Cyber-Krieg Wie Ukrainer demoralisiert werden sollen
Pro-russische Hacker sollen versucht haben, Ukrainer in Europa mit einer Kampagne zu demoralisieren. Die Hacker nutzten nach Informationen eines IT-Sicherheitsunternehmens auch Domains mit Bezug zu Nawalny.
Im vergangenen Herbst haben pro-russische Hacker gezielt Hunderte täuschend echt aussehende E-Mails verschickt, die den Anschein erweckten, von ukrainischen Behörden zu stammen.
Die PDF-Dokumente im Anhang der Mails gaben vor, die Bevölkerung auf anstehende Engpässe bei Nahrungsmitteln und Energieversorgung vorzubereiten. Die praktischen Überlebenstipps riefen zum Verzehr von Brennnesseln und Tauben auf und die Bilder sollten Ekel und Verzweiflung vermitteln.
In einer weiteren Desinformationswelle wurde ukrainischen Bürgern im In- und Ausland Neujahrsgrüßen gemailt, begleitet von dem Rat, sich mit der Amputation von Gliedmaßen für den Kriegsdienst untauglich zu machen, "ein paar Minuten Schmerz für ein sorgenfreies Leben", so der Text.
Entdeckt haben das Cyber-Spezialisten des in Bratislava ansässigen IT-Sicherheitsunternehmen ESET. Ziel der Mails sei es gewesen, die ukrainische Bevölkerung in der Heimat und in der EU zu demoralisieren und Wut auf die ukrainische Regierung zu schüren. Das geht aus einem Bericht hervor, der dem SWR vorab vorliegt. ESET hat die Aktionen der bis heute unbekannten Gruppe unter dem Namen "Operation Texonto" zusammengefasst.
Russische Dissidenten und Unterstützer Nawalnys als Ziel
Einige E-Mail-Server, die die Hacker für den Versand der Desinformations- und Spam-Nachrichten benutzten, erweckten laut ESET den Eindruck, von Kremlkritikern zu stammen, etwa aus dem Umfeld des kürzlich verstorbenen Alexej Nawalny. "Dies bedeutet, dass die 'Operation Texonto' wahrscheinlich Spear-Phishing oder andere Operationen umfasst, die auf russische Dissidenten und Unterstützer des verstorbenen Oppositionsführers abzielen", sagt ein Sprecher von ESET dem SWR.
Unter den benutzten Domainnamen finden sich Wortkombinationen wie: "navalny-votes", "navalny-votesmart" und "navalny-voting". Beim Spear-Phishing verleitet eine E-Mail, die speziell auf die Zielperson zugeschnitten ist, das Opfer dazu, einen bestimmten vermeintlich legitim wirkenden Link anzuklicken, verbunden mit der Aufforderung, dem Angreifer vertrauenswürdige Informationen preiszugeben, etwa Log-in Daten oder Passwörter.
Überschneidung von Desinformation und Hacking
ESET Forscher Matthieu Faou erklärt im Interview gegenüber dem SWR, wie er auf die Spur der Hacker gekommen ist: "Wir haben zunächst eine Spear-Phishing-Kampagne aufgedeckt." Zwischen Oktober bis November 2023 versuchten die Hacker, mit gefälschten E-Mails vom IT-Support, an Login-Daten für Microsoft Office 365 zu gelangen.
Als Faou und sein ESET-Team das genauer untersuchten, entdeckten sie die beiden sogenannten PSYOPs. Diese Form der psychologischen Kriegsführung stelle eine weitere Form der Cyberkriegsführung dar. Sie ist die digitale Weiterentwicklung von Propagandaflugblättern und anderen Mitteln zur Demoralisierung.
BSI bestätigt Desinformationskampagne
Auf Anfrage bestätigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) dem SWR, Kenntnis von der von ESET beschriebene Kampagne zu haben. "Das BSI ordnet diese und vergleichbare Mails der Kategorie Desinformation zu." Wer entsprechende Mails in Deutschland erhalten habe, sei dem BSI nicht bekannt. "Das BSI beobachtet darüber hinaus, dass weltweit die Überschneidung von Desinformation und Hacking zunimmt", sagt ein Sprecher des BSI.
Sandro Gaycken, der Gründer von Monarch, einer Firma spezialisiert auf Spionageabwehr und Desinformation, sieht eine Kontinuität in den Desinformationen Russlands seit Beginn des Krieges. "Auf Ukrainer gerichtet dienen sie meist der Verbreitung prorussischer Propaganda, der Verwirrung und der Einschüchterung", sagt er dem SWR.
"Sind Dritte das Ziel geht es eher darum, die Ukraine zu diskreditieren, um den internationalen Rückhalt zu schwächen. In einigen Ländern in Afrika und Lateinamerika hat das bereits sehr gut funktioniert." Für Gaycken besteht die Herausforderung vor allem auch darin, dass diese Operationen risikofrei und billig seien. "Daher werden sie gerne breit angewandt", sagt Gaycken.
Angriffe auf Einrichtungen der Europäischen Union
Ziel der Spear-Phishing-Angriffe der "Operation Texonto" sollen laut ESET die Login-Daten hochrangiger Mitarbeiter eines ukrainischen Verteidigungsunternehmens aber auch die einer EU-Agentur gewesen sein. CERT-EU, der Cybersicherheitsdienst für Einrichtungen der Europäischen Union, analysierte 177 derartige Angriffe auf EU-Einrichtungen oder deren Umfeld allein im Jahr 2023. Basierend auf Informationen aus zuverlässigen Quellen, war die Russische Föderation eines der Länder, mit denen die Bedrohungsakteure am häufigsten in Verbindung gebracht wurden.
Angesprochen auf den konkreten Spear-Phishing-Angriff den die ESET-Forscher analysiert haben, erklärt ein Sprecher der Europäischen Kommission, man könne sich nicht zu spezifischen Vorfällen gegen die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union äußern. "Wir sind uns jedoch bewusst, dass die Einrichtungen der Union aufgrund ihrer Aufgaben und ihres Charakters attraktive Ziele für Cyber-Bedrohungsakteure sind."
IT-Infrastruktur abgeschaltet
Die im Rahmen der "Operation Texonto" genutzte IT-Infrastruktur wurde zuletzt im Januar genutzt und laut ESET mittlerweile abgeschaltet, dennoch sei in den kommenden Monaten mit weiteren PSYOPs zu rechnen, die sich an westliche Länder richten könnten. "Diese können etwa versuchen, die Bevölkerung hinsichtlich der Hilfe für die Ukraine zu spalten", meint ESET Forscher Matthieu Faou.
Um sich gegen solche Desinformations- und Spear-Phishing-Mails zu schützen, verweist das BSI auf die grundsätzlichen Empfehlungen beim Empfang von E-Mails: Absender prüfen, Quellen hinterfragen und verifizieren, sowie die Schulung der allgemeinen Medienkompetenz.