Cyberangriffe und Propaganda: Hacktivismus im Dienst des Kremls
Seit dem Beginn der Vollinvasion der Ukraine wurden zahlreiche neue pro-russische Gruppen gegründet, die sich nach Außen als ideologisch motivierte Hacktivist:innen darstellen und mit Cyberangriffen den russischen Krieg unterstützen. Solche Gruppen betreiben öffentliche Kommunikationskanäle, in denen sie neue Anhänger:innen rekrutieren, Angriffe ankündigen und gestohlene Daten posten. Es geht ihnen nicht nur um den Schaden, den sie den Opfern hinzufügen, sondern auch um den propagandistischen Effekt: Einschüchterung, Destabilisierung, Übertreibung der eigenen Macht. Sie haben häufig Verbindungen zum russischen Staat und greifen zunehmend auch Objekte der kritischen Infrastruktur in Europa und den USA an.
Was ist Hacktivismus?
Der Begriff „Hacktivismus“ (eine Mischung aus „Hacken“ und „Aktivismus“) entstand Mitte der 1990er Jahre und wurde von der US-Hacker:innen-Gruppe Cult of the Dead Cow (cDc) popularisiert. Darunter wurde im breiten Sinne politischer Aktivismus im digitalen Bereich verstanden, verbunden mit Ideen der Menschenrechte im digitalen Raum, Kampf gegen Zensur und digitale Überwachung sowie linken Anti-Establishment-Bewegungen. Die Aktivist:innen dieser Zeit zogen bewusst Parallelen zu Methoden des zivilen Widerstandes im analogen Raum: Als „virtuelle Sit-Ins“ wurden erste DDoS-Angriffe bezeichnet, bei denen Hunderte bis Tausende Menschen gleichzeitig versuchten, mit Hilfe des speziellen Programms Flood Net, Websites aufzurufen, was zu einer Überlastung und teilweisen Lahmlegung führte. Die künstlerische und aktivistische Gruppe Electronic Disturbance Theater organisierte solche Angriffe auf Regierungswebsites in Mexiko und den USA als Unterstützung der linken Guerillabewegung Zapatistas. Solche Aktionen verfolgten klare politische Ziele: Es ging nicht nur um den Schaden für die betroffenen Regierungen oder Organisationen, sondern vor allem um die Beeinflussung der Öffentlichkeit und die Verbreitung bestimmter politischer Ideen.
Hacktivismus als Fassade
Diese kommunikative und performative Dimension der Cyberangriffe sowie einzelne Taktiken wie DDoS-Angriffe oder Defacement (unberechtigte Veränderung der Websites) ist wohl das Einzige, was heutige Kreml-freundliche Hacker:innen-Gruppen mit den linken Hacktivist:innen der 90er Jahre verbindet. Sie handeln im ideologischen Sinne und häufig mit Unterstützung eines autoritären Staates, der digitale Zensur und Überwachung in den vergangenen Jahren massiv vorangetrieben hat und haben keine ethischen Einschränkungen. Diese russischen Gruppen sind insofern eine Imitation des klassischen Hacktivismus, analog zu anderen autoritären Imitationen von NGOs, Wahlbeobachter:innen oder Faktencheck-Organisationen, wie sie in Russland in den letzten Jahrzehnten entstanden sind.
Nicht selten geben sich russische Geheimdienste oder der Kreml als angeblich unabhängige Hacker:innen aus, um eigene Angriffe zu verschleiern. Nachdem der russische Geheimdienst GRU vor der US-Wahl 2016 Emails der Democratic National Committee gestohlen hatte, erstellten die Geheimdienstler eine künstliche Figur des Hackers Guccifer 2.0, der die Emails öffentlich machte und mit den Medien darüber kommunizierte. Der Kreml-Chef Wladimir Putin bestritt süffisant alle Vorwürfe der Verbindungen zum russischen Staat. Hacker seien „freie Menschen, so wie Künstler“, sagte er 2017. Sie würden morgens aufwachen und entscheiden, was sie tun, wenn sie patriotisch gesinnt seien.
