Das steckt hinter den massiven pro-russischen Cyberangriffen gegen die Schweiz
Die pro-russische Hacktivisten-Gruppe "NoName057(16)" führt ihre DDoS-Attacken gegen Schweizer Server unvermindert weiter. watson-Recherchen zeigen, wie sich die Kriminellen bei Telegram organisieren.
Die Server-Überlastungsangriffe gegen Schweizer Ziele sind am Dienstag unvermindert weitergegangen. Hinter den DDoS-Attacken steckt ein pro-russisches Online-Kollektiv, das sich "NoName057(16)" nennt. Die Mitglieder tauschen sich über den Messenger-Dienst Telegram aus.
Wen haben die Angreifer im Visier?
Die in der letzten Woche gestarteten DDoS-Attacken intensivierten sich am Montag und richteten sich insbesondere gegen Server der Bundesverwaltung.
Am Dienstag folgten weitere Server-Überlastungsangriffe, unter anderem gegen die Flughäfen im ganzen Land. So zum Beispiel gegen den Internetauftritt des Regionalflugplatzes Grenchen SO. Aber auch die Server des internationalen Flughafens Genf wurden durch die massenhaften Anfragen vorübergehend in die Knie gezwungen.
Im Telegram-Kanal feierten die unbekannten Kriminellen ihren angeblich durchschlagenden Erfolg mit diversen Postings. Den erfolgreich "abgeschossenen" Zielen widmeten sie Grafiken mit einem Bären – dem Symboltier Russlands.
Flughafen Bern: "down"
(Source: Screenshot Watson)
Genève Aéroport: "down"
(Source: Screenshot Watson)
Flugplatz Grenchen: "down"
(Source: Screenshot Watson)
Website der Schweizer Armee: vorübergehend "down"
(Source: Screenshot Watson)
Der Internetauftritt der Schweizer Armee unter vgt.admin.ch war am Dienstagmorgen temporär nicht erreichbar. Am Nachmittag war die Webseite wieder normal verfügbar.
Auch die Website des Engadin Airport, die am Dienstagmorgen mit Störungen zu kämpfen hatte, war am Dienstagnachmittag wieder normal zu erreichen. Die gleiche Beobachtung machten Aviatik-Interessierte in der Ostschweiz.
Flughafen St.Gallen Altenrhein: vorübergehend "down"
(Source: Screenshot Watson)
Neben den Flughäfen wurden am Dienstag auch scheinbar willkürlich ausgewählte Schweizer Ziele attackiert, wie eine Firma, die Helikopterflüge anbietet.
Bei Telegram verlinken die Angreifer jeweils auf den Online-Dienst check-host.net. Auf den entsprechenden Statistik-Seiten zu den einzelnen Internetadressen (wie vgt.admin.ch) ist die "Down Time" des Webauftritts ersichtlich.
Wie gefährlich sind diese DDoS-Angriffe?
Es handelt sich nicht um Hackerangriffe, bei denen mit technischer Raffinesse in geschützte IT-Netzwerke eingedrungen wird, um dort Daten zu stehlen oder Systeme zu schädigen. DDoS-Attacken sind so etwas wie Cyber-Randale. Man könnte auch sagen: sehr viel Rauch, wenig Feuer.
Nicht zu unterschätzen ist jedoch der Schaden, der durch die zum Teil während Stunden anhaltende Offline-Zeit der Webauftritte und Online-Dienste angerichtet wird.
Zum einen ist da ein beträchtlicher Image-Schaden, wenn es den Angegriffenen nicht zeitnah gelingt, wirksame Abwehrmassnahmen in die Wege zu leiten. Auch grosse ausländische Medien wie die BBC haben bereits über die entsprechenden Attacken berichtet. Auch dies wird von den Hacktivisten erfreut zur Kenntnis genommen.
Zum andern kann den von den Attacken direkt betroffenen Organisationen durch eine anhaltende Online-Störung ein wirtschaftlicher Schaden entstehen.
Schliesslich ist von einer gewissen psychologischen Wirkung auszugehen: Niemand lässt sich gern attackieren. In der Bevölkerung, insbesondere bei wenig IT-affinen Personen, können Schlagzeilen zu Verunsicherung führen.
Warum wird die Schweiz attackiert?
In einem weiteren Telegram-Kanal ist ein im vergangenen Jahr veröffentlichtes Manifest der Gruppierung "NoName057(16)" zu finden, auf das sie immer noch verweist. Es richtet sich an freiwillige Unterstützerinnen und Unterstützer.
