Hackerangriffe Cybermafia von Putins Gnaden?
Europaweit werden Webseiten lahmgelegt - womöglich von prorussischen Hackern. Experten warnen vor der Entstehung einer Mischszene aus Cyberkriminellen, Hacktivisten und russischen Geheimdiensten.
Plötzlich ging nichts mehr. Webseiten und Internetportale bundesweit waren in dieser Woche nicht mehr erreichbar, darunter die Onlineauftritte von Landesministerien und Polizeibehörden. Sie brachen unter der Last von massenhaften Zugriffen auf die Server schlichtweg zusammen. Ebenso zahlreiche Webseiten in anderen europäischen Ländern. Die neue Ukraine-Plattform des deutschen Entwicklungsministeriums, über die Hilfe für den Wiederaufbau des Landes organisiert werden soll, hielt einem Angriff offenbar gerade noch stand.
Denial-of-Service, kurz DDOS, werden solche Attacken genannt. Inzwischen hat sich eine pro-russische Hackergruppe namens "NoName057(16)" dazu bekannt. Die Angriffe auf die Webseiten, so teilten die Hacker mit, seien eine Reaktion auf den NATO-Beitritt Finnlands, der in dieser Woche formal vollzogen wurde.
Kritische Infrastruktur im Visier?
Das Lahmlegen von Webseiten durch gezielt herbeigeführte Überlastung gilt als vergleichsweise einfache Cyberaktion. Dennoch deuten solche Angriffe auf einen Trend hin, den IT-Sicherheitsforscher und auch deutsche Sicherheitsbehörden seit einiger Zeit mit Sorge beobachten: Es tauchen zunehmend pro-russische Hackergruppierungen auf, die sich als vermeintliche Patrioten bezeichnen und sich im Zuge des russischen Krieges gegen die Ukraine offen auf die Seite des Kreml schlagen.
Manche dieser Hacker vernetzten sich zudem vor Kurzem offenbar mit Cyberkriminellen, die bislang eher für Angriffe auf Unternehmen mit Erpressungssoftware bekannt waren. Sie nehmen in koordinierten Aktionen nun scheinbar kritische Infrastruktur in Europa und Nordamerika ins Visier. Das sind Bereiche, in denen es durchaus auch um Menschenleben geht.
"Ungutes Bauchgefühl"
Fraglich ist bislang, welche Motivation dahinter steckt: Ob sich die Hacker tatsächlich als kremltreue Patrioten und Unterstützer des Putin-Regimes begreifen, oder ob vielleicht der russische Staat gezielt Druck auf die Cybermafia ausübt und die Hacker als willfährige Werkzeuge für seine Zwecke einspannt. Auch eine dritte Option ist denkbar: Eine Symbiose aus Cyberkriminellen und staatlichen Akteuren.
In Sicherheitskreisen heißt es dazu, man habe durchaus ein "ungutes Bauchgefühl", denn in der Szene der Cyberkriminellen und Hacktivisten braue sich augenscheinlich etwas zusammen. Die Zuordnung, wer hinter einer bestimmten Attacke stecke, werde mitunter schwieriger. Die Sorge ist groß, dass zunehmend eine gefährliche Mischung aus Cyberkriminellen, Hacktivisten und russischen Geheimdiensten entsteht, die künftig nicht mehr nur Webseiten lahmlegen oder Daten stehlen, sondern auch schwerwiegende Sabotageangriffe verüben könnten.
Zusammenschluss von Hackergruppen
Einer der Hauptakteure bislang ist die Hackergruppe "Killnet", die hauptsächlich für DDOS-Attacken, also das Lahmlegen von Webseiten bekannt ist. Anfangs verkauften die Hacker die Angriffe als Dienstleistung. Mit Beginn des russischen Angriffs auf die Ukraine am 24. Februar 2022 aber veränderten sie ihr Geschäftsmodell. Seitdem ist "Killnet" offensichtlich politisch-motiviert und führt regelmäßig Angriffe auf westliche Ziele durch. Dazu zählen Webseiten der NATO, europäischer Regierungen oder amerikanische Flughäfen.
