Russlands Überfall auf den Nachbarstaat hat Hacktivisten in nie dagewesener Zahl mobilisiert. Seit dem 24. Februar häufen sich die Meldungen über «Cyberangriffe» auf russische Ziele. Anonymous hat Putin den Krieg erklärt.
Dabei handelt es sich vor allem um Aktionen mit Symbolwert, um Online-Vandalismus und «Nadelstiche», die in der Social-Media-Öffentlichkeit gefeiert werden, aber das Kriegsgeschehen nicht wahrnehmbar beeinflussen.
Um die mit Abstand gefährlichsten Gruppierungen blieb es derweil verdächtig ruhig: Während die profitorientierten russischen Ransomware-Banden nach Putins Überfall versuchten, ihre erbosten ukrainischen «Partner» im Zaum zu halten, agierten die staatlichen Elite-Hacker im Dunkeln.
Russlands Invasion war von Server-Überlastungsangriffen begleitet, sogenannten DDoS-Attacken. Der ukrainische Staatsapparat wurden zudem von heimlich eingeschleuster Malware heimgesucht. Ferngesteuerte Wiper-Programme versuchten, Festplatten in Reichweite zu löschen. Und das war‘s?
In einer Artikel-Serie gehen wir der Frage nach, wer die staatlichen Schattenkrieger sind und wie gross ihr Schadenspotenzial wirklich ist. Der erste Teil dreht sich um Russland und Belarus.
Im Folgenden geht es um die Akteure, die abseits der Schlachtfelder im Cyberspace agieren und sich im Gegensatz zu herkömmlichen Soldaten nicht zu erkennen geben und auch keine öffentlichen Verlautbarungen à la Anonymous und Co. verbreiten. Gemeint sind die sogenannten APT-Gruppen (das Kürzel wird in der Infobox unten erklärt).
Was die Gefährlichkeit der in dieser Artikel-Serie vorgestellten Hackergruppen betrifft, vergebe ich bei der Beurteilung Totenköpfe. ☠️ Je mehr, desto gefährlicher. Dabei handelt es sich um eine persönliche Einschätzung, die auf bekannten Attacken und gesicherten Informationen von IT-Sicherheitsunternehmen und renommierten Analysten basiert.
Einzelne APT-Gruppen besitzen mit grösster Wahrscheinlichkeit Cyberwaffen, deren Einsatz ganze Länder ins Elend stürzen können. Wegen des damit verbundenen Risikos eines eskalierenden kriegerischen Konflikts bis hin zu einem Atomwaffen-Einsatz habe ich diese gefährlichsten Akteure zusätzlich mit dem Radioaktivitäts-Symbol ☢️ gekennzeichnet.
Ein anderes Worst-Case-Szenario ist, dass Cyberwaffen in falsche Hände fallen. Dem US-Geheimdienst NSA, einem der mächtigsten Player, ist dies schon mehrfach passiert.
Schliesslich ist daran zu erinnern, dass die verheerendsten Cyber-Attacken der Vergangenheit nie mit absoluter Sicherheit einem Land zugeordnet werden konnten. Die Spezialisten sprechen von einem «Attributionsproblem».
Nach internationalem Recht müssen sich Staaten zu erkennen geben, wenn sie kriegerisch angreifen. Das gilt allerdings nicht für den Cyberspace, wo sich auch die USA und ihre Verbündeten alle Optionen offen halten wollen.
Tatsächlich ist es so, dass viele Cyberangriffe unter falscher Flagge geführt werden – was zu falschen Schuldzuweisungen mit potenziell verheerenden Folgen führen kann.
IT-Forensiker wissen: Je ausgefeilter ein Angriff, desto schwieriger ist es, ihn einem Aggressor zuzuordnen. Die für die Angriffe verantwortlichen IT-Spezialisten bleiben anonym. Höchst selten kommt es zu einer Anklage.
Das Hauptziel von Cozy Bear ist es, Nato-Verbündete auszuspionieren, also militärische «Aufklärung» zu betreiben. Die Gruppe hat in der Vergangenheit auch die Nachbarn Russlands attackiert, darunter China, die Ukraine, Usbekistan und andere transkaukasische Nationen.
Die Spear-Phishing-Angriffe von Cozy Duke gelten als dermassen ausgeklügelt, dass es sogar gelingt, Personen mit regelmässigen Cybersicherheitsschulungen zu täuschen – wie Regierungsmitarbeiter und Softwareingenieure.
Einmal eingedrungen, verstehen es die Hacker perfekt, sich für lange Zeit im fremden IT-System einzunisten.
Die Gruppe nutzt selbstentwickelte Schadprogramme, wie etwa «Toolkits», um Netzwerke zu infiltrieren und Daten unbemerkt auszuschleusen. Bekannte Beispiele sind:
Cozy Bear gehört laut US-amerikanischen Sicherheitsexperten zum russischen Auslandsgeheimdienst (SWR), und dieser wiederum steht eigentlich in Konkurrenz zum Militärgeheimdienst GRU und dem Inlandsgeheimdienst FSB.
Gelegentlich kooperiert die Gruppe mit einer anderen russischen Cyberspionage-Gruppe namens Fancy Bear. Diese gehört laut Beobachtern zum russischen Militärgeheimdienst GRU, dem gefährlichsten Akteur aufseiten Russlands.
