Diesen Donnerstag wird der ukrainische Präsident Selenskyj (hier mit Bundesrat Ignazio Cassis) eine Botschaft ans Schweizer Parlament richten. Es drohen neue DDoS-Attacken.archivBild: keystone
Analyse
Die pro-russische Hacktivisten-Gruppe «NoName057(16)» führt ihre DDoS-Attacken gegen Schweizer Server unvermindert weiter. watson-Recherchen zeigen, wie sich die Kriminellen bei Telegram organisieren.
13.06.2023, 16:3814.06.2023, 06:26
Folge mir
Die Server-Überlastungsangriffe gegen Schweizer Ziele sind am Dienstag unvermindert weitergegangen. Hinter den DDoS-Attacken steckt ein pro-russisches Online-Kollektiv, das sich «NoName057(16)» nennt. Die Mitglieder tauschen sich über den Messenger-Dienst Telegram aus.
Wen haben die Angreifer im Visier?
Die in der letzten Woche gestarteten DDoS-Attacken intensivierten sich am Montag und richteten sich insbesondere gegen Server der Bundesverwaltung.
Am Dienstag folgten weitere Server-Überlastungsangriffe, unter anderem gegen die Flughäfen im ganzen Land. So zum Beispiel gegen den Internetauftritt des Regionalflugplatzes Grenchen SO. Aber auch die Server des internationalen Flughafens Genf wurden durch die massenhaften Anfragen vorübergehend in die Knie gezwungen.
Im Telegram-Kanal feierten die unbekannten Kriminellen ihren angeblich durchschlagenden Erfolg mit diversen Postings. Den erfolgreich «abgeschossenen» Zielen widmeten sie Grafiken mit einem Bären – dem Symboltier Russlands.
Flughafen Bern: «down»
Screenshot: watson / Telegram
Screenshot: watson
Genève Aéroport: «down»
screenshot: watson / telegram
Flugplatz Grenchen: «down»
Screenshot: watson / Telegram
Website der Schweizer Armee: vorübergehend «down»
screenshot: watson / telegram
Der Internetauftritt der Schweizer Armee unter vgt.admin.ch war am Dienstagmorgen temporär nicht erreichbar. Am Nachmittag war die Webseite wieder normal verfügbar.
Auch die Website des Engadin Airport, die am Dienstagmorgen mit Störungen zu kämpfen hatte, war am Dienstagnachmittag wieder normal zu erreichen. Die gleiche Beobachtung machten Aviatik-Interessierte in der Ostschweiz.
Flughafen St.Gallen Altenrhein: vorübergehend «down»
Die Website war am Dienstagmorgen nicht mehr erreichbar. Dann normalisierte sich die Situation.screenshot: watson / telegram
Neben den Flughäfen wurden am Dienstag auch scheinbar willkürlich ausgewählte Schweizer Ziele attackiert, wie eine Firma, die Helikopterflüge anbietet.
Bei Telegram verlinken die Angreifer jeweils auf den Online-Dienst check-host.net. Auf den entsprechenden Statistik-Seiten zu den einzelnen Internetadressen (wie vgt.admin.ch) ist die «Down Time» des Webauftritts ersichtlich.
Dieser Screenshot zeigt, dass der Webauftritt unter vtg.admin.ch Dienstagfrüh nicht erreichbar war.screenshot: check-host.net
Wie gefährlich sind diese DDoS-Angriffe?
Es handelt sich nicht um Hackerangriffe, bei denen mit technischer Raffinesse in geschützte IT-Netzwerke eingedrungen wird, um dort Daten zu stehlen oder Systeme zu schädigen. DDoS-Attacken sind so etwas wie Cyber-Randale. Man könnte auch sagen: sehr viel Rauch, wenig Feuer.
Nicht zu unterschätzen ist jedoch der Schaden, der durch die zum Teil während Stunden anhaltende Offline-Zeit der Webauftritte und Online-Dienste angerichtet wird.
