Cyberkrieg gegen Putin: Russland wird in einem noch nie dagewesenen Ausmass gehackt
Nur wenige Stunden nach Beginn der russischen Grossoffensive in der Ukraine erklärten Hacktivisten dem Kreml den Cyberkrieg. Insbesondere das globale Hacker-Kollektiv Anonymous kündigte umgehend «gross angelegte» Cyberangriffe an. Zwei Tage später rief die ukrainische Regierung alle, die können und wollen, dazu auf, sich am Krieg im Netz gegen Russland zu beteiligen. Auf Twitter verkündete Digitalminister Mykhailo Fedorov Ende Februar den Aufbau einer freiwilligen «IT Army of Ukraine».
Was ist gut zwei Monate später daraus geworden?
Stand heute lässt sich sagen: Hacktivisten knöpfen sich derzeit pro Woche mehrere russische Behörden, Banken, Medien oder Energiekonzerne vor. Eine derart konzentrierte, andauernde und unerbittliche Cyber-Kampagne gegen einen Staat ist in der Geschichte einmalig.
Im Telegram-Kanal der «IT Army» werden seit über zwei Monaten täglich die neusten Ziele ausgegeben, die Freiwillige aus aller Welt lahmlegen sollen. Etwa russische Bezahlsysteme, Behördenseiten oder Unternehmen der Luftfahrtbranche. Solche DDoS-Angriffe können aber nicht direkt den Kriegsverlauf beeinflussen, höchstens sporadisch das russische Alltagsleben stören.
Auf der Webseite der IT Army sieht man fast in Echtzeit, welche Ziele angegriffen werden und ob sie online oder offline sind.
Telegram-Kanal der freiwilligen «IT Army of Ukraine»:
Pro-ukrainische Hacker ändern ihre Taktik
Wurden bei Kriegsbeginn vor allem russische Webseiten lahmgelegt oder verunstaltet, gehen die Angriffe inzwischen teils deutlich darüber hinaus. Pro-ukrainischen Hacker nutzen inzwischen auch Verschlüsselungs-Trojaner, um Unternehmen komplett lahmzulegen. Für Russland ist das eine ungewohnte Situation: Bislang gingen solche Ransomware-Angriffe von kriminellen russischen Erpresserbanden aus, die mit dem Segen des Kreml westliche Firmen ins Visier nahmen und heimische Unternehmen verschonten. Auf diese Angriffsart sind russische Firmen daher mutmasslich schlecht vorbereitet.
Was auffällt: Seit einigen Wochen werden immer öfter gewaltige Datenmengen von Behörden und teils kremlnahen Unternehmen erbeutet. Die Hacker stellen dieses Material Journalisten, Wissenschaftlerinnen und oft auch der Allgemeinheit zur Verfügung. Dass die Intensität der Hacker-Kampagne enorm ist, zeigt sich darin, dass die unabhängige Enthüllungsplattform Distributed Denial of Secrets (DDoSecrets) mit neuen Datenlecks überschwemmt wird und kaum mehr nachkommt, die von Hacktivisten erbeuteten Dokumente online zu stellen. Ob diese Daten wertvoll sind, ist eine ganz andere Frage (dazu später mehr).
Die 2019 von Transparenz-Aktivistinnen und -Aktivisten gegründete Nonprofit-Organisationen DDoSecrets bietet derzeit mehr als 40 teils online durchsuchbare Datensätze zu russischen Behörden und Unternehmen an. Darunter angeblich Daten der russischen Zentralbank, der Zensurbehörde Roskomnadsor sowie mit Sicherheit der staatlichen Fernseh- und Radiogesellschaft, der jüngst über 900'000 E-Mails «abhanden gekommen» sind.
DDoSecrets – quasi der Nachfolger von Wikileaks – hat allein seit Beginn des Angriffskrieges über 30 Datensätze russischer Herkunft analysiert und veröffentlicht, die ihnen meist von anonymen Hacktivisten zugespielt wurden. Die Hacker sehen sich in aller Regel als Teil der internationalen Hacker-Bewegung Anonymous. Seit Beginn der Invasion hat DDoSecrets über 5,8 Terabyte Daten und rund 10 Millionen Dateien und E-Mails gehackter russischer Firmen und Behörden offengelegt. Es ist nicht übertrieben zu sagen, dass die Plattform zum zentralen Archiv für Datenlecks aus Russland wurde.
