Angebliche Hacktivisten von russischem Geheimdienst gelenkt

Die Analysten der IT-Sicherheitsfirma Mandiant haben einige Hacktivisten-Gruppen auf Telegram untersucht. Sie stießen dabei auf Verknüpfungen zum russischen Militärgeheimdienst GRU. Die Telegram-Kanal-Administratoren und Gruppenlenker waren entweder direkt vom GRU gesteuert oder kooperierten mit dem Dienst. Einzelne Gruppenmitglieder seien jedoch sicherlich unabhängig von Russland unterwegs.

Insbesondere auf drei russischsprachige, via Telegram koordinierte Gruppen haben die Forscher sich seit dem Start der russischen Invasion in der Ukraine konzentriert: XakNet Team, Infoccentr und CyberArmyofRussia_Reborn. Dabei stießen sie auf eindeutige Hinweise, die die Moderatoren der Gruppen mit dem russischen Staat in Verbindung bringen. Hierzu gehört die Analyse des zeitlichen Verlaufs von Systemeinbrüchen und Datenlecks in ukrainischen Organisationen.

Selbst ernannte Hacktivisten

Die Gruppenmitglieder betrachteten sich selber als Hacktivisten. Durch die staatliche Lenkung durch Russlands Militärgeheimdienst kann davon jedoch keine Rede sein. Die Gruppen haben im Wesentlichen DDoS-Angriffe, Webseiten-Defacements und Einbrüche zum Datendiebstahl ausgeführt, erläutert Mandiant in der Analyse.

Mandiant nehme an, dass die Moderatoren der Gruppen ihre Operationen mit den russischen Geheimdiensten koordinieren. Zu dem Eindruck trage bei, dass in den Netzwerken der ukrainischen Opfer Tools der bekannt GRU-unterstützten Cybergang APT28 vorgefunden wurden. Zudem wurden die bei den Einbrüchen entwendeten Daten innerhalb von 24 Stunden nach den Lösch-Aktivitäten durch APT28 auf Telegram veröffentlicht – der Cyber-Krieg gegen ukrainische Organisationen begann im Februar mit derartiger Wiper-Malware. Weitere Indizien seien nicht authentische Aktivitäten der Moderatoren und Ähnlichkeiten zu früheren GRU-Operationen.

Enge Banden der Cybergangs

Die IT-Sicherheitsforscher haben zudem Verbindungen zwischen dem XakNet Team und der pro-russischen Cybergang KillNet gefunden. Diese deuteten auch darauf hin, dass XakNet und KillNet einige ihrer Aktionen koordiniert hätten. KillNet trat etwa Ende Juni mit DDoS-Angriffen auf Litauen in Erscheinung. XakNet-Team-Moderatoren arbeiten wahrscheinlich auf Geheiß des Kremls, folgert Mandiant daraus, dass ein Leak der Gruppe ein Tool von APT28 enthielt, das sehr einzigartig ist. Die Moderatoren seien entweder GRU-Offiziere oder arbeiteten direkt mit den GRU-APT28-Verantwortlichen zusammen.

Von CyberArmyofRussia_Reborn nimmt Mandiant an, dass die Moderatoren zumindest ihre Aktivitäten mit APT28 koordinieren. Der zeitliche Verlauf von Veröffentlichung von Daten und die Verbindung der Gruppe mit XakNet, wobei die Natur dieser Beziehung unklar sei, deuteten darauf hin. Das Hauptziel des Kanals sei Diffamierung, es in Pressemeldungen zu schaffen sowie die Politik zu beeinflussen.

Der Telegram-Kanal Infoccentr hingegen wurde Anfang März eröffnet und verschreibt sich pro-russischer (Des-)Informationskampagnen, erläutern die Analysten. Die pro-russischen Gruppenmitglieder kämpften in sozialen Netzen und anderen Informationskanälen gegen anti-russische und pro-ukrainische Strömungen. Die Moderatoren koordinierten ihre Aktionen zumindest mit APT28, was die Forscher aus dem Zeitverlauf von Datenlecks und den Banden mit XakNet schließen.

Das Aufspüren der Verbindungen zwischen sogenannten Hacktivisten und der russischen Spionage- und Angriffsgruppen könne Opfern helfen, das Risiko bei einer Kompromittierung einzuschätzen und sich und ihre Kunden auf potenzielle Datenlecks vorzubereiten – und einige der Auswirkungen abzumildern, erklärt Mandiant. Das Unternehmen beobachte noch weitere Gruppen und erweitere die Erkenntnisse etwa zu Zielen von und Verknüpfungen zwischen KillNet, FromRussiaWithLove (FRWL), DeadNet, Beregini, JokerDNR (alternative Schreibweise JokerDPR) oder RedHackersAlliance.

(dmk)