Nur wenige Stunden nach Beginn der russischen Grossoffensive in der Ukraine erklärten Hacktivisten dem Kreml den Cyberkrieg. Insbesondere das globale Hacker-Kollektiv Anonymous kündigte umgehend «gross angelegte» Cyberangriffe an. Zwei Tage später rief die ukrainische Regierung alle, die können und wollen, dazu auf, sich am Krieg im Netz gegen Russland zu beteiligen. Auf Twitter verkündete Digitalminister Mykhailo Fedorov Ende Februar den Aufbau einer freiwilligen «IT Army of Ukraine».
Was ist gut zwei Monate später daraus geworden?
Stand heute lässt sich sagen: Hacktivisten knöpfen sich derzeit pro Woche mehrere russische Behörden, Banken, Medien oder Energiekonzerne vor. Eine derart konzentrierte, andauernde und unerbittliche Cyber-Kampagne gegen einen Staat ist in der Geschichte einmalig.
Im Telegram-Kanal der «IT Army» werden seit über zwei Monaten täglich die neusten Ziele ausgegeben, die Freiwillige aus aller Welt lahmlegen sollen. Etwa russische Bezahlsysteme, Behördenseiten oder Unternehmen der Luftfahrtbranche. Solche DDoS-Angriffe können aber nicht direkt den Kriegsverlauf beeinflussen, höchstens sporadisch das russische Alltagsleben stören.
Auf der Webseite der IT Army sieht man fast in Echtzeit, welche Ziele angegriffen werden und ob sie online oder offline sind.
Wurden bei Kriegsbeginn vor allem russische Webseiten lahmgelegt oder verunstaltet, gehen die Angriffe inzwischen teils deutlich darüber hinaus. Pro-ukrainischen Hacker nutzen inzwischen auch Verschlüsselungs-Trojaner, um Unternehmen komplett lahmzulegen. Für Russland ist das eine ungewohnte Situation: Bislang gingen solche Ransomware-Angriffe von kriminellen russischen Erpresserbanden aus, die mit dem Segen des Kreml westliche Firmen ins Visier nahmen und heimische Unternehmen verschonten. Auf diese Angriffsart sind russische Firmen daher mutmasslich schlecht vorbereitet.
Was auffällt: Seit einigen Wochen werden immer öfter gewaltige Datenmengen von Behörden und teils kremlnahen Unternehmen erbeutet. Die Hacker stellen dieses Material Journalisten, Wissenschaftlerinnen und oft auch der Allgemeinheit zur Verfügung. Dass die Intensität der Hacker-Kampagne enorm ist, zeigt sich darin, dass die unabhängige Enthüllungsplattform Distributed Denial of Secrets (DDoSecrets) mit neuen Datenlecks überschwemmt wird und kaum mehr nachkommt, die von Hacktivisten erbeuteten Dokumente online zu stellen. Ob diese Daten wertvoll sind, ist eine ganz andere Frage (dazu später mehr).
Die 2019 von Transparenz-Aktivistinnen und -Aktivisten gegründete Nonprofit-Organisationen DDoSecrets bietet derzeit mehr als 40 teils online durchsuchbare Datensätze zu russischen Behörden und Unternehmen an. Darunter angeblich Daten der russischen Zentralbank, der Zensurbehörde Roskomnadsor sowie mit Sicherheit der staatlichen Fernseh- und Radiogesellschaft, der jüngst über 900'000 E-Mails «abhanden gekommen» sind.
DDoSecrets – quasi der Nachfolger von Wikileaks – hat allein seit Beginn des Angriffskrieges über 30 Datensätze russischer Herkunft analysiert und veröffentlicht, die ihnen meist von anonymen Hacktivisten zugespielt wurden. Die Hacker sehen sich in aller Regel als Teil der internationalen Hacker-Bewegung Anonymous. Seit Beginn der Invasion hat DDoSecrets über 5,8 Terabyte Daten und rund 10 Millionen Dateien und E-Mails gehackter russischer Firmen und Behörden offengelegt. Es ist nicht übertrieben zu sagen, dass die Plattform zum zentralen Archiv für Datenlecks aus Russland wurde.
Am 26. Februar, zwei Tage nach Beginn der russischen Invasion, veröffentlichte DDoSecrets 200 Gigabyte E-Mails des belarussischen Waffenherstellers Tetraedr. Die Hacker nennen sich «Anonymous Liberland and the Pwn-Bär Hack Team».
The contents of this leak do appear to be legitimate.
— Mikael Thalen (@MikaelThalen) February 26, 2022
Emails from the inboxes of employees at the Belarusian weapons manufacturer Tetraedr.
Have seen missile testing footage, PDF schematics for weapons systems, and detailed brochures for armored vehicles. https://t.co/wGTa9ilFyE
Anfang März veröffentlichte DDoSecrets 820 Gigabyte gehackte Daten von Roskomnadsor, der russischen Bundesbehörde, die für die Überwachung, Kontrolle und Zensur der russischen Massenmedien zuständig ist. Das Datenleck, zu dem sich Hacktivisten der Anonymous-Bewegung bekannt haben, umfasst 360'000 Dateien.
Mitte März veröffentlichte DDoSecrets 79 Gigabyte E-Mails von Omega, der Forschungsabteilung des weltweit grössten Ölpipeline-Konzerns Transneft, der in Russland staatlich kontrolliert wird.
Hackers have leaked 79 GB of emails from Russia's state-controlled pipeline company Transneft to the journalist non-profit DDoSecrets.