In der Cybersicherheitsindustrie wird dennoch der Begriff „Hacktivismus“ verwendet, um diverse Aktivitäten zu beschreiben, bei denen Cyberangriffe mit einem öffentlich formulierten politischen Ziel verbunden sind. Typisch für hacktivistische Gruppen ist die öffentliche Kommunikation und das Bestreben danach, maximale Aufmerksamkeit für ihre Angriffe zu generieren. Der Grad der Komplexität und Schwere ihrer Angriffe liegt unter den sogenannten APTs – Advanced Persistent Threats - so werden fortgeschrittene, zielorientierte und langfristige Angriffe bezeichnet, typischerweise mit Zielen wie Spionage oder dauerhafte Lahmlegung oder Zerstörung der kompromittierten Systeme.
Destabilisierung und Verunsicherung als Ziel
Auch wenn Kreml-freundliche hacktivistische Gruppen meistens weniger komplexe Angriffe ausführen, haben sie dennoch ein nicht zu unterschätzendes Störungspotenzial. Sie nehmen zunehmend Objekte der kritischen Infrastruktur ins Visier, was ernsthafte physische Schäden und Risiken für Menschenleben zur Folge haben könnte. Ihre einfachen, aber zahlreichen Angriffe können IT-Sicherheitsdienste überlasten und deren Ressourcen binden. Und sie arbeiten häufig eng mit Cyberkriminellen und russischen Geheimdiensten zusammen.
Ein zentrales Ziel solcher Gruppen ist die Destabilisierung der betroffenen Länder. Durch einfache aber medial präsente Angriffe soll das Sicherheitsgefühl in den Gesellschaften untergraben werden. In ihren öffentlichen Kommunikationskanälen stellen Kreml-freundliche hacktivistische Gruppen ihre Angriffe auf Ziele in europäischen Ländern und den USA als Rache für die Unterstützung der Ukraine dar. Nicht selten werden in öffentlichen Kanälen Drohungen ausgesprochen, dass noch schwerwiegendere Angriffe folgen würden.
Kryptowährung und Bonus-Punkte für Lahmlegung der Websites
Eine verbreitete Taktik sind DDoS-Angriffe, bei denen Websites mit einer Vielzahl von Anfragen lahmgelegt werden. Zu den Angriffszielen gehören häufig Websites der Behörden und Ministerien, der öffentlichen Dienste, Flughäfen oder Bahn – damit soll Chaos verursacht und öffentliches Leben gestört werden. Solche Angriffe werden häufig mithilfe der sogenannten Botnetze ausgeführt.
Im vergangenen Jahr gingen Strafverfolgungsbehörden aus mehreren Ländern, darunter aus Deutschland, gegen die russische Gruppe NoName057(16) vor, die vor allem für DDoS-Angriffe bekannt ist. Ein Botnetz wurde dabei abgeschaltet, Haftbefehle gegen zentrale Köpfe der Gruppe wurden erlassen, 24 Objekte von mutmaßlichen Unterstützer:innen der Gruppe wurden durchsucht und weitere mutmaßliche Unterstützer:innengewarnt. Die Gruppe führt jedoch weiterhin Angriffe auf europäische Länder durch und wirbt über Telegram um freiwillige Helfer:innen.
Den Freiwilligen wird angeboten, eine spezielle Software für DDoS-Angriffe (DDoSia) herunterzuladen – eine entsprechende Telegram-Gruppe zählt aktuell über 12.000 Mitglieder. Die Gruppe nutzt Gamifizierungs-Strategien, um Nutzer:innen zur aktiven Mitwirkung zu motivieren. Für Beteiligung an DDoS-Angriffen werden dCoins der eigenen Kryptowährung sowie Bonus-Punkte verteilt, die Nutzer:innen können interne Ränge erwerben, die nach russischen militärischen Rängen benannt sind.
NoName057(16) inszeniert sich als ideologisch motiviert: Die Gruppe hat ein Manifest, in dem erklärt wird, dass sich die Hacker:innen für „russische Interessen an der Informationsfront“ einsetzen würden. Gleichzeitig wird ihre Aktivität als „Widerstandskampf“ gegen westliche Eliten und Regierungen und für Werte wie Gerechtigkeit, Einigkeit und Brüderlichkeit inszeniert. Die Gruppe wurde jedoch nach Einschätzung der US-Cybersicherheitsbehörde CISA und weiteren Strafverfolgungsbehörden von der russischen Organisation ANO ZISM (deutsche freie Übersetzung: Organisation „Zentrum für die Untersuchung und Netzwerk-Monitoring des Umfelds der Jugend") im Auftrag des Kremls gegründet. Maxim Lupin und Mihail Burlakov, die im Verdacht stehen, zentrale Mitglieder von NoName057(16) zu sein, sind gleichzeitig der Direktor und der stellvertretende Direktor von ANO ZISM.
