Der russische Hacktivismus fordert seinen Tribut von Organisationen in der Ukraine, der EU und den USA

Obwohl es manchmal so aussieht, als ob sie nur bellen und nicht beißen, sagen Experten, dass russische Hacktivistengruppen tatsächlich schwerwiegende Auswirkungen auf Organisationen in der Ukraine und in NATO-Ländern haben.

Der prorussische Hacktivismus ist seit Beginn des Ukraine-Krieges explodiert. Unter der Führung des inzwischen berüchtigten KillNet haben nationalistische Hacker Angriffe gegen jede Regierung oder jedes Unternehmen inszeniert, die sich gegen Putins Invasion aussprechen.

Viele von ihnen sind leere PR-Stunts - beispielsweise, KillNets Deaktivierung der offiziellen Website der britischen Königsfamilie am Sonntag – eine Erinnerung an die Tage von Anonymous. Doch Experten warnen, dass diese Gruppen nicht nur tatsächlich Schaden anrichten, sondern auch noch größere und schlimmere Dinge planen.

„Bei einigen handelt es sich um lästige Angriffe auf öffentlich zugängliche Websites, die einfach nur eine Aussage machen“, sagt Michael McPherson, ein 24-jähriger FBI-Veteran und jetzt Senior Vice President of Technical Operations bei ReliaQuest. „Aber man sieht, dass sie auch kritische Infrastrukturen wie Krankenhaussysteme ins Visier nehmen, was viel bedeutender und weitaus wirkungsvoller ist.“

Die Landschaft russischer Hacktivistengruppen

Der Distributed-Denial-of-Service-Angriff (DDoS) hat im Russland-Ukraine-Konflikt des letzten Jahrzehnts eine besondere Rolle gespielt, unter anderem in die letzte Invasion. „DDoS hat die ganze Sache ausgelöst, oder?“ betont Richard Hummel, Senior Threat Intelligence Lead bei Netscout. „Das ist das Erste, was den Medien, der Regierung und den Finanzorganisationen in der Ukraine vor dem Einmarsch Russlands auffiel.“

Im weiteren Verlauf des Krieges schien das Geld von bekannten staatlich geförderten Gruppen auf Hacktivisten-Gruppen überzugehen. McPherson warnt jedoch: „Die Linien verschwimmen, und die Zuordnung ist viel schwieriger als in der Vergangenheit.“

Wer auch immer sie sind oder mit wem sie verbunden sind, diese Gruppen zielen auf alle Organisationen oder Einzelpersonen ab, die sich gegen den Krieg aussprechen. Beispielsweise: „Präsident Biden spricht auf dem G7-Gipfel – der größte Anstieg der DDoS-Angriffe an diesem Tag richtet sich gegen die Regierung der Vereinigten Staaten“, erklärt Hummel.

Seitdem hat sich die Organisation, die Fähigkeiten und die Methoden der Gruppen, die solche Angriffe durchführen, deutlich weiterentwickelt.

„KillNet kommt heraus und sie sind Legionen stark“, sagt Hummel. „Und dann beginnen sie zu zerfallen und in verschiedene Unterkomponenten aufzusplittern, so dass es mehrere Fraktionen von KillNet gibt, die unterschiedliche Agenden und unterschiedliche Facetten der Regierung unterstützen. Dann haben Sie DDoSia, du hast Anonymer Sudan, von dem wir fest überzeugt sind, dass es Teil von KillNet ist, und Sie haben NoName. Es gibt also all diese Splitterzellen.“

Dies ist einer der Gründe für die jüngste Explosion von DDoS-Aktivitäten auf der ganzen Welt. Allein im ersten Halbjahr 1 verzeichnete Netscout fast 7.9 Millionen DDoS-Angriffe – rund 44,000 pro Tag, ein Wachstum von 31 % im Jahresvergleich.

Die sich entwickelnden Taktiken russischer Hacktivisten

DDoS-fokussierte Gruppen sind heute nicht nur aktiver denn je, sagt Pascal Geenens, Director of Threat Intelligence bei Radware, sie sind auch anspruchsvoller.

