Russische Hacker und ihre Aktivitäten

Russische Hackergruppen sind weltweit bekannt für ihre hochentwickelten und weitreichenden Cyberangriffe. Diese Gruppen werden oft mit staatlicher Unterstützung in Verbindung gebracht und verfolgen eine Vielzahl von Zielen, darunter politische Manipulation, Spionage, wirtschaftliche Sabotage und Desinformation. Ihre Aktivitäten haben erhebliche Auswirkungen auf die globale Cybersicherheit und stellen eine ernsthafte für staatliche und private Organisationen dar.

Das russische Hacker-Ökosystem stellt sich dabei als ein komplexes und vielseitiges Netzwerk von Akteuren, Plattformen und Methoden dar, das sowohl für finanziell motivierte als auch staatlich unterstützte Cyberangriffe genutzt wird. Die enge Verknüpfung zwischen kriminellen Akteuren und staatlichen Stellen macht dieses Ökosystem besonders gefährlich und schwer zu bekämpfen. Eine effektive Verteidigung gegen diese Bedrohungen erfordert ein tiefes Verständnis der Strukturen und Motivationen innerhalb dieses Ökosystems sowie internationale Zusammenarbeit und robuste Cybersicherheitsmaßnahmen.

Hauptakteure

  1. Fancy Bear (APT28):
    Fancy Bear, auch bekannt als APT28 oder Sofacy, wird oft mit dem russischen Militärgeheimdienst GRU in Verbindung gebracht. Diese Gruppe ist bekannt für ihre Angriffe auf politische Institutionen, Medien und Militärorganisationen. Fancy Bear verwendet eine Vielzahl von Techniken, darunter , Zero-Day-Exploits und maßgeschneiderte Malware.
  2. Cozy Bear (APT29):
    Cozy Bear, auch bekannt als APT29 oder The Dukes, wird oft dem russischen Auslandsgeheimdienst (SVR) zugeschrieben. Diese Gruppe ist für ihre Spionageaktivitäten bekannt und hat wiederholt Regierungsbehörden, Think Tanks und internationale Organisationen angegriffen. Cozy Bear setzt hochentwickelte und versteckte Malware ein, um unentdeckt zu bleiben und langfristig Informationen zu sammeln.
  3. Sandworm Team:
    Sandworm, auch bekannt als Unit 74455, ist eine weitere Gruppe, die mit dem GRU in Verbindung steht. Diese Gruppe ist berüchtigt für ihre destruktiven Angriffe, wie die BlackEnergy-Malware-Attacke auf das ukrainische Stromnetz und den NotPetya--Angriff, der weltweit erhebliche Schäden verursachte.
  4. Gamaredon:
    Diese Gruppe, die mit dem FSB in Verbindung gebracht wird, ist bekannt für ihre gezielten Phishing-Kampagnen und Spionageangriffe, insbesondere gegen ukrainische Institutionen. Gamaredon nutzt einfache, aber effektive Techniken, um Zugang zu Netzwerken zu erhalten und Informationen zu stehlen.

Auf einen Blick: Das russische Hacker-Ökosystem

Das russische Cybercrime-Ökosystem ist eines der komplexesten und dynamischsten der Welt. Es umfasst eine Vielzahl von Akteuren, Plattformen und Methoden, die sowohl für finanziell motivierte Cyberkriminalität als auch für staatlich unterstützte Cyberangriffe genutzt werden. Die enge Verknüpfung zwischen Cyberkriminellen und staatlichen Stellen macht dieses Ökosystem besonders gefährlich.

Hauptakteure und Plattformen

  • APT-Gruppen: Zu den bekanntesten Advanced Persistent Threat (APT) Gruppen gehören „Fancy Bear“ (APT28) und „Cozy Bear“ (APT29). Diese Gruppen sind für ihre hochentwickelten Cyberangriffe bekannt, die oft staatlich unterstützt werden. Ihre Operationen umfassen Spionage, Sabotage und Datendiebstahl und zielen auf Regierungen, kritische Infrastrukturen und Unternehmen weltweit ab.
  • Dark Web Foren: Russischsprachige Foren wie XSS.is, Exploit.in, RAMP, RuTor und CrdClub sind zentrale Dreh- und Angelpunkte für Cyberkriminalität. Diese Foren bieten eine Plattform für den Austausch von Hacking-Tools, gestohlenen Daten und anderen illegalen Waren und Dienstleistungen. Sie sind bekannt für ihre strengen Sicherheitsmaßnahmen, die Anonymität der Nutzer und die Exklusivität ihrer Mitgliedschaft.
  • Telegram: Diese verschlüsselte Messaging-Plattform hat sich als bevorzugtes Kommunikationsmittel für Cyberkriminelle etabliert. Telegram wird genutzt, um Hacking-Tools zu verbreiten, Angriffe zu koordinieren und gestohlene Informationen zu handeln. Die Plattform bietet eine sichere Umgebung, die es schwierig macht, kriminelle Aktivitäten zu überwachen und zu verhindern.

