>
Research (Insikt)

Dark Covenant 2.0: Cyberkriminalität, der russische Staat und der Krieg in der Ukraine

Veröffentlicht: 31. Januar 2023
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Anmerkung der Redaktion: Dies ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier , um den Bericht als PDF herunterzuladen.

Dieser Bericht untersucht die unausgesprochenen Verbindungen zwischen der Russischen Föderation, Cyberkriminellen und selbsternannten Hacktivisten in Russland und Osteuropa im Kontext des russischen Krieges in der Ukraine. Es handelt sich um eine direkte Fortsetzung der Erkenntnisse aus unserem Bericht „Dark Covenant: Verbindungen zwischen dem russischen Staat und kriminellen Akteuren“ aus dem Jahr 2021. Dieser Bericht ist für Bedrohungsforscher sowie Strafverfolgungs-, Regierungs- und Verteidigungsorganisationen von Interesse.

Executive Summary

Seit dem 24. Februar 2022 hat sich die Bedrohungslandschaft der russischen Cyberkriminalität als Reaktion auf den russischen Krieg in der Ukraine grundlegend verändert. Der Krieg brachte Chaos in die cyberkriminelle Unterwelt und polarisierte die Bedrohungsakteure in den Staaten der Gemeinschaft Unabhängiger Staaten (GUS). Während einige cyberkriminelle Gruppen der russischen Regierung ihre Loyalität schworen, zersplitterten andere aufgrund unüberbrückbarer ideologischer Differenzen oder blieben unpolitisch und entschieden sich dafür, die geopolitische Instabilität für finanzielle Zwecke auszunutzen. Einige Gruppen sind vollständig verschwunden. Als indirekte Folgen des Krieges kam es wahrscheinlich zu Störungen des Untergrundmarktes, einer Verschiebung der Angriffe von Hacktivisten und Erpressersoftware sowie zu einem Anstieg von Finanzbetrug – neben anderen Phänomenen, die das russische cyberkriminelle Ökosystem beeinträchtigen.

Trotz all dieser Veränderungen blieb eines weitgehend konstant: Cyberkriminelle spielen weiterhin eine wichtige Rolle bei der russischen Regierung – direkt, indirekt und stillschweigend. Bei Cybercrime-Gruppen, die dem Kreml ihre Treue geschworen haben, haben sich die unausgesprochenen Verbindungen vertieft. Russische Cyberkriminelle und selbsternannte Hacktivisten sind aktiv an Operationen beteiligt, die sich gegen ukrainische Unternehmen und Infrastrukturen sowie gegen Unternehmen in Staaten richten, die ihre Unterstützung für die Ukraine erklärt haben. Recorded Future hat beobachtet, dass russische und russischsprachige Bedrohungsakteure die Vereinigten Staaten, das Vereinigte Königreich, die Nordatlantikvertrags-Organisation (NATO), Japan und andere ins Visier nehmen, um sich finanziell zu bereichern und aus egoistischen Gründen Propaganda zur Unterstützung Russlands zu machen.

dark-covenant-2-cybercrime-russischer-staatskrieg-ukraine-001.jpg Abbildung 1: Erklärung der Conti Gang vom 25. Februar 2022, in der sich die Gruppe mit der russischen Regierung verbündet (Quelle: Conti.News)

Cyberkriminelle Organisationen wie Conti haben offen ihre Loyalität zur russischen Regierung erklärt und gängige Schadsoftware wie DarkCrystal RAT, Colibri Loader und WarZoneRAT, die in den wichtigsten russischsprachigen Foren verfügbar sind, wird von Advanced Persistent Threat (APT)-Gruppen eingesetzt, um Einrichtungen in der Ukraine anzugreifen. Wir haben bereits vor dem Krieg und unmittelbar nach seinem Ausbruch cyberkriminelle Aktivitäten festgestellt, die unserer Ansicht nach dem russischen Staat zuzuschreiben sind. Russischsprachige, sich selbst als „Hacktivisten“ bezeichnende Gruppen wie Killnet und Xaknet sind mit ziemlicher Sicherheit aktiv an Informationsoperationen (IOs) gegen Organisationen und Einrichtungen im Westen beteiligt. Diese werden von den staatlich geförderten russischen Medien unterstützt und zielen wahrscheinlich darauf ab, Angst zu schüren oder die Unterstützung für die Ukraine zu verringern. Wir haben außerdem weitere Phänomene festgestellt, darunter eine Zunahme von Kreditkartenbetrug, Datenbanklecks, die Schließung von Darknet-Marktplätzen und mehr. Diese sind unserer Ansicht nach die Folgen wirtschaftlicher, diplomatischer und polizeilicher Aktivitäten, die sich aufgrund der Unterstützung des Krieges in der Ukraine gegen russische Unternehmen richten.

