Die Firma von Polis Trachonitis, Hermetica Digital Ltd, wurde von US-Forschern in eine datenvernichtende Cyberattacke verwickelt, die Hunderte von Computern in der Ukraine, Litauen und Lettland betraf.
Die Cyberattacke wurde am Mittwochabend, nur wenige Stunden vor dem Einmarsch russischer Truppen in die Ukraine, entdeckt und wurde weithin als Auftaktsalve für Moskaus Invasion angesehen.
Die Malware wurde mit einem digitalen Zertifikat signiert, das den Namen Hermetica Digital trägt, so die Forscher, von denen einige den bösartigen Code aufgrund dieser Verbindung "HermeticWiper" nennen.
Trachonitis sagte gegenüber Reuters, er habe nichts mit dem Angriff zu tun. Er sagte, er habe nie ein digitales Zertifikat beantragt und wisse nicht, dass eines für seine Firma ausgestellt worden sei.
Er sagte, seine Rolle in der Videospielindustrie bestehe lediglich darin, den Text für Spiele zu schreiben, die andere zusammenstellen.
"Ich schreibe nicht einmal den Code - ich schreibe Geschichten", sagte er und fügte hinzu, dass er nichts von der Verbindung zwischen seiner Firma und der russischen Invasion wusste, bis er am Donnerstagmorgen von einem Reuters-Reporter darauf hingewiesen wurde.
"Ich bin nur ein zypriotischer Typ ... Ich habe keine Verbindung zu Russland."
Das Ausmaß des Schadens, der durch den Malware-Angriff verursacht wurde, war nicht klar, aber die Cybersicherheitsfirma ESET sagte, dass der bösartige Code auf "Hunderten von Rechnern" installiert worden sei.
Westliche Staats- und Regierungschefs warnen seit Monaten, dass Russland im Vorfeld einer Invasion zerstörerische Cyberangriffe auf die Ukraine durchführen könnte.
Letzte Woche erklärten Großbritannien und die Vereinigten Staaten, dass russische Militärhacker hinter einer Reihe von DDoS-Angriffen (Distributed Denial of Service) stecken, die kurzzeitig ukrainische Bank- und Regierungswebseiten offline gesetzt haben.
DIGITALES ZERTIFIKAT
Cyberspione stehlen routinemäßig die Identitäten von Fremden, um Serverplatz zu mieten oder bösartige Websites zu registrieren.
Das Hermetica Digital-Zertifikat wurde im April 2021 ausgestellt, aber der Zeitstempel auf dem bösartigen Code selbst war der 28. Dezember 2021.
ESET-Forscher erklärten in einem Blog-Beitrag, dass diese Daten darauf hindeuten, dass "der Angriff möglicherweise schon seit einiger Zeit geplant war".
Wenn die Angriffe, wie von Cybersecurity-Experten und US-Verteidigungsbeamten weithin angenommen, von Russen durchgeführt wurden, dann sind die Zeitstempel potenziell wichtige Datenpunkte für Beobachter, die zu verstehen hoffen, wann der Plan für die Invasion der Ukraine entstand.
Jean-Ian Boutin, Leiter der Bedrohungsforschung bei ESET, erklärte gegenüber Reuters, dass es verschiedene Möglichkeiten gibt, wie sich ein böswilliger Akteur ein Code Signing-Zertifikat erschleichen kann.
"Sie können es natürlich selbst beschaffen, aber sie können es auch auf dem Schwarzmarkt kaufen", sagte Boutin.
"Es ist also möglich, dass die Operation weiter zurückreicht, als wir bisher wussten, aber es ist auch möglich, dass der Bedrohungsakteur dieses Code Signing-Zertifikat erst vor kurzem erworben hat, nur für diese Kampagne.
Ben Read, Director of Cyberspionage Analysis bei Mandiant, sagte, es sei möglich, dass eine Gruppe "sich in der Kommunikation mit einem Anbieter digitaler Zertifikate als Unternehmen ausgibt und sich ein legitimes Zertifikat in betrügerischer Absicht ausstellen lässt."
Das Cybersicherheitsunternehmen Symantec teilte mit, dass Organisationen aus den Bereichen Finanzen, Verteidigung, Luftfahrt und IT-Dienstleistungen Ziel des Angriffs vom Mittwoch waren. DigiCert, das Unternehmen, das das digitale Zertifikat ausgestellt hat, reagierte nicht sofort auf eine Bitte um Stellungnahme.
Juan-Andres Guerrero-Saade, ein Cybersecurity-Forscher bei der digitalen Sicherheitsfirma SentinelOne, sagte, der Zweck des Angriffs sei klar: "Er sollte Schaden anrichten, das System außer Gefecht setzen, Signale senden und Chaos verursachen."