Einfluss des Russland-Ukraine-Kriegs

Der Krieg in der Ukraine hat erhebliche Auswirkungen auf das russische Cybercrime-Ökosystem gehabt. Der Konflikt hat die russischsprachigen Bedrohungsakteure polarisiert, wobei einige Gruppen die russische Regierung unterstützen, während andere finanziellen Gewinn aus der geopolitischen Instabilität ziehen. Dieser Konflikt hat zu einer Zunahme von Hacktivismus, Ransomware-Aktivitäten und finanziellen Betrügereien geführt.

Staatliche Unterstützung

Viele russische Cyberkriminelle und Hackergruppen haben direkte oder indirekte Verbindungen zur russischen Regierung. Diese Verbindungen ermöglichen es den Gruppen, auf Ressourcen und Schutz durch den Staat zuzugreifen. Insbesondere APT-Gruppen wie Sandworm und Turla sind für ihre Verbindungen zu russischen Geheimdiensten wie dem GRU und dem FSB bekannt. Diese Gruppen führen komplexe und koordinierte Angriffe durch, die oft strategische Interessen Russlands verfolgen.


Taktiken und Methoden

Russische Hackergruppen verwenden eine Vielzahl von Taktiken, um ihre Ziele zu erreichen:

  • Phishing und Spear-Phishing: Durch täuschende E-Mails versuchen sie, Zugangsdaten zu stehlen oder Malware zu installieren.
  • Zero-Day-Exploits: Nutzung unbekannter Sicherheitslücken, um unbemerkt in Systeme einzudringen.
  • Destruktive Angriffe: Einsatz von Ransomware und Wiper-Malware, um Daten zu verschlüsseln oder zu löschen und somit erheblichen Schaden anzurichten.
  • Desinformation und Propaganda: Verbreitung falscher Informationen über Social Media und andere Plattformen, um politische Prozesse zu beeinflussen und gesellschaftliche Spaltungen zu vertiefen.
  • Living off the Land: Nutzung legitimer Systemfunktionen und -tools, um Aktivitäten zu verschleiern und die Entdeckung zu vermeiden.

Ziele und Motivation

Die Ziele russischer Hackergruppen sind vielfältig und umfassen:

  • Politische Manipulation: Einflussnahme auf Wahlen und politische Prozesse in anderen Ländern.
  • Spionage: Beschaffung sensibler Informationen von Regierungsbehörden, Militärs und Unternehmen.
  • Wirtschaftliche Sabotage: Störung wirtschaftlicher Aktivitäten und von Unternehmen.
  • Desinformation: Verbreitung falscher Informationen zur Destabilisierung von Gesellschaften und politischen Systemen.

Die Motivation hinter diesen Angriffen reicht von geopolitischen Interessen und wirtschaftlichem Gewinn bis hin zu ideologischen Zielen und der Förderung der nationalen Sicherheit Russlands.

Fokus auf kritische Sektoren

Russische Hackergruppen haben spezifische Sektoren im Visier, die sie regelmäßig angreifen:

  • Energiesektor: Angriffe auf Energieinfrastrukturen, um diese zu sabotieren oder auszuspionieren.
  • Mediensektor: Angriffe auf Medienorganisationen, um Desinformation zu verbreiten und die öffentliche Meinung zu manipulieren.
  • Regierungs- und Sicherheitssektor: Zielgerichtete Angriffe auf Regierungsbehörden und Sicherheitsorganisationen zur Sammlung von Informationen und zur Beeinflussung politischer Entscheidungen.
  • Telekommunikationssektor: Angriffe auf Telekommunikationsunternehmen, um Kommunikationsnetzwerke zu stören und Informationen abzufangen.