Wichtige Urteile

  • Es ist nach wie vor sehr wahrscheinlich, dass zwischen den russischen Geheimdiensten, dem Militär und den Strafverfolgungsbehörden seit Langem ein stillschweigendes Einverständnis mit den Akteuren der Cyberkriminalität besteht. In einigen Fällen ist es nahezu sicher, dass diese Behörden eine etablierte und systematische Beziehung zu den Akteuren der Cyberkriminalität unterhalten, sei es durch indirekte Zusammenarbeit oder durch Anwerbung.
  • Basierend auf unserem Verständnis der Aktivitäten von Cyberkriminellen und Hacktivisten im Zusammenhang mit dem russischen Krieg in der Ukraine ist es wahrscheinlich, dass cyberkriminelle Bedrohungsakteure mit dem russischen Staat zusammenarbeiten, um russische offensive Cyber- und Informationsoperationen zu koordinieren oder zu verstärken.
  • Russische Cyberkriminelle-Gruppen, Werkzeuge sowie Taktiken, Techniken und Verfahren (TTPs) dienen wahrscheinlich dazu, staatlich geförderte Bedrohungsakteure, die in den russischen Krieg in der Ukraine verwickelt sind, glaubhaft zu machen. Es ist wahrscheinlich, dass finanziell motivierte Bedrohungsakteure, die aus der geopolitischen Instabilität Kapital schlagen, auch die Interessen des russischen Staates fördern, sei es zufällig oder absichtlich.
  • Die Beschlagnahmung von Darknet- und Spezialzugriffsquellen durch russische Strafverfolgungsbehörden vor dem Krieg schien ein Zeichen des guten Willens des russischen Staates zu sein und signalisierte seine Bereitschaft und Fähigkeit, Cyberkriminalität zu vereiteln. Wir gehen jedoch davon aus, dass diese Durchsetzungsmaßnahmen wahrscheinlich darauf abzielten, die Vorwürfe einer Zusammenarbeit zwischen Cyberkriminellen und dem russischen Staat zu untergraben und so eine weitere glaubhafte Abstreitbarkeit zu ermöglichen.
  • In mehreren Branchen der Cyberkriminalität kam es infolge des russischen Krieges in der Ukraine zu tiefgreifenden Veränderungen. Dazu gehören Änderungen in der Bedrohungslandschaft von Malware-as-a-Service (MaaS) und Ransomware-as-a-Service (RaaS), ein Anstieg des russischen Zahlungskartenbetrugs, eine Verlagerung der Angriffsziele von Cyberkriminellen, Änderungen bei Infrastruktur und Hosting und mehr.

Methodik

Dieser Bericht fasst Informationen aus offenen und menschlichen Quellen zusammen. Dazu gehören auch Informationen, die durch die Überwachung und Nutzung des Darknets, von Quellen mit Sonderzugriff und von sozialen Medien, die häufig von russischsprachigen Cyberkriminellen genutzt werden, gesammelt wurden. Wir haben uns mehrere englischsprachige Foren angesehen, um Kontaktpunkte und Spitznamen zu vergleichen, die im Verdacht stehen, von russischsprachigen Cyberkriminellen im gesamten Darknet verwendet zu werden. Wir haben außerdem Informationen von Open- und Closed-Source-Messaging-Plattformen wie Telegram, Tox und Jabber (XMPP) sowie aus den sozialen Medien gesammelt.

Mithilfe unserer Sammlungen zu Erpressungs-, Chat- und Zahlungswebsites mit Ransomware konnten wir Verbindungen zwischen verschiedenen Ransomware-Gruppen und dem russischen Staat herstellen. Wir haben qualitative und quantitative Methoden verwendet, um die Opfer von Ransomware vor und nach der russischen Invasion in der Ukraine am 24. Februar 2022 zu untersuchen und Theorien über Motive und Ideologie aufzustellen. Dieser Bericht stützt sich in hohem Maße auf die Recorded Future Platform ® ​, um seine Ergebnisse zu visualisieren und Verbindungen zwischen geopolitischen Ereignissen, cyberkriminellen Bedrohungsakteuren und Bedrohungsakteursgruppen, Advanced Persistent Threats (APTs) und dem russischen Staat im Kontext des russischen Krieges in der Ukraine herzustellen.