Diese russischen Ziele wurden bislang gehackt
Am 26. Februar, zwei Tage nach Beginn der russischen Invasion, veröffentlichte DDoSecrets 200 Gigabyte E-Mails des belarussischen Waffenherstellers Tetraedr. Die Hacker nennen sich «Anonymous Liberland and the Pwn-Bär Hack Team».
The contents of this leak do appear to be legitimate.
— Mikael Thalen (@MikaelThalen) February 26, 2022
Emails from the inboxes of employees at the Belarusian weapons manufacturer Tetraedr.
Have seen missile testing footage, PDF schematics for weapons systems, and detailed brochures for armored vehicles. https://t.co/wGTa9ilFyE
Anfang März veröffentlichte DDoSecrets 820 Gigabyte gehackte Daten von Roskomnadsor, der russischen Bundesbehörde, die für die Überwachung, Kontrolle und Zensur der russischen Massenmedien zuständig ist. Das Datenleck, zu dem sich Hacktivisten der Anonymous-Bewegung bekannt haben, umfasst 360'000 Dateien.
Mitte März veröffentlichte DDoSecrets 79 Gigabyte E-Mails von Omega, der Forschungsabteilung des weltweit grössten Ölpipeline-Konzerns Transneft, der in Russland staatlich kontrolliert wird.
Hackers have leaked 79 GB of emails from Russia's state-controlled pipeline company Transneft to the journalist non-profit DDoSecrets.
— Mikael Thalen (@MikaelThalen) March 17, 2022
The hackers have sarcastically dedicated the leak to Hillary Clinton, who called on Anonymous to hack Russia during a recent MSNBC interview. pic.twitter.com/vPU8pIfJDY
Ab Mitte März geht es Schlag auf Schlag:
- 110 Gigabyte (140'000 E-Mails) von MashOil, einem russischen Konzern, der Ausrüstung für die Bohr-, Bergbau- und Fracking-Industrie entwickelt.
- 51,9 GB (62'000 E-Mails) der Marathon Group, einer Investmentfirma, die dem von der EU sanktionierten russischen Oligarchen Alexander Winokurow gehört, dem Schwiegersohn des russischen Aussenministers Sergej Lawrow.
- 22,5 GB Daten, die von der russischen Zentralbank stammen sollen.
- 15 GB (Dokumente und Fotos) von Rosatom, der staatlichen Atomenergiegesellschaft.
- 5,9 GB (5500 E-Mails) von Thozis, einer russischen Investmentfirma im Besitz des milliardenschweren Oligarchen Zakhar Smushkin.
- 2,4 GB E-Mails von RostProekt, einem russischen Baukonzern.
Anfang April laufen die Hacker zur Hochform auf:
- 15 GB (57'500) E-Mails der Wohltätigkeitsorganisation der russisch-orthodoxen Kirche, die Putins Invasion nicht verurteilt. Das Leak soll zeigen, dass von Russland verschleppte Ukrainer in Klöstern und Unterkünften der russisch-orthodoxen Kirche untergebracht, respektive gefangen gehalten werden. Die Kirche schreibt auf ihrer Webseite, dass man 32'000 Flüchtlinge betreue.
- 483 GB (150'000 E-Mails und 8200 Dokumente) von Mosekspertiza, einem staatlichen Unternehmen der Moskauer Handelskammer.
- 786 GB (900'000 E-Mails) der staatlichen Fernseh- und Rundfunkanstalt (VGTRK), die Dutzende von Fernseh- und Radiosender in ganz Russland betreibt. Die gestohlenen E-Mails zeigen, dass russische Staatsmedien versuchen, die westliche Berichterstattung zum Ukrainekrieg als Lügen zu brandmarken, indem sie Falschmeldungen aus zwielichtigen Telegram-Kanälen zitieren, die selbst nichts anderes tun, als am Laufband Fake News zu produzieren.
Auszug aus einer erbeuteten E-Mail des Staatsfernsehens:
In den folgenden Tagen veröffentlicht die Enthüllungs-Plattform DDoSecrets diese Daten:
- 65 GB (200'000 E-Mails) der Anwaltskanzlei Capital Legal Services.
- 244 GB E-Mails von Petrofort, einem der grössten Geschäftszentren in Sankt Petersburg.
- 154 GB E-Mails von Aerogas, einem Ingenieurbüro, das in der Öl- und Gasindustrie tätig ist.
- 35,7 GB E-Mails von Forest, einem russischen Holzverarbeitungsunternehmen.
Es vergeht fast kein Tag ohne neues Datenleck:
- 446 GB (230'000 E-Mails) aus dem Kulturministerium der Russischen Föderation. Die Regierungsbehörde ist für die staatliche Politik in den Bereichen Kunst, Film, Urheberrecht und in einigen Fällen für die Zensur zuständig.