- Zum einen ist da ein beträchtlicher Image-Schaden, wenn es den Angegriffenen nicht zeitnah gelingt, wirksame Abwehrmassnahmen in die Wege zu leiten. Auch grosse ausländische Medien wie die BBC haben bereits über die entsprechenden Attacken berichtet. Auch dies wird von den Hacktivisten erfreut zur Kenntnis genommen.
- Zum andern kann den von den Attacken direkt betroffenen Organisationen durch eine anhaltende Online-Störung ein wirtschaftlicher Schaden entstehen.
- Schliesslich ist von einer gewissen psychologischen Wirkung auszugehen: Niemand lässt sich gern attackieren. In der Bevölkerung, insbesondere bei wenig IT-affinen Personen, können Schlagzeilen zu Verunsicherung führen.
Ein aus dem Russischen übersetztes Telegram-Posting, das auf einen Bericht der britischen BBC verweist.
Warum wird die Schweiz attackiert?
In einem weiteren Telegram-Kanal ist ein im vergangenen Jahr veröffentlichtes Manifest der Gruppierung «NoName057(16)» zu finden, auf das sie immer noch verweist. Es richtet sich an freiwillige Unterstützerinnen und Unterstützer.
Diese Grafik wurde zusammen mit dem Manifest-Text (unten) veröffentlicht.Screenshot: watson / Telegram
Manifest von «NoName057(16)»
«Jede Aktion löst eine Reaktion aus. Gegen Russland wird ein offener Informationskrieg geführt. Westliche Russophobe nutzen die administrativen, finanziellen und technischen Ressourcen ausländischer Staaten und verüben Angriffe auf die Infrastruktur der Russischen Föderation.
Wir haben nicht die Absicht, tatenlos zuzusehen, und als Reaktion auf ihre feindseligen, offen antirussischen Aktionen werden wir angemessen reagieren. Es ist nicht hinnehmbar, dass Russophobie zur Norm wird!
Wir werden niemals Unschuldigen Schaden zufügen und unser Handeln ist eine Reaktion auf die überstürzten Taten all derer, die eine offen feindselige Haltung eingenommen haben. Wir verfügen über genügend Wissen, Kraft und Erfahrung, um die Gerechtigkeit dort wiederherzustellen, wo sie verletzt wurde. Wir greifen uns selbst nicht aufgrund unserer Überzeugungen an. Unser Vaterland ist unsere Stärke.
Wir arbeiten nicht im Rahmen kommerzieller Aufträge und schliessen keine Rechnungen zwischen Wettbewerbern ab.
Wir sind bereit, mit Hackergruppen und ‹Freischützen› zusammenzuarbeiten, die unsere im Manifest aufgeführten Werte teilen.
Die Stärke liegt in der Wahrheit, und darauf stehen wir!»
quelle: telegram / aus dem russischen übersetzt
Es scheint jedoch auch Unterstützer im Westen zu geben, die vermutlich eher persönliche Motive verfolgen ...
screenshot: watson
Warum ist am Donnerstag erneut mit massiven Angriffen zu rechnen?
Dann wird sich der ukrainische Präsident Wolodymyr Selenskyj in einer Live-Schaltung an die Schweiz wenden.
Im Hinblick auf die Videoübertragung der Ansprache im Nationalratssaal erklärte das Nationale Zentrum für Cybersicherheit des Bundes (NCSC), die Parlamentsdienste würden alles für einen reibungslosen Ablauf unternehmen. Konkrete Angaben über die Massnahmen gebe es aber aus Sicherheitsgründen nicht, berichtete Keystone-SDA.
«Während die Schweizer Behörden weiterhin Waffen an die ukrainischen Nazis liefern, bestrafen wir weiterhin die russophoben Portale dieses Landes.»
Auf russischer Desinformation und Propaganda basierende Drohung von «NoName057(16)»
Wer sind die Angreifer und was haben sie davon?