Angriffe auf kritische Infrastruktur und Unternehmen
Pro-russische Gruppen nutzen zunehmend ungesicherte VNC-Verbindungen (Virtual Network Computing), die für Remote-Zugänge verwendet werden, um Steuerungssysteme von Unternehmen und Organisationen zu infiltrieren. Die Ziele werden weniger strategisch, sondern opportunistisch ausgesucht – die Täter:innen suchen nach ungeschützten und sichtbaren VNC-Diensten. Sobald sie Zugang zu Kontrollsystemen erlangen, können sie bestimmte Parameter verändern. Während einer der Aktionen änderten russische Hacker:innen beispielsweise die Temperatur und den Chlorgehalt des Wassers in einem öffentlichen Brunnen in den Niederlanden. Im vergangenen Jahr öffneten sie für mehrere Stunden Wasserventile eines Staudamms in Norwegen. Die Folgen solcher Aktionen können aber auch viel gravierender sein – auch weil die Täter:innen häufig unzureichende technische Kenntnisse haben und damit die kritische Infrastruktur sowohl absichtlich als auch aus Versehen stören können. Zu den angegriffenen Objekten gehörten Organisationen und Unternehmen aus dem Bereich der Energie- und Wasserinfrastruktur, Abwasser und Landwirtschaft.
Die Hacker:innen veröffentlichen in ihren öffentlichen Kanälen Screenshots und Videos ihrer Angriffe, wobei die Wirkung der Aktionen nicht selten übertrieben wird. Solche Angriffe sollen die Bevölkerung und Regierungen der betroffenen Länder einschüchtern sowie die angebliche Macht und Unbesiegbarkeit Russlands demonstrieren.
Hack-and-Leak und Doxxing
Beim Hack-and-Leak und Doxxing werden gestohlene Daten oder mit OSINT-Methoden gesammelte sensible Informationen über Organisation oder Einzelpersonen veröffentlicht. Die Gruppen XakNet und Solnstepek, die beide mutmaßlich als Cover für Aktivitäten des russischen Geheimdienstes GRU dienen, veröffentlichen beispielsweise regelmäßig Daten, von vor allem ukrainischen Behörden, Unternehmen und Militärangehörigen. Bei solchen Aktionen können echte Dokumente und Datensätze mit Fälschungen vermischt werden, um Desinformationskampagnen zu ermöglichen.
Spionage und Aufklärung
Sammeln von sensiblen Daten in den Ländern, die Russland als „feindlich“ betrachtet, wird zunehmend zum Ziel der hacktivistischen Gruppierungen. Die Gruppe NoName057(16) richtete im April eine anonyme TOR-Plattform an und rief dazu auf, auf diesem Weg Informationen über militärische Technik und Armeen sowie weitere geheime Informationen und Dokumente aus „feindlichen“ Länder zukommen zu lassen. Gruppen wie AlfaNet und Void Hackers erklären in ihren Kanälen, dass sie Cyber- und OSINT-Aufklärung betrieben.
Dutzende neue Gruppen seit 2022
Seit dem Beginn der Vollinvasion in der Ukraine sind zahlreiche neue russische Gruppen entstanden, die sich als Hacktivist:innen bezeichnen. Einige sind nach Einschätzungen von IT-Sicherheitsunternehmen sowieeuropäischen und US-amerikanischen Cybersicherheitsbehörden nur reine Fassaden für geheimdienstliche Aktivitäten, andere arbeiten situativ mit dem russischen Staat zusammen oder betreiben unpolitische kriminelle Aktivitäten, die vom russischen Staat informell erlaubt werden, solange die Gruppen auch „patriotische“ Angriffe durchführen.