- 150 GB E-Mails der Stadtverwaltung von Blagoweschtschensk, einer Stadt an der Grenze zu China.
- 116 GB E-Mails aus dem Büro des Gouverneurs der Oblast Twer, einer Region nordwestlich von Moskau.
Mitte April trifft es die Öl- und Gasindustrie:
- 440 GB (495'000 E-Mails) von Technotec, einer Unternehmensgruppe, die Chemikalien für Öl- und Gas-Konzerne liefert.
- 728 GB (768'000 E-Mails) von Gazprom Linde Engineering, einem Unternehmen, das Gas- und petrochemische Verarbeitungsanlagen sowie Ölraffinerien entwirft.
- 222 GB E-Mails und Daten von Gazregion, einem Bauunternehmen, das auf den Bau von Gaspipelines spezialisiert ist. Zu seinen Kunden zählt der russische Energiekonzern Gazprom. Fun Fact: Gazregion wurde fast zeitgleich von drei Hacker-Gruppen kompromittiert, welche die Daten jeweils DDoSecrets weiterleiteten.
In der zweiten Aprilhälfte schalten die Hacker nochmals einen Gang hoch:
- 221 GB (250'000 E-Mails) aus der Bildungsabteilung der russischen Stadt Strezhevoy.
- 399 GB (Dokumente und Datenbanken) von Continent Express, einem russischen Reisebüro.
- 107 GB (87'500 E-Mails) von Neocom Geoservice, einem Ingenieurbüro, das sich auf Öl, Gas und Bohrungen spezialisiert hat.
- 1,2 GB (Videos und Dateien) der belarussischen Firma Synesis Surveillance System, die Überwachungssysteme entwickelt und von der EU und den USA sanktioniert wird.
- 9,5 GB (15'600) E-Mails einer Baufirma des russischen Verteidigungsministeriums.
- 160 GB (426'000 E-Mails) von Tendertech, einem Unternehmen, das Finanzdienstleistungen anbietet.
- 130 GB (250'000 E-Mails) von Worldwide Invest, einer russischen Investmentfirma.
- 432 GB (575'000 E-Mails) der russischen Immobilienverwaltungs-Firma Sawatzky. Zu ihren Kunden gehören Swatch, Google, Microsoft, Samsung und Johnson & Johnson.
- 221 GB (365'000 E-Mails) von Accent Capital, einer russischen Investmentfirma für gewerbliche Immobilien.
- 342 GB (645'000 E-Mails) von Enerpred, dem grössten Hersteller von Hydraulikwerkzeugen in Russland, der in den Bereichen Energie, Petrochemie, Kohle, Gas und Bauwesen tätig ist.
Ende April werden die Leaks grösser:
- 25. April: 1,1 TB (mehr als eine Million E-Mails) von ALET, einem Zollvermittler, der für Gazprom und Co. Ausfuhren und Zollerklärungen für Kohle, Rohöl, Flüssiggase und Erdölprodukte abwickelt.
- 27. April: 542 GB (229'000 E-Mails und 630'00 Dateien) der Petersburg Social Commercial Bank, besser bekannt als PSCB Bank.
JSC Bank PSCB, you are now controlled by Network Battalion 65. We're very thankful that you store so many credentials in Chrome. Well done.
— NB65 (@xxNB65) April 18, 2022
It's obvious that incident response has started. Good luck getting your data back without us.
Tell your government to GTFO of #Ukraine pic.twitter.com/1HYikMU99N
- 30. April: 1,7 TB (1,23 Millionen E-Mails) von Elektrocentromontazh (ECM), einem staatlichen Energiekonzern.
Am 1. Mai verkündete die Hackergruppe Network Battalion 65', dass sie den russischen Online-Zahlungsanbieter Qiwi – quasi das Paypal von Russland – gehackt habe. Laut Hackern wurden die Systeme von Qiwi mit Ransomware verschlüsselt und 12,5 Millionen Kreditkartendaten gestohlen. Die am Sonntag auf Twitter veröffentlichte Nachricht endet mit dem Satz: «Wenn ihr jemanden sucht, den ihr für eure aktuelle Situation verantwortlich machen könnt, dann wendet auch an euren Präsidenten Wladimir Putin.»
Gemäss Bekennerschreiben zeigte sich Qiwi von den internationalen Sanktionen bislang unbeeindruckt. Die Verschlüsselung ihrer IT-Systeme werde die Geschäfte des Zahlungsdienstleisters «definitiv beeinträchtigen», glauben die Hacker.