Während die USA mit Stuxnet eine Cyberwaffe entwickelten, die Atomwaffen-Zentrifugen zerstören konnte, ist auch Sandworm in der Lage, mit eigener Schadsoftware immensen Schaden in der physischen Welt anzurichten.
Gemäss Einschätzung renommierter IT-Sicherheitsfirmen steckt eine russische Cybermilitäreinheit dahinter. Sie soll dem Militärnachrichtendienst GRU unterstehen.
Ihren Namen erhielt die Hackergruppe, weil Forscher der IT-Sicherheitsfirma iSight Partners im Malware-Code Hinweise auf die Science-Fiction-Romanreihe «Dune» entdeckten.
John Hultquist, Vizepräsident der renommierten US-Cybersicherheitsfirma Mandiant Threat Intelligence, kam am 24. Februar zu einer beunruhigenden Einschätzung:
Erst kürzlich hat Sandworm mit einer Schadsoftware namens Cyclops Blink («Blinzelnder Zyklop») für Schlagzeilen gesorgt. Diese zielt auf WatchGuard-Router in der Ukraine ab und verwandelt Netzwerkgeräte in «Zombies», die für eigene kriegerische Zwecke missbraucht werden können.
Die Gruppe soll auch für die NotPetya-Malware verantwortlich sein, die 2017 zunächst Windows-Rechner in der Ukraine befiel, sich rasend schnell verbreitete und weltweit Schäden in zweistelliger Milliardenhöhe verursachte.
Aus Sandworms Entwicklungsabteilung kamen zudem die Schadprogramme «BlackEnergy 3» und «Industroyer», mit denen 2015/2016 ukrainische Industrieunternehmen gehackt und die Stromversorgung lahmgelegt wurde. Unabhängige Fachleute gehen davon aus, dass die Ukraine nur das Versuchslabor war für die digitalen Saboteure. Sie könnten genauso gut auch Industrie-Anlagen in Westeuropa oder den USA attackieren und Blackouts verursachen.
Und damit sind wir wieder beim oben erwähnten Attributionsproblem: Sandworm soll eng mit einer anderen russischen Cyber-Militärgeheimdiensteinheit namens Fancy Bear kooperieren, diese wird auch Sednit und Sofacy Group genannt. Oder APT28.
Nach Einschätzung westlicher Geheimdienste handelt es sich auch hier um eine als Hackerkollektiv auftretende Einheit, die dem russischen Militärgeheimdienst GRU angehört.
Sie soll seit mindestens 2007 aktiv sein und griff in der Vergangenheit gezielt Aussen- und Verteidigungsministerien in der Europäischen Union an. Als die russische Armee während des Kaukasuskrieges 2018 auf georgisches Gebiet vorrückte, richtete sie ebenfalls beträchtlichen Schaden an.
Oder sind Sandworm und Fancy Bear nur zwei Namen für die gleiche Einheit? Dieser These ging der US-Journalist Andy Greenberg nach und recherchierte während Jahren über die Hintergründe russischer Elite-Hacker.
Sein vorläufiges Fazit: Sicher sei, dass der russische Militärgeheimdienst GRU bei allen verheerenden Cyberangriffen auf die Ukraine und den Westen eine zentrale Rolle spielte.
Dem GRU werden auch die Hacker von Fancy Bear zugeschrieben, die sich in die US-Präsidentschaftswahlen 2016 einmischten und Donald Trump mit zum Sieg verhalfen.
Der GRU, so scheine es, sei auch der Drahtzieher der ersten von Hackern verursachten Stromausfälle sowie der zerstörerischsten Cyberwaffe, die jemals eingesetzt wurde.
Gemeint ist damit nicht Stuxnet, sondern NotPetya. Das ungeheure Schadenspotenzial dieser Windows-Malware war auf Zero-Day-Exploits zurückzuführen, die dem US-Geheimdienst NSA gestohlen und von unbekannten, mutmasslich russischen Hackern im Internet veröffentlicht worden waren.
Zum Risiko, dass wegen einer solchen Cyberwaffe die Welt aus den Fugen geraten könnte, schreibt Greenberg:
Zum Schluss kommen wir zu einer APT-Gruppe, die von Sicherheitsexperten nicht Russland selbst, sondern dem Putin-Verbündeten Weissrussland zugerechnet wird.
Wie die IT-Sicherheitsfirma Proofpoint kürzlich warnte, versuchen prorussische Hacker die europäischen Rettungsversuche für Flüchtlinge aus der Ukraine zu stören.
Die Vorgehensweise lasse auf die weissrussische Hackergruppe schliessen. Ihr war es offenbar gelungen, den E-Mail-Account eines Mitglieds der ukrainischen Streitkräfte zu hacken und darüber Nachrichten mit einer präparierten Excel-Datei zu verschicken. Ziel: Behörden in Europa.
Die Gruppe ziele mit ihren Desinformations-Operationen darauf ab, eine Anti-Flüchtlings-Stimmung in den europäischen Ländern zu schüren und die Spannungen zwischen den Nato-Mitgliedern zu verschärfen, warnen die Fachleute.
Die Schattenkrieger des US-Geheimdienstes NSA und andere prowestliche APT-Gruppen werden in einem weiteren Artikel vorgestellt. Demnächst bei watson. 😉
Was hinzukommt, ist, dass sogar einige Duckduckgo benutzen um nicht von "Big Brother" getrackt zu werden, aber YT schauen und überall cookies akzeptieren!