Die Rolle von Cyberkriminellen im Ukraine-Krieg

| 28.03.2022 06:00 Uhr Dr. Jantje Silomon, Dr. Mischa Hansel

In den Cyberkrieg sind auch Cybergangs involviert. Für die ist die Unterstützung einer Kriegspartei jedoch nicht immer gut fürs Geschäft.

Anlässlich des Ukraine-Kriegs bilden sich derzeit viele neue Hacker- und Aktivisten-Gruppen, die Aufrufen zum Cyberwar in sozialen Medien wie Telegram folgen. Belastbare Informationen über sie lassen sich aber nur schwierig gewinnen.

Einen groben Überblick liefert die Webseite cyberknow.medium.com [1]. Unter dem zugehörigen Twitter-Account @CyberKnow20 listet eine anonyme Quelle regelmäßig Namen von Gruppen auf, die sich aktiv am Krieg beteiligen. Am 12. März standen dort 43 Gruppen aufseiten der Ukraine insgesamt 15 prorussischen Cybergruppen gegenüber. Viele Aktivisten identifizieren sich mit dem Hacker-Netzwerk Anonymous, das Russland am 25. Februar öffentlichkeitswirksam den Krieg erklärte.

Die meisten der Gruppen versuchen, im Wettbewerb der Bilder und Botschaften die Oberhand zu gewinnen. Dazu hacken sie etwa Webseiten russischer Regierungseinrichtungen oder Medien und überschreiben sie mit Berichten über getötete russische Soldaten. Oder sie zwingen russische Seiten mit DDoS-Attacken in die Knie. Seltener sind Angriffe auf Industrieziele, wie der am 11. März von Anonymous verkündete Hack von Rosneft Deutschland.

Derartige Meldungen lassen sich aber oft nicht zweifelsfrei verifizieren und stellen sich später nicht selten als falsch heraus. Dazu gehört die Verlautbarung angeblicher Anonymous-Aktivisten vom 26. Februar, militärische Kommunikation der russischen Armee abgeschöpft zu haben. Bald wurde aber klar, dass es sich um offene Funkkommunikation der Küstenwache im russischen Murmansk handelte. Daher ist bei derartigen Bekennerschreiben durchaus Skepsis angebracht.

Professionelle Ransomware-Gruppen spielen jedoch in einer anderen Liga. Sie bilden bislang nur einen kleinen Teil der von CyberKnow gelisteten Kriegsteilnehmer und haben in der Vergangenheit bereits mehrfach bewiesen, wozu sie in der Lage sind. Zu denken wäre etwa an die Attacke auf die größte Öl-Pipeline in den USA im Mai 2021, wonach mehrere Bundesstaaten den Notstand ausriefen. Die Sicherheitsforscherin Jenny Jun weist schon länger darauf hin, dass sich solche Fähigkeiten nicht nur für kriminelle Zwecke, sondern auch als politische Waffen einsetzen lassen. Das setzt allerdings voraus, dass Cyberkriminelle eine politische Agenda haben oder es eine Kriegspartei schafft, die Gruppen zu instrumentalisieren.

Politik und Kriminalität

Westliche Geheimdienste werfen der russischen Regierung immer wieder vor, Cyberkriminellen einen "sicheren Hafen" zu geben und auf ihre Dienste zurückzugreifen. So ließen sich staatliche Spionageoperationen besser tarnen oder abstreiten. Das FBI warf beispielsweise 2017 zwei russischen Geheimagenten vor, kriminelle Hacker zu Operationen gegen Journalisten und Unternehmer in den USA und Russland angeleitet und bezahlt zu haben. Manche Cyberkriminelle wie Vladislav Horohorin, BadB genannt, stellen sich zudem in YouTube-Videos als russische Patrioten dar und erhärten den Verdacht, der russische Staat würde sie stillschweigend tolerieren oder instrumentalisieren.

Weitere Indizien für die Vermischung von Politik und Kriminalität, nicht nur in Russland, finden sich in den Schadprogrammen selbst. So existieren zahlreiche Fälle, in denen offenbar politisch motivierte Sabotageakte als kriminelle Operationen getarnt wurden. Den Beginn des Ukraine-Kriegs begleiteten beispielsweise als Ransomware-Attacken getarnte konzertierte Operationen wie HermeticWiper, der Daten auf Rechnern von ukrainischen Behörden und Banken unwiderruflich löschte.

Conti, eine der größten Ransomware-Gruppen, kündigte nur einen Tag nach der Invasion ihre volle Unterstützung für die russische Regierung an. Die Gruppe erklärte außerdem, gegen jeden zurückzuschlagen, der Cyberangriffe gegen Russland organisiert. Einige Stunden später milderte die Gruppe ihre Formulierungen jedoch ab, womöglich aufgrund interner Meinungsverschiedenheiten. Zu schaffen machte Conti außerdem ein Datenleck, das einen Großteil der internen Kommunikation sowie ihre Ver- und Entschlüsselungscodes offenlegte. Verantwortlich dafür war ein ukrainischer Sicherheitsforscher und nicht, wie zunächst vermutet, ein ukrainisches Mitglied der Gruppe, das den pro-russischen Kurs nicht mittragen wollte.