Das Hauptzentrum für Spezialtechnologien des russischen Militärgeheimdiensts GRU (Einheit 74455) steht mutmaßlich in Verbindung mit gleich mehreren hacktivistischen Gruppen. Laut der US-Cybersicherheitsbehörde CISA soll es die Gründung der Gruppe Cyber Army of Russia Reborn (CARR) unterstützt haben. Die IT-Unternehmen Microsoft und Mandiant verweisen darauf, dass GRU auch mit den Gruppen Solntsepek, XakNet und InfoCentr in Verbindung steht. Diese bekannten sich zu DDoS-Angriffen, Angriffen auf industrielle Kontrollsysteme und Leaks von sensiblen Daten.
Laut CISA-Einschätzungen haben die Administrator:innen der Gruppe CARR die neue Gruppe Z-Pentest gegründet, die sich inzwischen Z-Pentest Alliance nennt und Allianzen mit weiteren Gruppen wie AlfaNet oder PerunSvaroga bildet. Solche Allianzen sind typisch für hacktivistische Gruppierungen: Sie verstärken sich gegenseitig mit Ankündigungen, übernehmen gemeinsam Verantwortung für Angriffe und erscheinen so größer und wirksamer. Diese Form der Zusammenarbeit existiert auch über Ländergrenzen hinweg. Pro-russische Gruppen unterstützen pro-iranische Hacker:innen und greifen insbesondere nach dem Beginn des Krieges im Nahen Osten verstärkt Ziele in Israel an.
Telegram-Kanäle und -Chats für Propaganda und Rekrutierung
Das Betreiben von öffentlichen Telegram-Kanälen und Chats erfüllt für hacktivistische Gruppen mehrere Funktionen. Zum einen sind es propagandistische Vehikel, über die strategische Narrative verbreitet werden: Die militärische Stärke Russlands und auch seine Cyberkräfte werden übertrieben dargestellt, strategische Gegner Russland werden abgewertet, die eigenen Angriffe als besonders geschickt und bedrohlich dargestellt, umdie Bevölkerung in den Zielländern einzuschüchtern. Auch gestohlene Daten werden über die Kanäle verbreitet.
Zum anderen werden die Kanäle für Anwerbung neuer Mitglieder genutzt. Während Gruppen wie NoName057(16) Freiwillige ohne spezifische Kenntnisse suchen, werben andere um erfahrene Hacker:innen oder Unterstützer:innen, die in Datenzentren arbeiten oder Informationen über Ziele und kritische Infrastruktur teilen können. Die Kanäle und Chats dienen darüber hinaus dem Austausch und der Weiterbildung, indemInformationen über Schwachstellen und Codes geteilt werden. So popularisierte beispielsweise eine Gruppe die Entwicklung von Schadsoftware zu einer Art Mitmachaktion und fragte ihre Unterstützer:innen, welche Funktionen das neue Virus haben soll. Auch Hacking als Dienstleistung wird in einem Teil der Kanäle angeboten: Tools und Services wie DDoS-Angriffe oder Hacking-Kurse werden hier beworben und gehandelt. Dabei spielt auch KI als Tool für Hacking eine zunehmende Rolle, indem Tipps und Prompts ausgetauscht werden, die dazu dienen, Sicherheitsmaßnahmen von LLMs zu umgehen, um sie so für Cyberangriffe zu nutzen. Auch eine Plattform mit einer „unzensierten“ KI wird beworben.
Mehr Resilienz in der Gesellschaft nötig
Die breite Verfügbarkeit von kommerziellen KI-Tools macht es einfacher, auch für Akteur:innen mit niedrigeren technischen Kenntnissen, Cyberangriffe massenhaft auszuführen. Laut dem jüngsten Bericht von Google wird KI bereits jetzt „im industriellen Ausmaß“ für Cyberangriffe eingesetzt, auch von staatlichen und staatsnahen Akteur:innen. Russland setzt „patriotische“ Hacker:innen-Gruppen als Teil der langfristigen Destabilisierungsstrategie gegen die Ukraine und ihre Unterstützer:innen ein: Auch in Deutschland sind staatliche Einrichtungen und KRITIS-Sektoren betroffen Strafverfolgungsbehörden aus den betroffenen Ländern sollen weiterhin zusammenarbeiten, um diese Aktivitäten zu ermitteln und zu stören. Es gilt auch, die Rekrutierungsversuche der Gruppen zu stören und vorzubeugen. Schließlich soll die Resilienz und IT-Sicherheitskompetenz in der breiten Gesellschaft gefördert werden: Gerade weil Ziele häufig opportunistisch ausgesucht werden, können alle davon betroffen sein.