Google sieht, dass Russland sich mit Hackern bei Cyberangriffen im Zusammenhang mit dem Ukraine-Krieg abstimmt

Laut Forschern von Google deuten immer mehr Beweise darauf hin, dass pro-russische Hacker und Online-Aktivisten mit dem Militärgeheimdienst des Landes zusammenarbeiten.

Westliche Beamte und Sicherheitsexperten interessieren sich für die möglichen Verbindungen zum Kreml, weil sie dazu beitragen würden, Moskaus Absichten sowohl innerhalb als auch außerhalb der Ukraine zu erklären, trotz der jüngsten militärischen Rückschläge, die den russischen Präsidenten Wladimir Putin diese Woche dazu veranlassten, einen Mobilisierungsschub anzukündigen.

Beamte in den USA und Europa haben während des gesamten Krieges davor gewarnt, dass russische Hacker gegen die Verbündeten der Ukraine vorgehen könnten, indem sie kritische Infrastrukturen und Regierungen mit Cyberangriffen angreifen, aber bisher ist dies weitgehend ausgeblieben.

In den vergangenen Monaten hat Googles Mandiant-Cybersicherheitsgruppe eine offensichtliche Koordination zwischen pro-russischen Hacking-Gruppen – die angeblich aus patriotischen Hackern bestehen – und Cyber-Einbrüchen durch den russischen Militärgeheimdienst (GRU) beobachtet. Mandiant sagt, dass es in vier Fällen Hacking-Aktivitäten im Zusammenhang mit der GRU beobachtet hat, bei denen bösartige „Wischer“-Software im Netzwerk eines Opfers installiert wurde.

Die anfängliche Wiper-Software verursachte Störungen, indem sie Computersysteme im gesamten Unternehmen zerstörte. Dann betraten die Hacktivisten das Bild. Nach jedem dieser Hacks – innerhalb von 24 Stunden nach dem Löschen – haben die hacktivistischen Organisationen Daten veröffentlicht, die von denselben Organisationen gestohlen wurden.

Das Moskauer Hauptquartier des russischen Militärgeheimdienstes GRU.


Foto:

Stringer ./REUTERS

Drei pro-russische Hacktivisten-Gruppen waren laut Mandiant beteiligt, die von Google in einem Deal übernommen wurden, der Anfang dieses Monats abgeschlossen wurde. Sie heißen XakNet Team, Infoccentr und CyberArmyofRussia_Reborn.

Zusammen mit den anderen Aktivitäten im Zusammenhang mit dem Krieg habe dies eine beispiellose Situation geschaffen, sagte Mandiant in einem Bericht über die Hacktivisten, der am Freitag veröffentlicht werden soll. „Wir haben noch nie zuvor ein solches Volumen an Cyberangriffen, eine Vielzahl von Bedrohungsakteuren und eine solche Koordinierung der Bemühungen innerhalb derselben Monate beobachtet“, heißt es in dem Bericht.

Ein Vertreter der russischen Botschaft in Washington antwortete nicht auf Anfragen mit der Bitte um Stellungnahme, aber Russland hat bestritten, an Hacking beteiligt zu sein.

Hacktivistische Gruppen stellen eine Möglichkeit für Russland dar, eine verbesserte und bedrohlichere Online-Präsenz zu projizieren, sagte Michael S. Rogers, der ehemalige Leiter der National Security Agency, der jetzt operativer Partner der Risikokapitalfirma Team8 Labs Ltd.

„Die russische Regierung versucht, mehr Kapazität zu schaffen“, sagte er. „Diese Gruppen sind attraktiv, weil sie ihnen ein Maß an plausibler Leugnung verleihen.“

TEILE DEINE GEDANKEN

Was sollten die USA und die NATO tun, um sich vor russischen Hackern zu schützen? Beteiligen Sie sich an der Unterhaltung unten.

John Hultquist, Vizepräsident für Geheimdienstanalysen bei Mandiant, sagte, dass XakNet nun, nachdem es sich als Hacktivistengruppe etabliert habe, als Deckmantel für eine ernsthaftere Cyberoperation unter der Leitung des russischen Geheimdienstes verwendet werden könnte. „Diese Schauspieler dürfen nicht auf die leichte Schulter genommen werden“, sagte er über die GRU. „Sie sind in der Lage, das Licht auszuschalten.“

Die Beweise sind kein Beweis dafür, aber die wiederholten Verbindungen zwischen den GRU-verbundenen Angriffen und den Hacktivisten „sind schwer zu ignorieren und deuten darauf hin, dass die Beziehung nicht zufällig ist“, sagte Herr Hultquist.

Im vergangenen Frühjahr gab das Heimatschutzministerium eine Warnung heraus, in der XakNet (ausgesprochen Hack-Net) und eine andere Gruppe namens Killnet als mögliche Bedrohungen für die US-Infrastruktur genannt wurden. Es warnte auch davor, dass der Krieg in der Ukraine zu einem Anstieg der Angriffe von kriminellen und hacktivistischen Gruppen führen könnte.