Solange die russische Invasion anhält, werden auch die Angriffe von Hacktivisten fortwähren. Die Frage ist: Bringt das überhaupt etwas?
Viele Leaks, wenig Wirkung?
Obwohl die Menge der Datenlecks enorm scheint, dürften die Hacks momentan eines der kleineren Probleme der russischen Führung sein. Denn der Grossteil der angeblich zehn Millionen gehackter E-Mails und Dateien dürfte vollkommen wertlos sein.
Wie DDoS-Angriffe gegen Webseiten sind auch Datenlecks bei russischen Behörden und Unternehmen nur Nadelstiche. Sie halten die russische Cyberabwehr im besten Fall beschäftigt und ärgern den Kreml vielleicht, haben aber auf den Kriegsverlauf kaum einen Einfluss.
Es ist insbesondere ein Irrtum zu glauben, dass russische Beamte oder Führungskräfte durch die Veröffentlichung ihrer Daten irgendwie beschämt oder abgeschreckt werden. Es entsteht auch kaum Druck auf Putin, da sich Behörden- und Konzern-Chefs – die seit Jahren vom System-Putin profitieren – deswegen kaum mit ihm anlegen werden.
Kommt hinzu: Die russische Bevölkerung bekommt von all dem nichts mit. Staatsnahe russische Medien erwähnen die Cyberangriffe, die auch persönliche Daten russischer Bürger betreffen, mit keinem Wort, da der Machtapparat streng gegen Medien vorgeht, die nicht auf Putins Linie berichten. Wenn überhaupt schreiben nur kleinere, unabhängige russische Medien aus dem Exil über die Cyberangriffe.
Selbst westliche Medien berichten höchstens am Rande über die Datenlecks. Hier spielt die Sprachbarriere eine entscheidende Rolle: Die gehackten Daten sind so gut wie immer in russischer Sprache verfasst und es würde wohl Jahre dauern, sämtliches Material auszuwerten. Aktuell, so scheint es, wird viel gehackt, aber kaum etwas analysiert. Die Leaks verpuffen wirkungslos.
It's going to take YEARS for journalists, researchers and the general public to go through all the Russian data that's being leaked in response to the invasion of Ukraine
— Emma Best 🏳️🌈🏴 (@NatSecGeek) March 25, 2022
Die im Dunstkreis von Anonymous agierende Hackergruppe Network Battalion 65' ging daher zuletzt dazu über, Daten russischer Firmen zu verschlüsseln. Angriffe mit Ransomware und Wiper-Software (Schadprogramme, die IT-Systeme verschlüsseln, respektive Computer löschen) wären weit wirkungsvoller, als grösstenteils wertlose E-Mails zu leaken. Die Tatsache, dass dies kaum geschieht, lässt erahnen, dass die meisten Hacktivisten dazu schlicht nicht im Stande sind.
Sind die Daten echt?
Bleibt eine Frage: Sind die massenhaft geleakten Daten überhaupt echt?
Die Transparenz-Aktivistinnen und Aktivisten von DDoSecrets sagen, sie prüften das eingereichte Material vor der Publikation. Veröffentlicht werde, was von öffentlichem Interesse sei. Ist dies der Fall, werde entschieden, ob die Daten vollständig veröffentlicht oder bestimmte sensible Informationen nur ausgewählten Medien und Wissenschaftlern zur Verfügung gestellt werden.
Stichprobenartige Auswertungen einiger weniger Journalisten lassen darauf schliessen, dass die Daten grösstenteils echt sind. Bei inzwischen Millionen geleakter E-Mails und Dateien lässt sich aber nicht jeder Datensatz lückenlos prüfen. Ob die erbeuteten Daten in jedem Fall authentisch sind – oder beispielsweise teils aus früheren Datenlecks stammen oder gar manipuliert sind – lässt sich naturgemäss nicht so einfach verifizieren. Doch zumindest kann sich dank DDoSecrets jeder selbst ein Bild machen.
- Diese Karte verrät, woher die russischen Soldaten kommen – es gibt ein klares Muster
- Ukraine veröffentlicht Identität der russischen Soldaten, die in Butscha waren
- Anonymous hackt Putin-nahen Ölkonzern Rosneft und löscht iPhones
- Warum «Querdenker» und Impfgegner jetzt pro Putin sind
- Cyberkrieg gegen Ukraine: Microsoft schlägt Putins Elite-Hackern ein Schnippchen
- USA veröffentlichen Namen und Fotos russischer Elite-Hacker – das steckt dahinter