Den Postings in den einschlägigen Telegram-Gruppen nach zu urteilen, sind es russischsprachige User. Die selbsternannten russischen Patrioten scheinen aber tatsächlich auch einen gewissen Zuspruch aus westlichen Ländern zu erhalten. Sei dies aus Westeuropa oder aus Nordamerika.
Tatsächlich winkt den aktivsten DDoS-Kämpfern auch eine finanzielle Entschädigung, wie wir gleich sehen.
Bei Telegram tritt das sogenannte «DDosia-Projekt» in Erscheinung, ein Freiwilligenprojekt zur Verwendung spezieller Software, um das pro-russische Hacktivisten-Team bei der Durchführung von Cyberattacken zu unterstützen. Es gibt sogar einen Online-Support, der Neulingen hilft.
Tatsache ist: Mit einem gewissen technischen Grundverständnis bzw. Informatik-Kenntnissen ist es für Menschen rund um den Globus möglich, an den DDoS-Attacken teilzunehmen. Dazu muss man lediglich eine bei Telegram verfügbare Software herunterladen und installieren und mithilfe eines sogenannten VPN-Dienstes die eigene Internetadresse verschleiern. Quasi auf Knopfdruck kann man sich anschliessend an den automatisierten Attacken beteiligen.
Fragt sich, wer so unvorsichtig bzw. dumm ist, ein potenziell bösartiges Tool aus unbekannter Quelle auf dem eigenen Gerät zu installieren?
Das DDoS-Tool gibt es für alle gängigen Windows-PCs, Linux-Rechner und Mac-Computer.Screenshot: watson
Wer die vom DDosia-Projekt angebotene Software nutzen will, um sich an Angriffen zu beteiligen, soll ein Kryptowährungskonto einrichten und sich bei einem bestimmten Server anmelden. Tatsächlich winkt den aktivsten Kämpfern auch noch eine finanzielle Entschädigung für ihr Engagement. In einem russischsprachigen Erklärartikel heisst es:
«Wir bitten euch, das Projekt als freiwillig und unverbindlich zu betrachten. Die Auszahlung der Vergütung an die Krypto-Wallet der aktivsten Teilnehmer des Projekts erfolgt einmal im Monat. Ihr solltet dies jedoch nicht als Gehalt zu einem bestimmten Zeitpunkt betrachten und noch mehr verlangen.»
quelle: telegra.ph / aus dem russischen übersetzt
Vereinzelt gibt es auch Zuspruch aus der Schweiz
bild: watson / screenshot: telegram
PS: Ebenfalls am Dienstag zeigte sich bei Telegram, dass die pro-russischen Hacktivisten ein weiteres europäisches Land ins Visier nehmen: Kurz darauf war die Website des isländischen Parlaments nicht mehr erreichbar.
Quellen
Zur Vorgeschichte:
Ukraine veranstaltet «Militärparade» und trollt Putin
1 / 14
Ukraine veranstaltet «Militärparade» und trollt Putin
Als die Russen im Februar 2022 die Ukraine überfielen, planten sie, wenige Tage später im Zentrum Kiews eine Parade abzuhalten. Doch es kam anders ...
quelle: keystone / roman pilipey
Bald keine Handwerker mehr? Dieser Roboter könnte zur Konkurrenz werden
Video: watson
Das könnte dich auch noch interessieren:
Am Freitag ist der langjährige Bundesratssprecher und Vizekanzler André Simonazzi bei einer Wanderung unerwartet gestorben. Simonazzis Stelle soll nun zeitnah öffentlich ausgeschrieben werden. Das hat der Bundesrat am Mittwoch entschieden.
Der Bundesrat ernannte die 1962 geborene Eggenberger zur Vizekanzlerin und Bundesratssprecherin ad interim, wie er mitteilte. Sie sei eine ausgewiesene Kommunikationsspezialistin und führe seit 2011 die Sektion Kommunikation der Bundeskanzlei. «Somit war sie die engste Mitarbeiterin von André Simonazzi.»