Killnet hat eine Reihe von Einheiten angegriffen, darunter Ziele in Japan, Italien, Norwegen, Estland und Litauen, mit verteilten Denial-of-Service- oder DDoS-Angriffen, die versuchen, Server mit Internetverkehr zu überlasten, sagen Sicherheitsforscher. Die Gruppe scheint zeitweise gemeinsam mit XakNet zu handeln, sagte Herr Hultquist.

Killnet hat in den letzten Monaten Interviews mit russischen Medien gewährt, und Forscher sagen, dass die Aufmerksamkeit der Medien – die die Idee verstärkt, dass Russlands Krieg in der Bevölkerung Unterstützung gefunden hat – ein wichtigeres Ziel sein könnte als jede Cyber-Störung. „Sie sind sehr laut, aber sie sind bestenfalls ein kleines Ärgernis“, sagte Vlad Cuiujuclu, Analyst bei Flashpoint, einem Cyber-Bedrohungs-Intelligence-Unternehmen.

Aber es gab eine Handvoll Vorfälle, die auf die USA abzielten. Im Juli wurde Congress.gov, der offizielle Anbieter von Informationen zur Gesetzgebung des Kongresses, laut einem Sprecher der Library of Congress, die operiert, durch einen DDoS-Angriff für etwa zwei Stunden offline geschaltet Die Webseite. „Das Netzwerk der Bibliothek wurde nicht kompromittiert, und es gingen keine Daten durch den Angriff verloren“, sagte der Sprecher.

Im August gab Killnet bekannt, dass es einen Angriff auf das US-Verteidigungsunternehmen Lockheed Martin Corp. startete, und ungefähr zur gleichen Zeit warf es Dokumente ab, die angeblich von Gorilla Circuits stammten, einem Unternehmen der Verteidigungsindustrie mit Sitz in San Jose, Kalifornien, das Schaltkreise herstellt Bretter.

Ein Sprecher von Gorilla Circuits bestätigte, dass das Unternehmen Monate zuvor – im Herbst 2021 – einen Sicherheitsvorfall erlebt hatte sagte. „Seitdem hat es bei Gorilla Circuits keinen weiteren Sicherheitsvorfall gegeben.“

Ein Sprecher von Lockheed Martin sagte: „Wir sind jeden Tag Bedrohungen durch raffinierte Gegner auf der ganzen Welt ausgesetzt und ergreifen regelmäßig Maßnahmen, um die Sicherheit unserer Systeme zu erhöhen und unsere Mitarbeiter-, Kunden- und Programmdaten zu schützen.“

Die Drohung des russischen Präsidenten Wladimir Putin, Atomwaffen einzusetzen und 300.000 Reservisten für den Krieg in der Ukraine zu mobilisieren, wurde von führenden Politikern weltweit verurteilt. Hier ist, was der Westen als nächstes tun könnte, und die Herausforderungen für Russland. Foto-Composite: Emily Siu

Hacktivistische Gruppen gibt es seit mehr als einem Jahrzehnt. Russische Hacktivisten starteten 2007 einen verheerenden Online-Angriff auf Estland, nachdem Estland eine Statue aus der Sowjetzeit aus seiner Landeshauptstadt Tallinn entfernt hatte. Banken, Regierungswebsites und Medienunternehmen wurden etwa eine Woche lang gestört.

Jonas Skardinskas, Direktor für Cybersicherheitsmanagement bei Litauens nationaler Cyberagentur, sagte, Litauen habe mindestens zwei Denial-of-Service-Wellen gegen Websites von Regierungsbehörden erlebt, die im Juni dieses Jahres begannen. Aber die Angriffe – für deren Start einige von Killnet verantwortlich waren – waren ungewöhnlich, weil sie unkonzentriert waren und nie ein lähmendes Ausmaß erreichten, sondern über eine lange Dauer andauerten.

„Sie sollten eher lästig als störend sein“, sagte Herr Skardinskas in einem Interview.

Dennoch haben die Beamten Grund zur Sorge. Gert Auväärt, ein hochrangiger Cybersicherheitsbeamter in Estland, sagte letzte Woche in einem Interview in Tallinn, dass das kleine baltische Land im August nach der Entfernung seiner verbleibenden sowjetischen Kriegsdenkmäler Ziel einer Welle von DDoS-Angriffen wurde. Killnet übernahm die Verantwortung für die Angriffe, von denen einige Beamte sagten, dass sie die umfangreichsten seit der digitalen Belagerung von 2007 waren.

Estland habe den Angriff erfolgreich abgewehrt, sagte Herr Auväärt, aber westliche Beamte waren überrascht von dem Verkehrsaufkommen, das mit dem Versuch verbunden war, der bei über 200 Gigabyte Daten pro Sekunde gipfelte – eine Menge, die weit über den normalen einstelligen Beträgen liegt, an denen beteiligt ist Denial-of-Service-Angriffe.

„Als wir dies mit unseren Verbündeten sowohl hier in Europa als auch jenseits des Atlantiks diskutierten, waren diese Zahlen für alle beeindruckend“, sagte Herr Auväärt.

Schreiben Sie an Robert McMillan at [email protected] and Dustin Volz at [email protected]

Copyright ©2022 Dow Jones & Company, Inc. Alle Rechte vorbehalten. 87990cbe856818d5eddac44c7b1cdeb8

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.