— Mikael Thalen (@MikaelThalen) March 17, 2022
The hackers have sarcastically dedicated the leak to Hillary Clinton, who called on Anonymous to hack Russia during a recent MSNBC interview. pic.twitter.com/vPU8pIfJDY
Ab Mitte März geht es Schlag auf Schlag:
Anfang April laufen die Hacker zur Hochform auf:
In den folgenden Tagen veröffentlicht die Enthüllungs-Plattform DDoSecrets diese Daten:
Es vergeht fast kein Tag ohne neues Datenleck:
Mitte April trifft es die Öl- und Gasindustrie:
In der zweiten Aprilhälfte schalten die Hacker nochmals einen Gang hoch:
Ende April werden die Leaks grösser:
JSC Bank PSCB, you are now controlled by Network Battalion 65. We're very thankful that you store so many credentials in Chrome. Well done.
— NB65 (@xxNB65) April 18, 2022
It's obvious that incident response has started. Good luck getting your data back without us.
Tell your government to GTFO of #Ukraine pic.twitter.com/1HYikMU99N
Am 1. Mai verkündete die Hackergruppe Network Battalion 65', dass sie den russischen Online-Zahlungsanbieter Qiwi – quasi das Paypal von Russland – gehackt habe. Laut Hackern wurden die Systeme von Qiwi mit Ransomware verschlüsselt und 12,5 Millionen Kreditkartendaten gestohlen. Die am Sonntag auf Twitter veröffentlichte Nachricht endet mit dem Satz: «Wenn ihr jemanden sucht, den ihr für eure aktuelle Situation verantwortlich machen könnt, dann wendet auch an euren Präsidenten Wladimir Putin.»
Gemäss Bekennerschreiben zeigte sich Qiwi von den internationalen Sanktionen bislang unbeeindruckt. Die Verschlüsselung ihrer IT-Systeme werde die Geschäfte des Zahlungsdienstleisters «definitiv beeinträchtigen», glauben die Hacker.
Solange die russische Invasion anhält, werden auch die Angriffe von Hacktivisten fortwähren. Die Frage ist: Bringt das überhaupt etwas?
Obwohl die Menge der Datenlecks enorm scheint, dürften die Hacks momentan eines der kleineren Probleme der russischen Führung sein. Denn der Grossteil der angeblich zehn Millionen gehackter E-Mails und Dateien dürfte vollkommen wertlos sein.
Wie DDoS-Angriffe gegen Webseiten sind auch Datenlecks bei russischen Behörden und Unternehmen nur Nadelstiche. Sie halten die russische Cyberabwehr im besten Fall beschäftigt und ärgern den Kreml vielleicht, haben aber auf den Kriegsverlauf kaum einen Einfluss.
Es ist insbesondere ein Irrtum zu glauben, dass russische Beamte oder Führungskräfte durch die Veröffentlichung ihrer Daten irgendwie beschämt oder abgeschreckt werden. Es entsteht auch kaum Druck auf Putin, da sich Behörden- und Konzern-Chefs – die seit Jahren vom System-Putin profitieren – deswegen kaum mit ihm anlegen werden.
Kommt hinzu: Die russische Bevölkerung bekommt von all dem nichts mit. Staatsnahe russische Medien erwähnen die Cyberangriffe, die auch persönliche Daten russischer Bürger betreffen, mit keinem Wort, da der Machtapparat streng gegen Medien vorgeht, die nicht auf Putins Linie berichten. Wenn überhaupt schreiben nur kleinere, unabhängige russische Medien aus dem Exil über die Cyberangriffe.
Selbst westliche Medien berichten höchstens am Rande über die Datenlecks. Hier spielt die Sprachbarriere eine entscheidende Rolle: Die gehackten Daten sind so gut wie immer in russischer Sprache verfasst und es würde wohl Jahre dauern, sämtliches Material auszuwerten. Aktuell, so scheint es, wird viel gehackt, aber kaum etwas analysiert. Die Leaks verpuffen wirkungslos.
It's going to take YEARS for journalists, researchers and the general public to go through all the Russian data that's being leaked in response to the invasion of Ukraine
— Emma Best 🏳️🌈🏴 (@NatSecGeek) March 25, 2022
Die im Dunstkreis von Anonymous agierende Hackergruppe Network Battalion 65' ging daher zuletzt dazu über, Daten russischer Firmen zu verschlüsseln. Angriffe mit Ransomware und Wiper-Software (Schadprogramme, die IT-Systeme verschlüsseln, respektive Computer löschen) wären weit wirkungsvoller, als grösstenteils wertlose E-Mails zu leaken. Die Tatsache, dass dies kaum geschieht, lässt erahnen, dass die meisten Hacktivisten dazu schlicht nicht im Stande sind.
Bleibt eine Frage: Sind die massenhaft geleakten Daten überhaupt echt?
Die Transparenz-Aktivistinnen und Aktivisten von DDoSecrets sagen, sie prüften das eingereichte Material vor der Publikation. Veröffentlicht werde, was von öffentlichem Interesse sei. Ist dies der Fall, werde entschieden, ob die Daten vollständig veröffentlicht oder bestimmte sensible Informationen nur ausgewählten Medien und Wissenschaftlern zur Verfügung gestellt werden.
Stichprobenartige Auswertungen einiger weniger Journalisten lassen darauf schliessen, dass die Daten grösstenteils echt sind. Bei inzwischen Millionen geleakter E-Mails und Dateien lässt sich aber nicht jeder Datensatz lückenlos prüfen. Ob die erbeuteten Daten in jedem Fall authentisch sind – oder beispielsweise teils aus früheren Datenlecks stammen oder gar manipuliert sind – lässt sich naturgemäss nicht so einfach verifizieren. Doch zumindest kann sich dank DDoSecrets jeder selbst ein Bild machen.