Ransomware und Politik

Ransomware-Angriffe, lange Zeit als rein kriminelle Aktivitäten betrachtet, weisen zunehmend Anzeichen politischer Motivation auf, insbesondere wenn sie aus Russland stammen. Eine tiefgehende Untersuchung hat ergeben, dass einige dieser Angriffe nicht nur finanzielle Gewinne anstreben, sondern auch geopolitische Ziele verfolgen, die im Einklang mit den Interessen der russischen Regierung stehen. Verbindungen zur russischen Regierung: Es gibt wachsende Beweise dafür, dass einige in Russland ansässige Ransomware-Gruppen eine inoffizielle, aber kooperative Beziehung zur russischen Regierung unterhalten. Diese Gruppen genießen Schutz vor Strafverfolgung durch russische Behörden, was ihnen erlaubt, ihre Operationen ohne Furcht vor Verhaftung fortzusetzen. Im Gegenzug profitieren staatliche Stellen von den Fähigkeiten dieser Cyberkriminellen und nutzen deren Expertise für eigene Zwecke. Ein Beispiel hierfür sind geleakte interne Kommunikation der Ransomware-Gruppe Conti, die zeigt, dass Mitglieder dieser Gruppe Kontakt zu Regierungsvertretern hatten und gelegentlich in staatlich unterstützte Cyberoperationen involviert waren.

Eine bemerkenswerte Beobachtung ist der Anstieg von Ransomware-Angriffen durch russische Gruppen vor Wahlen in großen Demokratien. Diese zeitliche Korrelation legt nahe, dass solche Angriffe Teil einer umfassenderen Strategie zur Wahlbeeinflussung und Destabilisierung politischer Systeme sein könnten. Durch die Störung kritischer Infrastrukturen und das Schüren von Unsicherheit können solche Angriffe das Vertrauen der Öffentlichkeit in die Wahlergebnisse untergraben und somit die politische Stabilität schwächen. Zusätzlich wurde festgestellt, dass Unternehmen, die ihre Geschäftstätigkeit in Russland nach der Invasion der Ukraine 2022 eingeschränkt oder beendet haben, vermehrt Ziel von Ransomware-Angriffen wurden. Dies deutet darauf hin, dass diese Angriffe nicht nur aus wirtschaftlichen Motiven heraus erfolgen, sondern auch als Vergeltungsmaßnahmen für wahrgenommene politische oder wirtschaftliche Feindseligkeiten gegenüber Russland dienen können. Die Verbindungen zwischen Ransomware-Gruppen und der russischen Regierung sowie die politisch motivierten Angriffe heben Ransomware über das Niveau gewöhnlicher Cyberkriminalität hinaus und positionieren sie als eine ernsthafte internationale Sicherheitsbedrohung. Solche Angriffe destabilisieren nicht nur die wirtschaftlichen Strukturen der betroffenen Länder, sondern dienen auch als Werkzeuge in einem breiteren geopolitischen Spiel.

Russlands vorgehen im Cyberwar

Praktische Erfahrungen aus der Ukraine hinsichtlich russischer Cyberangriffe

Die praktischen Erfahrungen in der Ukraine bieten wichtige Einblicke in die russischen Cyber-Angriffe und ihre Auswirkungen auf den Konflikt. Während der russischen Invasion in der Ukraine wurde eine Vielzahl von Cyber- und Informationskriegstechniken mit unterschiedlichen Zielen und Auswirkungen eingesetzt. Auch wenn Russland viele seiner Ziele im Bereich der Cyber- und Informationskriegsführung nicht erreicht hat, lassen sich aus dem Gesamtbild dennoch Lehren ziehen.

Der Konflikt in der Ukraine hat viele Dimensionen, eine der bemerkenswertesten ist der Einsatz von Cyber- und Informationskrieg durch Russland. Der umfassende Krieg Russlands gegen die Ukraine hat zu einer Vielzahl von Cyberangriffen und Informationsoperationen geführt, die unschätzbare Einblicke in die Fähigkeiten und Strategien Russlands liefern. Im Mittelpunkt der Angriffe standen die Störung der Kommunikation, die gezielte Täuschung von Personen durch vernetzte Geräte, die selektive Zerstörung ziviler Telekommunikationsinfrastrukturen und die Integration von kinetischen und Cyber-/Informationsaktivitäten.

Erste Phase der Invasion und Vorbereitung

Bereits vor der groß angelegten Invasion im Februar 2022 waren Russlands Cyber- und Informationskräfte gut vorbereitet. Ein deutlicher Anstieg destruktiver Cyberangriffe gegen die Ukraine war bereits im Januar und Februar 2022 zu verzeichnen. Diese Angriffe zielten darauf ab, die Kommunikationsfähigkeit der ukrainischen Regierung und des Militärs zu unterdrücken, was auf eine langfristige, koordinierte Vorbereitung hinweist. Ein markantes Beispiel war der Angriff auf das Viasat KA-SAT-Netzwerk kurz vor dem 24. Februar, der durch konventionelle und elektronische Kriegsführung ergänzt wurde, um die ukrainischen Streitkräfte zu blenden.