„Als der Krieg im Februar 2022 begann und diese neuen Bedrohungsakteure auftauchten, waren sie unerfahren. Sie waren nicht gut organisiert. Und jetzt, nach mehr als anderthalb Jahren Bauerfahrung – diese Leute haben in den letzten 18 Monaten jeden Tag nichts anderes getan, können Sie sich vorstellen, dass sie in dem, was sie tun, besser geworden sind“, sagt er.

Geenens zitiert NoName, eine Gruppe, über die Radware ausführlich berichtet Bericht zur globalen Bedrohungsanalyse H1 2023, als gutes Beispiel für eine ausgereifte hacktivistische Bedrohung. Während es bei typischen DDoS-Angriffen einfach darum geht, eine Zielseite mit Müllverkehr zu überlasten, hat NoName einen anderen Ansatz gewählt.

Vor etwa einem Jahr, erklärt er, begann die Gruppe mit dem Einsatz von Tools zur Analyse des Webverkehrs zu Zielwebsites, „etwas, das sich in der Mitte Ihres Browsers und der Website befindet und alle Variablen und alle Informationen aufzeichnet, die zwischen ihnen ausgetauscht werden.“ Was sie also tun, ist: Sie finden die Seiten, die für das Backend dieser Website am wirkungsvollsten sind, zum Beispiel ein Feedback-Formular, das jemand ausfüllen kann, oder eine Seite, auf der Sie ein Suchfeld haben. Und sie werden über diese Formulare legitime Anfragen einreichen.“

Dieser gezieltere Ansatz ermöglicht es der Gruppe, mit weniger mehr zu erreichen. „Anonymous Sudan bearbeitet 2-3 Millionen Anfragen pro Sekunde. Das ist nicht das, was Sie von NoName sehen werden. NoName kommt vielleicht mit 100,000 bis 150,000 Anfragen pro Sekunde auf Sie zu, aber sie sind so auf die Dinge beschränkt, die sich auf die Backend-Infrastruktur auswirken, dass sie viele Websites zum Absturz bringen“, sagt Geenens.

Ob es nun die ausgefeilteren Taktiken von NoName oder das schiere Verkehrsaufkommen von Anonymous Sudan sind, Hacktivistengruppen beweisen, dass sie in der Lage sind, große und wichtige Organisationen auf manchmal bedeutungsvolle Weise zu beeinflussen.

Die Ambitionen der Hacktivisten wachsen

„Zu Beginn des Krieges gab es viele Regierungs-, Krankenhaus- und Reise-Websites, aber es gab keine wirklichen Auswirkungen auf das Geschäft selbst – es war nur eine Website, die nicht verfügbar war. Jetzt sehe ich, dass sie auf Ticketdienste für öffentliche Verkehrsmittel, Zahlungsanwendungen und sogar APIs von Drittanbietern abzielen, die von vielen anderen Anwendungen verwendet werden, und größere Wirkung erzielen“, sagt Geenens. Nur eines von vielen aktuellen Beispielen: Letzten Monat kam es zu einem NoName-Angriff auf die kanadische Grenzschutzbehörde Erhebliche Verzögerungen an Grenzkontrollpunkten im ganzen Land.

Es gibt Hinweise darauf, dass Gruppen wie NoName und KillNet weiterhin leere PR-Gags mit sinnvollen Angriffen vermischen werden, aber sie könnten sogar noch weiter gehen. Geenens weist darauf hin, dass der Anführer von KillNet, KillMilk, Interesse daran bekundet hat, Scheibenwischer in die Angriffe der Gruppe einzubeziehen.

„Er hatte sogar eine Idee“, warnt Geenens, „wo er eine paramilitärische Cyber-Armee schaffen wollte – ein wenig nach dem Vorbild der Wagner-Gruppe, die eine physische Armee ist, aber er möchte das für Cyber ​​machen.“ Bauen Sie also diesen Einfluss auf und bauen Sie eine Cyber-Armee auf, die für den Meistbietenden arbeitet und zerstörerische Cyber-Angriffe durchführt.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/threat-intelligence/russian-hacktivism-takes-toll-organizations-ukraine-eu-us