Internationale Gewinnmaximierung

Weil sich Cyberkriminelle über Ländergrenzen hinweg hochgradig arbeitsteilig organisieren, ist das Risiko, dass ein Insider eine Kriegserklärung nicht mitträgt und die eigene Gruppe torpediert, aber durchaus real. Ihre internationale Organisationsstruktur zwingt die Gruppen gewissermaßen zur politischen Mäßigung. So etwa auch die berüchtigte Ransomware-Gruppe Lockbit: Sie bezeichnet sich öffentlich als apolitisch und verweist auf die unterschiedlichen Nationalitäten ihrer Mitglieder. Ebenso ermahnen Administratoren diverser Hacker-Foren ihre Mitglieder mittlerweile zur Neutralität.

Ein weiterer Grund für derartige Neutralitätserklärungen könnte mit der Politik vieler Cyberversicherungen zu tun haben. Einige Versicherer schließen inzwischen Zahlungen an Opfer von Ransomware-Attacken aus, wenn sie Hinweise auf politische Motive finden. Die schwindende Zahlungsmoral der Versicherungen vermindert wiederum die Chancen für Ransomware-Gruppen, hohe Lösegelder zu erpressen. Neutralitätserklärungen schützen somit auch die eigenen Geschäftsinteressen der Gruppen.

Fraglich ist allerdings, ob und wie lange insbesondere die russische Regierung solche neutralen Haltungen inmitten des Krieges [3] toleriert. Die medienwirksame russische Zerschlagung der REvil-Gruppe Mitte Januar kann als Warnung an andere Gruppen verstanden werden, es sich mit dem Kreml nicht zu verderben. Security-Forscher von Trustwave SpiderLabs beobachteten nach den Razzien jedenfalls ein hohes Maß an Angst und Verunsicherung in den Foren des Dark Web.

Manche internationalen Gruppen könnten sich deshalb nach Ländern aufteilen. Im RaidForum, wo unter anderem gehackte Datensätze gehandelt werden, kündigte ein ukrainischer Administrator des Forums bereits am Tag der Invasion an, keine Zugriffe von russischen IP-Adressen mehr zuzulassen. Auf der anderen Seite sind einige kriminelle Händler von Login-Informationen laut einer Studie der irischen Unternehmensberatung Accenture dazu übergegangen, Zugänge zu gehackten Systemen nur noch an pro-russische Akteure zu verkaufen und das Geschäft mit pro-ukrainischen Gruppen ganz einzustellen.

Die ukrainische Regierung rekrutiert mittlerweile auf Telegram ganz offiziell technisch versierte Hacker für eine IT-Freiwilligenarmee. Der Kanal hat inzwischen über 300.000 Follower. Während die ukrainische Regierung an den Patriotismus der Hacker appelliert, setzen andere auf finanzielle Anreize. Das Kiewer Start-up Cyber Unit Technologies lobte etwa ein Preisgeld von 100.000 US-Dollar für Informationen über IT-Verwundbarkeiten kritischer Infrastrukturen in Russland aus. Derartige Belohnungen könnten dazu führen, dass sich professionelle Cyberkriminelle künftig stärker am Krieg beteiligen.

Wie geht es weiter?

Auf der anderen Seite warnen zahlreiche Kommentatoren und Sicherheitspolitiker, dass der Kreml mithilfe von Cyberkriminellen versuchen könnte, westliche Wirtschaftssanktionen zu umgehen. Die Gruppen könnten demnach durch Ransomware-Attacken Lösegeld in Kryptowährungen fordern und somit dem russischen Staat trotz des Ausschlusses von SWIFT Devisen verschaffen. Dabei muss man jedoch die Größenordnungen beachten: Schätzungen von JPMorgan zufolge wird das russische Bruttoinlandsprodukt durch die Sanktionen im laufenden Jahr um mindestens 3,5 Prozent gegenüber 2021 schrumpfen, also um rund 53 Milliarden Euro. Die Gesamterlöse, die von Russland aus agierenden Gruppen durch Ransomware-Attacken im vergangenen Jahr zugeschrieben wurden, belaufen sich laut einer Studie von Chainalysis hingegen "nur" auf geschätzte 400 Millionen Euro. Erpressungstrojaner könnten die Löcher in der Staatskasse also kaum substanziell ausgleichen.

Der Twitter-Account @CyberKnow20 listet regelmäßig Hacker-Gruppen auf, die sich am Ukraine-Krieg auf beiden Seiten aktiv beteiligen., Bild: Cyberknow.medium.com — Der Twitter-Account @CyberKnow20 listet regelmäßig Hacker-Gruppen auf, die sich am Ukraine-Krieg auf beiden Seiten aktiv beteiligen.

(Bild: Bild: Cyberknow.medium.com)

Nichtsdestotrotz werden Cyberkriminelle den laufenden Konflikt für ihre Interessen nutzen. So bot beispielsweise eine Gruppe namens DisBalancer über Telegram angebliche DDoS-Tools für Angriffe auf russische Webseiten an. Tatsächlich verbarg sich dahinter aber ein Keylogger-Schadprogramm namens Phoenix, das die Rechner der antirussischen Hacktivisten infizierte. Ebenso finden "gewöhnliche" Ransomware-Attacken weiterhin statt. Sie von politisch motivierten Cyberattacken zu unterscheiden, dürfte für Sicherheits-Analysten eine der größten Herausforderungen der nächsten Wochen bleiben.

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(hag [6])

URL dieses Artikels:
https://www.heise.de/-6593962

Links in diesem Artikel:
[1] https://cyberknow.medium.com/
[2] https://www.heise.de/ct
[3] https://www.heise.de/hintergrund/Russlands-Krieg-Was-droht-uns-im-Cyberspace-6550355.html
[4] https://www.heise.de/select/ct
[5] https://shop.heise.de/magazine/ct-magazin/
[6] mailto:hag@heise.de