Um Lücken in unserem HUMINT-Sammelprozess zu schließen, verlassen wir uns außerdem stark auf andere Formen der OSINT-Forschung, etwa akademische Veröffentlichungen, Whitepaper der Branche, Konferenzpräsentationen und mehr. Dieser Bericht nutzt frühere Open-Source-Berichte sowie den ursprünglichen Dark Covenant- Bericht von 2021 als Hintergrund und Berechtigung für seine Recherche. Dieser Bericht wurde zwischen dem 24. Februar 2022 und dem 24. August 2022 recherchiert und verfasst.

Dark Covenant 2: Cyberkriminalität – Russischer Staatskrieg – Ukraine 002.png Abbildung 2: Zeitleiste der Ereignisse zwischen dem cyberkriminellen Ökosystem, selbsternannten Hacktivisten-Organisationen und staatlich geförderten Gruppen während des Konflikts in der Ukraine (Quelle: Recorded Future)

Hintergrund

„Dunkler Bund“

Im Jahr 2021 haben wir ausführlich beschrieben , wie etablierte, verteilte Netzwerke aus Einzelpersonen in der russischen Cyberkriminalität und Beamten der russischen Strafverfolgungs- oder Geheimdienste – umgangssprachlich auch Silowiki genannt – miteinander verbunden sind. Der Bericht erläuterte ausführlich, wie die Beziehungen in diesem Ökosystem oft auf unausgesprochenen, aber verstandenen Vereinbarungen beruhen, die aus veränderlichen Assoziationen bestehen. Diese Untersuchung basierte auf historischen Aktivitäten, öffentlichen Anklagen und Ransomware-Angriffen. Insgesamt unterteilt der Bericht die Verbindungen zwischen dem russischen cyberkriminellen Umfeld und den Silowiki in drei Hauptkategorien: direkte Verbindungen, indirekte Zugehörigkeiten und stillschweigende Übereinkünfte.

  • Direkte Verbindungen werden durch präzise Verbindungen zwischen staatlichen Institutionen und Akteuren in der kriminellen Unterwelt identifiziert; ein Beispiel dafür ist Dmitry Dokuchaev, ein Major des russischen Inlandsgeheimdienstes (FSB), der rekrutiert wurde, nachdem er als Cyberkrimineller gearbeitet hatte.
  • Indirekte Verbindungen liegen vor, wenn zwar keine direkte Verbindung hergestellt werden kann, es aber klare Hinweise darauf gibt, dass die russische Regierung Ressourcen oder Personal zu ihrem Vorteil einsetzt. Ein Beispiel hierfür ist die wahrscheinliche Nutzung des GameOver Zeus-Botnetzes durch die russische Regierung für Spionage- oder DDoS-Angriffe durch „patriotische Hacker“ im Zuge militärischer Konflikte.
  • Unter stillschweigender Zustimmung versteht man Überschneidungen cyberkrimineller Aktivitäten, einschließlich gezielter und zeitlicher Abfolge, die den Interessen oder strategischen Zielen des russischen Staates dienen. Solche Aktivitäten erfolgen ohne direkte oder indirekte Verbindung zum Staat, werden jedoch vom Kreml geduldet und schauen bei derartigen Aktivitäten weg.

In unserem Bericht von 2021 kamen wir zu der Einschätzung, dass die Verbindungen der Cyberkriminellen zu den Silowiki mit ziemlicher Sicherheit auch in absehbarer Zukunft bestehen bleiben werden und dass sich diese Verbindungen und Aktivitäten wahrscheinlich so anpassen werden, dass eine glaubhaftere Abstreitbarkeit gegeben ist und es weniger offene, direkte Verbindungen zwischen beiden Gruppen gibt.

Seit unserem ersten Bericht ist die russische Regierung in die Ukraine einmarschiert, ein Ereignis, das unser Verständnis der Fähigkeiten und Defizite Russlands in Bezug auf militärische Stärke und Cyber-Kapazitäten erhellt hat. So ermöglichte etwa eine Reihe von Leaks über die Cyberkriminellen-Gruppen Conti und Trickbot (Wizard Spider) einen beispiellosen Einblick in die Beziehung dieser Gruppen zum Staat. Der Konflikt hat dazu geführt, dass sich selbsternannte „Hacktivisten“ prorussische Angriffe verüben, die angeblich aus patriotischen Interessen motiviert sind. In manchen Fällen ist es allerdings wahrscheinlich , dass solche Gruppen der russischen Regierung eine Möglichkeit bieten, ihre Anschläge glaubhaft zu leugnen.