Im Dezember 2022 schloss sich "Killnet" mit weiteren, zumeist russischen Hackergruppen wie "Anonymous Russia" oder "Mirai Botnet" zusammen, und gründete eine Onlineplattform. Auf dieser werden Schadsoftware, Cyberdienstleistungen und Datenleaks verbreitet und gehandelt. Auch Austausch über zukünftige Angriffsziele und Methoden findet statt. Ehemalige "Killnet"-Angehörige sollen sich außerdem mit weiteren Gruppen wie "XakNet", "CyberArmy", "Beregini" oder "NoName057" vernetzt haben, um gemeinsame Angriffskampagnen zur Unterstützung Russlands durchzuführen.
Im Fokus des pro-russischen Hackerkollektivs steht auch Deutschland. So begann "Killnet" im Januar in sozialen Netzwerken den Hashtag #DeutschlandRIP zu verbreiten. Kurz darauf wurden Cyberangriffe auf diverse Ziele in der Bundesrepublik gestartet. Betroffen war auch ein Berliner Krankenhaus. Als Reaktion auf die Lieferung von Leopard-Panzern an die Ukraine veröffentlichten die Hacker Anfang des Jahres auf einem ihrer Telegram-Kanäle außerdem Baupläne der Panzer samt Empfehlung, auf welche Stellen geschossen werden sollte.
Verbindungen zu Geheimdiensten
Auch das Bundesamt für Verfassungsschutz (BfV) interessiert sich seit einiger Zeit für die Hackergruppen, die bislang eher der Cyberkriminalität zugerechnet wurden. Die Verfassungsschützer der Cyberabwehr gehen der Frage nach, ob diese Gruppierungen inzwischen im Auftrag russischer Geheimdienste agieren - oder ob hinter so manchem Angriff vielleicht sogar staatliche Hacker stecken, die nur den Eindruck erwecken wollen, es handele sich um eine Attacke von Kriminellen.
So sahen sich die deutschen Sicherheitsbehörden beispielsweise die interne Kommunikation der Hackergruppe "Conti" an, die kurz nach Beginn des Angriffs auf die Ukraine ihre Unterstützung für Moskau verkündet hatte und daraufhin selbst gehackt wurde. Im Netz tauchten schließlich Datensätze mit der internen Kommunikation von "Conti" auf. Allerdings fanden sich darin keine Belege für eine direkte Verbindung zu staatlichen Stellen in Russland.
Bei anderen Hackergruppen allerdings gibt es Hinweise darauf, dass es wohl durchaus eine Zusammenarbeit mit russischen Geheimdiensten gibt. Die Hackergruppe "Xaknet" etwa soll nach Erkenntnissen des IT-Sicherheitsunternehmens Mandiant im vergangenen Jahr in mehreren Fällen innerhalb weniger Stunden jene Daten veröffentlicht haben, die zuvor offenbar von den russischen Geheimdienst-Hackern "APT2", auch "Fancy Bear" genannt, gestohlen worden waren. "APT28" wird dem russischen Militärgeheimdienst GRU zugeordnet und soll 2015 einen Cyberangriff auf das Netz des Deutschen Bundestages verübt haben.
Im Netz Geld generieren
Im Januar 2022 nahm der russische Inlandsgeheimdienst FSB mehrere mutmaßliche Cyberkriminelle der Ransomware-Gruppe "REvil" fest, damals angeblich auf Bitten der US-Behörden. In westlichen Sicherheitsbehörden heißt es inzwischen allerdings, die Festnahmen seien vermutlich vor allem eine Warnung an die russische Hacker-Szene gewesen, dass der Staat jederzeit einschreiten könne. Ausschlaggebend sei zudem wohl weniger der Druck aus den USA gewesen, sondern viel mehr der Unmut in China über die Hackerangriffe der russischen Cybergangster.
Es sei wenig überraschend, so sagen Vertreter deutscher Sicherheitsbehörden, wenn Moskau nun in Kriegszeiten versuche, die cyberkriminellen Netzwerke und Banden für sich zu nutzen. Und zwar nicht nur, um Webseiten zu kapern, Informationen zu stehlen, Desinformation oder Sabotage zu betreiben, sondern auch um Geld zu generieren.
Das Stehlen von Krypto-Geld oder andere digitale Raubzüge für den russischen Staat auch zur Finanzierung von Rüstungsprojekten, wie man es bislang vor allem von nordkoreanischen Hackern kannte, gilt angesichts der andauernden Sanktionen als realistische Option. In den Sicherheitsbehörden spricht man daher von einer zu erwartenden "Nordkoreanisierung Russlands".