Hat Putin die besseren Hacker ? Teil 5 Ukraine: Voll im Visier der russischen Hacker
21. März 2022Hat Putin die besseren Hacker ? Teil 5
Ukraine: Voll im Visier der russischen Hacker
Berlin, 21.3.2022
So viel steht fest: Russische und weißrussische Hacker haben schon Monate vor dem Beginn der Invasion Russlands in die Ukraine mit ihren Angriffen begonnen. Den Beweis lieferte die Threat Analysis Group von Google, die sich darauf konzentriert, Computerhacker zu stören und Nutzer vor ihnen zu warnen. Anfang März erklärte sie in einem Blog-Beitrag, dass sie russische Hacker, die den Strafverfolgungsbehörden bekannt sind, einschließlich FancyBear, Ende Februar dabei beobachtet habe, wie sie Spionage, Phishing-Kampagnen und andere Angriffe auf die Ukraine und ihre europäischen Verbündeten durchgeführt hätten. Das Ziel von Phishing-Kampagnen ist es, die Anmeldedaten von Nutzern zu stehlen, damit Hacker in die Computer und Online-Konten der Zielpersonen eindringen können. Ob die Hacker erfolgreich waren, ließ die Analysis Group offen. Erwartungsgemäß bestritt Russland , dass es Hacker einsetze, um seine Feinde zu verfolgen.
https://blog.google/threat-analysis-group/
Doch dann kam der nächste Beweis: Ghostwriter/UNC1151, das von Google als weißrussischer Bedrohungsakteur beschrieben wird, hat versucht, durch Phishing-Angriffe auf polnische und ukrainische Regierungs- und Militäreinrichtungen Anmeldedaten zu stehlen. Das war nicht etwa aus der Luft gegriffen, denn Ukrainische Cybersicherheitsbeamte bestätigten , dass Hacker aus dem benachbarten Weißrussland es auf die privaten E-Mail-Adressen ukrainischer Militärangehöriger „und zugehöriger Personen“ abgesehen hatten.
Google sagte auch, dass Mustang Panda oder Temp.Hex, das nach Angaben des Unternehmens in China ansässig ist, virenbeladene Anhänge an „europäische Einrichtungen“ mit Dateinamen wie „Situation an den EU-Grenzen zur Ukraine.zip“ versendet hat. Google beschrieb diese Aktion als eine Abweichung von Mustang Pandas Standardfokus auf südostasiatische Ziele.
Mit Beginn der Invasion haben russische Hacker ihre Aktivitäten intensiviert. Die Mehrheit der Angriffe hatte die Verunstaltung von Regierungswebsites zum Ziel.
Die Ukraine hat ihre Hacker-Gemeinschaft öffentlich dazu aufgerufen, beim Schutz der Infrastruktur zu helfen und Cyberspionage-Einsätze gegen russische Truppen durchzuführen.
Der russische Einmarsch in die Ukraine ist der größte Angriff auf einen europäischen Staat seit dem Zweiten Weltkrieg. Rußland bezeichnet sein Vorgehen in der Ukraine als „Spezialoperation“, die nicht darauf abziele, Territorium zu besetzen, sondern die militärischen Kapazitäten seines südlichen Nachbarn zu zerstören und die als gefährlich eingestuften Nationalisten gefangen zu nehmen.
Die Fakten sprechen eindeutig dagegen: Seit Beginn dieses Krieges wurden Tausende ukrainische Zivilisten getötet (darunter auch erschreckend viele Kinder),Städte dem Erdboden gleichgemacht Millionen in die Flucht getrieben. Viele Aktionen der Russen erinnern an Tschetschenien und Syrien.
Vor diesem Hintergrund stellt sich die Frage: Mit welcher Art von Cyberangriffen muss jetzt gerechnet werden?
Nach Auskunft von Insidern setzen die Russen auf folgende Cyber-Aktivitäten:
►Angriffe mit Wiper-Malware auf die Organisationen und die Grenzkontrolle in der Ukraine ;
► Watering-Hole-Angriffe auf Regierungs- und Medien-Websites;
► Cyber-Störungen von satellitengestützten Internetdiensten bis hin zu
►Vorbereitungen für Desinformationskampagnen der nächsten Stufe und
► Phishing-Kampagnen.
►Auch Hilfsorganisationen sind aktive Ziele. Dazu erklärte Amazon :“Wir haben mehrere Fälle beobachtet, in denen Malware gezielt gegen Wohltätigkeitsorganisationen, Nichtregierungsorganisationen und andere Hilfsorganisationen eingesetzt wurde, um Verwirrung zu stiften und Störungen zu verursachen. In diesen besonders schwerwiegenden Fällen wurde Malware gezielt eingesetzt, um die Versorgung mit Medikamenten, Lebensmitteln und Kleidung zu stören“.
Viele Analysten erwarteten weitere Störungen und Vergeltungsangriffe durch von Russland unterstützte Hacker, die sowohl auf ukrainische Ziele als auch auf Ziele in Ländern, die mit der Ukraine sympathisieren und sie unterstützen, abzielen.
Dass diese Angriffe bisher ausgeblieben sind, könnte zum Teil auf die Vorbereitungsarbeit zurückzuführen sein, die ukrainische Cyberverteidiger und US-Experten geleistet haben. Es besteht aber auch die Möglichkeit, dass Russland noch nicht das gesamte Potenzial seiner Cyberangriffsfähigkeiten eingesetzt hat.
Die größte Sorge sind Ransomware – Banden
Neben der Cyberspionage besteht die größte Sorge derzeit darin, dass Ransomware-Banden, die sich auf die Seite Russlands gestellt haben oder stellen könnten, in kurzer Zeit ihre bösartigen Nutzlasten einsetzen könnten, um Organisationen im Bereich kritischer Infrastrukturen lahmzulegen und „feindlichen“ Ländern Schaden und Chaos zuzufügen.
Auch Privatpersonen, die sich an der Verteidigung oder den Hilfsbemühungen beteiligen wollen, laufen durch ein Minenfeld, das von Betrügern und Cyber-Gaunern, die aus der schrecklichen Lage Kapital schlagen wollen, errichtet wurde.
Infoblox-Forscher haben (mit IoCs) eine Reihe von Betrugskampagnen zur Unterstützung/Hilfe für die Ukraine dokumentiert, die von Gaunern durchgeführt wurden, um Geld zu stehlen, sowie bösartige E-Mail-Kampagnen, die Nachrichten im Zusammenhang mit der russischen Invasion in der Ukraine verwenden, um die Empfänger zum Herunterladen des Agent Tesla Keyloggers/RAT zu verleiten.
Einzelpersonen, die nicht nur Hilfsmaßnahmen unterstützen wollen, stehen ebenfalls im Fadenkreuz von Kriminellen: Cisco Talos-Forscher haben davor gewarnt, dass Cyberkriminelle versuchen, ahnungslose Nutzer auszunutzen, „die nach Tools suchen, um ihre eigenen Cyberangriffe gegen russische Einrichtungen durchzuführen.“
Die Kriminellen nutzen Telegram-Kanäle, um diese Menschen anzusprechen – angeblich bieten sie ein DDoS-Tool zum Download an, aber ihr eigentliches Ziel ist es, die Zielpersonen mit Malware zu infizieren, die Informationen stiehlt und es auf Anmeldedaten, Kryptowährungsinformationen (einschließlich Wallets und Metamaskendaten) usw. abgesehen hat.