Die russische Invasion in der Ukraine

Die russische Invasion der Ukraine im Februar 2022 hat zu einer größeren humanitären Krise in Europa sowie zu erhöhten internationalen Spannungen geführt. An dem Konflikt, den Russland im physischen, Informations- und Cyberbereich ausgetragen hat, waren mehrere prorussische Bedrohungsgruppen sowie bislang unbekannte Einheiten aus dem Ökosystem der Cyberkriminalität beteiligt. Im Zuge des Krieges kam es bereits zu groß angelegten Distributed-Denial-of-Service-Angriffen (DDoS), Website-Verunstaltungen, Phishing- und Spam-Kampagnen, dem Einsatz von Malware und Wiper-Angriffen gegen zahlreiche ukrainische Einrichtungen im öffentlichen und privaten Sektor.

Russische Cyberkriminalität im Cyberkrieg

Die Rekrutierung hochqualifizierter Computerprogrammierer, Netzwerkspezialisten und anderer technisch versierter Mitarbeiter durch die russischen Geheimdienste reicht laut einem am 12. Dezember 2019 veröffentlichten Bericht von Meduza mindestens bis in die 1990er Jahre zurück. In diesem Bericht wird ein FSB-Offizier mit der Aussage zitiert, dass Hacker, sobald sie ein gewisses Erfolgsniveau erreicht hätten, gezielt angeworben würden: „Um es mit den Worten [des FSB-Offiziers] auszudrücken: „Sobald ‚der erste technische Hochschulstudent aus einfachen Verhältnissen einen Ferrari auf die Straßen Moskaus brachte‘, begannen die FSB-Agenten mit der Anwerbung von neuen Leuten – sie brachten das Geschäft der Internetkriminalität unter Kontrolle und machten es sich zu eigen.“

In seinem 2019 erschienenen Buch „Intrusion: A Brief History of Russian Hackers“ zitierte Daniil Turovsky einen namentlich nicht genannten russischen Hacker, der über die Verbindungen zwischen der kriminellen Unterwelt und den russischen Geheimdiensten schilderte. Dem Hacker zufolge verfügte das Zentrum für Informationssicherheit des russischen Inlandsgeheimdienstes (CIB FSB) nur über begrenzten technischen Personalbestand und zog deshalb häufig externe Spezialisten hinzu. Berichten zufolge ging man sogar so weit, einige Hacker in sicheren Häusern zu verstecken.

Andrei Soldatow, ein russischer Enthüllungsjournalist und Co-Autor von „Das Rote Netz“, einem Buch über die Online-Aktivitäten des Kremls, meint , die Taktik der russischen Regierung, Cyber-Operationen an verschiedene Gruppen auszulagern, helfe ihr zwar dabei, sich zu distanzieren (und ermögliche letztlich die Möglichkeit, ihre Aktivitäten abzustreiten), mache sie aber auch anfällig für außer Kontrolle geratene Hacker.

Russische Cyberkriminalität in der Außenpolitik

Im September 2021, etwa zu der Zeit, als wir unseren ersten Dark Covenant-Bericht veröffentlichten, stellten wir nach den jüngsten Aufsehen erregenden Ransomware-Angriffen und den darauf folgenden zwischenstaatlichen Konsultationen zwischen den USA und Russland eine Änderung in der Kalkulation fest. Damals erhöhten die USA aufgrund spektakulärer Ransomware-Angriffe auf Colonial Pipeline, JBS und Kaseya den Druck auf die russische Regierung, gegen die cyberkriminellen Gruppen vorzugehen, die hinter diesen Aktivitäten standen. Etwa zu dieser Zeit verboten die Administratoren zweier großer russischsprachiger Foren – Exploit und XSS – vermutlich aufgrund des gestiegenen Drucks rasch Ransomware-Themen auf ihren kriminellen Untergrundplattformen. Allerdings gibt es weiterhin Ransomware-Aktivitäten in Form von Maklerdiensten für „ Erstzugriffe“ und „Datenlecks“. Darüber hinaus stellten die Ransomware-Familien DarkSide, REvil und Avaddon ihre Erpressungsaktivitäten unmittelbar vor oder wenige Tage nach dem ersten Treffen zwischen US-Präsident Joe Biden und dem russischen Präsidenten Wladimir Putin am 16. Juni 2021 im schweizerischen Genf ein. Diese Pause war nur vorübergehend, da die Ransomware-Angriffe auch im Jahr 2022 anhielten, darunter auch Angriffe auf kritische Infrastrukturziele im Energiesektor und bei Transportunternehmen in Europa (1, 2, 3).

Verwandt