Fancy Bear und Killnet: die Cyberattacken pro-russischer Hacker

GENF (dpa-AFX) -Im Zusammenhang mit dem russischen Angriffskrieg gegen die Ukraine hat das CyberPeace-Institut in Genf 2022 mehr als 850 Cyberattacken registriert. Sie wurden demnach von pro-russischen und pro-ukrainischen Hackern gegen Ziele in der Ukraine, Russland und rund drei Dutzend anderen Ländern ausgeführt, darunter auch 23 in Deutschland. Pro-russische Hackernetzwerke würden durch immer stärkere Vernetzung immer unberechenbarer, sagte die Chefanalystin des Instituts, Emma Raffray, der Deutschen Presse-Agentur.

Ziele waren in Deutschland etwa Ministerien, Banken, Internetanbieter oder Flughäfen. Bei den Flughäfen seien Webseiten vorübergehend gestört worden, Flugdienste seien nicht beeinträchtigt gewesen, sagt Raffray. Im September wurden an zwei Tagen fünf Attacken mit 18 Zielen in Deutschland registriert. "Vier davon wurden ausgeführt von dem Netzwerk "Anonymous Russia"", sagt Raffray.

Das 2019 gegründete Institut registriert nach eigenen Angaben wohl nur die Spitze des Eisbergs. Opfer bestätigen Angriffe meist nicht. Es nennt nur Attacken, mit denen Hacker-Netzwerke sich brüsten und die von Spezialisten verifiziert wurden. Das Institut sammelt Material für Anklagen wegen Kriegsverbrechen, wenn Infrastruktur angegriffen und die Zivilbevölkerung in Mitleidenschaft gezogen wird. Zudem stellt es Nichtregierungsorganisationen sichere Cloud-Dienste zur Verfügung. Geldgeber sind neben Stiftungen auch Mastercard und Microsoft.

Zuletzt wurde am 14. Dezember die deutsche Seite eines US-Online-Händlers angegriffen. Hinter der Attacke stand nach den Analysen Mirai, eine Gruppe, die der Hackergruppe KillNet zugerechnet wird. Killnet habe nach der Teilmobilisierung in Russland Mitglieder mit dem Versprechen angeworben, dass sie damit der Einberufung entgehen können. "Das deutet auf eine sehr wahrscheinliche Verbindung zur Regierung der Russischen Föderation hin", so das Institut.

Bei den meisten Angriffen handelt es sich um DDoS-Attacken. Dabei überlasten Hacker durch zahlreiche Anfragen die IT-Infrastruktur des Opfers, dessen Dienste dann erheblich eingeschränkt sind. Bei anderen Attacken wird Malware eingeschleust, es werden Daten geklaut oder es werden Falschinformation auf gehackten Medienseiten verbreitet.

Das Institut entdeckte im Herbst 2022 neue Trends: So nutzte die pro-russische Hackergruppe Fancy Bear, die dem Einfluss des russischen Auslandsgeheimdienstes zugerechnet wird, ein Stör-Programm auf Basis von Konni-Malware, die bislang von nordkoreanischen Hackern benutzt wurde. Zudem greifen Hacker immer öfter zum Crowdsourcing von DDoS-Angriffen. Sie umwerben Sympathisanten in der Bevölkerung, deren Computern sie dann via Script automatisch für Attacken herausziehen.

Zudem vernetzen sich pro-russische Netzwerke immer stärker. "14 Gruppen haben sich jüngst der KillNet-Gruppe angeschlossen, einschließlich Anonymous Russia", sagt Raffray. Mehr Gruppen unter einer einheitlichen Kommandostruktur könnten koordiniertere Attacken ausführen. "Der Umfang und die Art der Aktivitäten im Cyberspace, die in hohem Maße von Gruppen initiiert werden, die zumeist erst in den vergangenen neun Monaten als Reaktion auf geopolitische und wirtschaftliche Ereignisse in der realen Welt entstanden sind, sind besorgniserregend", sagt sie. "Diese Netzwerke mischen sich aktiv in den Konflikt ein." Es werde immer schwieriger zu prüfen, wer an welchem Netzwerk beteiligt sei und in welchem Umfang die Netzwerke durch staatliche Akteure gelenkt werden.