht naiv sein: Weltweit finden ständig solche Angriffe statt.

  • Im Artikel wird gar kein „ausländischer Geheimdienst“ erwähnt.

  • Dort steht ausdrücklich ukrainischer Militärgeheimdienst.