Übergang zu weniger komplexen Angriffsmustern

Im Verlauf des Krieges hat Russland von komplexeren zu einfacheren Angriffsmustern gewechselt. Diese „fast and dirty“ Methoden umfassten verteilte Denial-of-Service ()-Angriffe und den Einsatz neuer, weniger komplexer und modularer „Wiper“-Malware. Diese Änderungen in den Angriffsmustern deuten auf eine Anpassung an die Erfordernisse eines längeren Konflikts hin, bei dem weniger Planung und einfache Implementierung erforderlich sind.

Praktische Lehren aus der Cyber-Kriegsführung

Die Erfahrungen in der Ukraine zeigen, dass Cyber- und Informationsoperationen oft eng mit physischen Ereignissen und Infrastrukturen verknüpft sind. Die Abhängigkeit der Telekommunikation vom Stromnetz ist ein einfaches Beispiel. Wenn der Gegner gezielt die Stromversorgung angreift, wie es Russland im Herbst 2022 in der Ukraine tat, wird die Bereitstellung von Notstrom für Telekommunikationsstandorte und Rechenzentren zu einer wesentlichen Priorität für die Cybersicherheit​​.

Russland hat in der Ukraine auch gezeigt, dass seine Informationskriegsführung über Jahrzehnte hinweg strategisch angelegt ist. Russland nutzt langfristige Desinformationskampagnen, um die Unterstützung für die Ukraine zu untergraben und falsche Narrative zu verbreiten. Dies stellt eine erhebliche Herausforderung für die westlichen Unterstützer der Ukraine dar, da falsche Vorstellungen über die Ukraine und die Eskalation des Konflikts die notwendige wirtschaftliche und politische Unterstützung beeinträchtigen können​​​​.

Informationskrieg und Desinformation

Russlands Informationskrieg richtete sich nicht nur gegen die Ukraine, sondern auch gegen westliche Länder. Dabei wurden verschiedene Narrative verfolgt, um die öffentliche Meinung zu beeinflussen und Unterstützung für die Ukraine zu untergraben. Beispiele hierfür sind die „Winter Is Coming“-Kampagne, die Europäer davon überzeugen sollte, dass sie ohne russische Energie frieren würden, und die falsche Darstellung von Präsident Selenskyj als korrupten Führer.

Zukunftsaussichten und Empfehlungen

Die Erfahrungen aus der Ukraine bieten wichtige Lektionen für westliche Nationen, die sich auf zukünftige Konflikte vorbereiten müssen. Es wird empfohlen, die Cyberverteidigung weiter zu stärken und koordiniert auf Bedrohungen zu reagieren. Dies umfasst sowohl technische Maßnahmen zur Abwehr von Cyberangriffen als auch die Widerstandsfähigkeit gegen Informationskriegsführung durch gezielte Kommunikationsstrategien und die Förderung von Medienkompetenz.


Ausblick: Russische Hackeraktivitäten

Russische Hackergruppen sind hochentwickelte und gefährliche Akteure im globalen Cyberspace. Ihre Angriffe haben weitreichende Auswirkungen und stellen eine ernsthafte Bedrohung für die Sicherheit und Stabilität von Staaten und Unternehmen dar.

IT-Sicherheitsrecht & Sicherheitsvorfall

Wir bieten juristische Beratung bei einem Sicherheitsvorfall sowie im IT-Sicherheitsrecht: rund um Verträge, Haftung und wird Hilfe in der Cybersecurity von jemandem geboten, der es kann – IT-Fachanwalt und Strafverteidiger Jens Ferner bringt sein Fachwissen mit dem Hintergrund des Softwareentwicklers und Verteidigers von Hackern in Unternehmen ein!

Es ist von entscheidender Bedeutung, dass Organisationen weltweit ihre Cybersicherheitsmaßnahmen verstärken und sich gegen diese Bedrohungen wappnen. Durch die Analyse und das Verständnis der Taktiken und Methoden russischer Hacker können bessere Schutzmaßnahmen entwickelt und die Widerstandsfähigkeit gegen zukünftige Cyberangriffe erhöht werden.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.