Manifest von "NoName057(16)" (aus dem Russischen übersetzt):
"Jede Aktion löst eine Reaktion aus. Gegen Russland wird ein offener Informationskrieg geführt. Westliche Russophobe nutzen die administrativen, finanziellen und technischen Ressourcen ausländischer Staaten und verüben Angriffe auf die Infrastruktur der Russischen Föderation.Wir haben nicht die Absicht, tatenlos zuzusehen, und als Reaktion auf ihre feindseligen, offen antirussischen Aktionen werden wir angemessen reagieren. Es ist nicht hinnehmbar, dass Russophobie zur Norm wird! Wir werden niemals Unschuldigen Schaden zufügen und unser Handeln ist eine Reaktion auf die überstürzten Taten all derer, die eine offen feindselige Haltung eingenommen haben. Wir verfügen über genügend Wissen, Kraft und Erfahrung, um die Gerechtigkeit dort wiederherzustellen, wo sie verletzt wurde. Wir greifen uns selbst nicht aufgrund unserer Überzeugungen an. Unser Vaterland ist unsere Stärke. Wir arbeiten nicht im Rahmen kommerzieller Aufträge und schliessen keine Rechnungen zwischen Wettbewerbern ab. Wir sind bereit, mit Hackergruppen und ‹Freischützen› zusammenzuarbeiten, die unsere im Manifest aufgeführten Werte teilen. Die Stärke liegt in der Wahrheit, und darauf stehen wir!"
Es scheint jedoch auch Unterstützer im Westen zu geben, die vermutlich eher persönliche Motive verfolgen …
Screenshot aus der Telegram-Gruppe: "Good morning friends! Who are we hurting today?" - "Canton of Zurich tax office, debt collection offices, debt collection office Seuzach" (Source: Screenshot Watson / Telegram)
Warum ist am Donnerstag erneut mit massiven Angriffen zu rechnen?
Dann wird sich der ukrainische Präsident Wolodymyr Selenskyj in einer Live-Schaltung an die Schweiz wenden.
Im Hinblick auf die Videoübertragung der Ansprache im Nationalratssaal erklärte das Nationale Zentrum für Cybersicherheit des Bundes (NCSC), die Parlamentsdienste würden alles für einen reibungslosen Ablauf unternehmen. Konkrete Angaben über die Massnahmen gebe es aber aus Sicherheitsgründen nicht, berichtete Keystone-SDA.
"Während die Schweizer Behörden weiterhin Waffen an die ukrainischen Nazis liefern, bestrafen wir weiterhin die russophoben Portale dieses Landes." (Auf russischer Desinformation und Propaganda basierende Drohung von "NoName057(16)")
Wer sind die Angreifer und was haben sie davon?
Den Postings in den einschlägigen Telegram-Gruppen nach zu urteilen, sind es russischsprachige User. Die selbsternannten russischen Patrioten scheinen aber tatsächlich auch einen gewissen Zuspruch aus westlichen Ländern zu erhalten. Sei dies aus Westeuropa oder aus Nordamerika.
Tatsächlich winkt den aktivsten DDoS-Kämpfern auch eine finanzielle Entschädigung, wie wir gleich sehen.
Bei Telegram tritt das sogenannte "DDosia-Projekt" in Erscheinung, ein Freiwilligenprojekt zur Verwendung spezieller Software, um das pro-russische Hacktivisten-Team bei der Durchführung von Cyberattacken zu unterstützen. Es gibt sogar einen Online-Support, der Neulingen hilft.
Tatsache ist: Mit einem gewissen technischen Grundverständnis bzw. Informatik-Kenntnissen ist es für Menschen rund um den Globus möglich, an den DDoS-Attacken teilzunehmen. Dazu muss man lediglich eine bei Telegram verfügbare Software herunterladen und installieren und mithilfe eines sogenannten VPN-Dienstes die eigene Internetadresse verschleiern. Quasi auf Knopfdruck kann man sich anschliessend an den automatisierten Attacken beteiligen.
Fragt sich, wer so unvorsichtig bzw. dumm ist, ein potenziell bösartiges Tool aus unbekannter Quelle auf dem eigenen Gerät zu installieren?
Wer die vom DDosia-Projekt angebotene Software nutzen will, um sich an Angriffen zu beteiligen, soll ein Kryptowährungskonto einrichten und sich bei einem bestimmten Server anmelden. Tatsächlich winkt den aktivsten Kämpfern auch noch eine finanzielle Entschädigung für ihr Engagement. In einem russischsprachigen Erklärartikel heisst es:
"Wir bitten euch, das Projekt als freiwillig und unverbindlich zu betrachten. Die Auszahlung der Vergütung an die Krypto-Wallet der aktivsten Teilnehmer des Projekts erfolgt einmal im Monat. Ihr solltet dies jedoch nicht als Gehalt zu einem bestimmten Zeitpunkt betrachten und noch mehr verlangen."
PS: Ebenfalls am Dienstag zeigte sich bei Telegram, dass die pro-russischen Hacktivisten ein weiteres europäisches Land ins Visier nehmen: Kurz darauf war die Website des isländischen Parlaments nicht mehr erreichbar.
Dieser Beitrag ist zuerst auf "Watson.ch" erschienen.