Täuschung war schon immer Teil des Hacker-Spielbuchs. Aber es ist eine Sache für Eindringlinge, ihre Spuren zu verbergen und eine andere, eine erfundene Identität anzunehmen oder sogar ein anderes Land für einen Cyberangriff zu rahmen. Russlands Hacker haben all das getan und sind jetzt noch einen Schritt weiter gegangen. In einer Reihe von Spionagefällen entführten sie die Hacking-Infrastruktur eines anderen Landes und nutzten sie, um Opfer auszuspionieren und Malware auszuliefern.
Am Montag veröffentlichten die NSA und die britische GCHQ Warnungen, dass eine russische Hacker-Gruppe, bekannt als Turla oder Waterbug, seit Jahren eine neue Form der Spionage durchführt: Sie übernahm die Server einer iranischen Hacker-Gruppe, bekannt als OilRig, und benutzte sie Russlands Ziele voranzutreiben.
Während Symantec und andere Cybersecurity-Unternehmen Turlas Huckepack-Verfahren Anfang dieses Jahres bemerkt hatten, haben die US-amerikanischen und britischen Geheimdienste nun die Größenordnung des Vorhabens skizziert. Das russische Team hat Opfer in 35 Ländern ausspioniert, von denen alle bei der ersten Inspektion geglaubt haben könnten, dass die Eindringlinge stattdessen Iraner waren. "Wir möchten eine klare Botschaft aussenden, dass selbst wenn Cyber-Akteure versuchen, ihre Identität zu verschleiern, unsere Fähigkeiten sie letztendlich identifizieren", so Paul Chichester, Director of Operations der NCSC.
Während Turla letztendlich entlarvt wurde, eröffnet die Operation den digitalen Ermittlern eine neue Dimension der Unsicherheit. Im weiteren Sinne zeigt es die rasante Entwicklung, wie sich Hacker hinter falschen Flaggen verstecken. Noch vor ein paar Jahren trugen sie ungeschickte Masken. Jetzt können sie praktisch die Identität einer anderen Gruppe als zweite Haut tragen. Und während sich andere Länder an der Praxis versucht haben - Nordkorea hat Sony Pictures unter dem Spitznamen "Guardians of Peace" bekanntermaßen gehackt -, hat niemand diesen Fortschritt stärker vorangetrieben als die Russen.
"Ihre aggressive Cyberaktivität basiert auf einer fundierten Erfahrung mit aktiven Maßnahmen", sagt John Hultquist, Director of Intelligence Analysis beim Bedrohungsnachrichtendienst FireEye. "Es ist keine Frage, dass sie am Rande des Problems stehen."
Hactivist Imitatoren
Seit 2014 haben russische Hacker aus einer sprichwörtlichen Tüte Verkleidungen ausgewählt, um für Verwirrung zu sorgen. Im Mai dieses Jahres beispielsweise hackte eine Gruppe, die sich Cyber Berkut nannte, die ukrainische Zentrale Wahlkommission mitten in den Wahlen nach der Revolution. "Berkut" ist die ukrainische Abkürzung für "Adler" und der Name einer Polizei, die das pro-russische Regime in der Revolution unterstützte und mehr als 100 Demonstranten tötete. Die Cyber Berkut-Hacker haben unter dem Deckmantel von Aktivisten, die die ukrainische Regierung der Korruption beschuldigen, eine politische Botschaft auf der Website der Kommission veröffentlicht. Sie stellten später ein Bild auf den Webserver der Kommission, das am Wahltag falsche Abstimmungsergebnisse zeigte, und stellten den äußerst rechten Kandidaten Dmytro Yarosh an die Spitze.
Obwohl es der Kommission gelungen war, das Bild zu entdecken und zu löschen, bevor die Abstimmungsergebnisse veröffentlicht wurden, liefen die russischen Medien trotzdem mit der falschen Bilanz und deuteten auf eine Zusammenarbeit zwischen Hackern, russischen Fernsehsendern und dem Kreml hin. Später stellte sich heraus, dass Cyber Berkut eine Front der als APT28 oder Fancy Bear bekannten russischen Hacker-Gruppe des Militärgeheimdienstes ist.
In den folgenden Jahren würde die GRU diese "hacktivistischen" Angriffe unter falscher Flagge immer wieder wiederholen. Hacker, die sich Cyber Caliphate nennen, haben 2015 den französischen Fernsehsender TV5Monde getroffen, die Computer des Senders zerstört und eine Jihadi-Nachricht auf seiner Website veröffentlicht. Die Fehlleitung führte zu sofortigen Spekulationen, dass ISIS den Angriff verübt habe, bevor der französische Geheimdienst ANSSI ihn an die GRU anheftete. Und im Jahr 2016 identifizierte die Sicherheitsfirma CrowdStrike die GRU als die Spionageagentur hinter der auf die USA gerichteten Operation unter falscher Flagge, diesmal als Hacker des Democratic National Committee und später der Präsidentschaftskampagne von Hillary Clinton. Die Fancy Bear-Hacker hatten sich hinter Fronten versteckt wie ein rumänischer Hacktivist namens Guccifer 2.0 und eine Whistleblowing-Site namens DCLeaks, die die gestohlenen Dokumente verteilte.
Ransomware-Fälschungen
Ende 2016 begannen GRU-Hacker, ihre Taktik zu ändern. Im Dezember desselben Jahres stellten Analysten des slowakischen Cybersicherheitsunternehmens ESET fest, dass die von ihnen als Telebots bezeichneten GRU-Hacker, auch als Voodoo-Bär oder Sandwurm bekannt, sowohl hacktivistische als auch cyberkriminelle Fronten in Bezug auf anarchische Hacktivisten aus der Fernsehsendung Mr. Roboter. Bei anderen Vorfällen zur gleichen Zeit stellte ESET fest, dass die Hacker eine Bitcoin-Ransomware-Zahlung verlangten.
All dies schuf eine plausible Verleugnung für den Kreml. "Wenn ihre alten Tricks aufgedeckt werden, müssen sie mit neuen Wegen experimentieren", sagt James Lewis, der Direktor des Strategic Technologies Program am Center for Strategic and International Studies.
Bis zum Frühjahr 2017 schienen die GRU-Hacker vollständig auf Ransomware umzusteigen, um ihre Angriffe zu vertuschen, und starteten eine Reihe von Ransomware-Würmern gegen ukrainische Ziele - Malware, bekannt als XData, NotPetya und Bad Rabbit. Insbesondere NotPetya bot seinen Opfern keine Möglichkeit, ihre Dateien zu entschlüsseln, selbst wenn sie das 300-Dollar-Bitcoin-Lösegeld bezahlten. Es verbreitete sich so explosionsartig in der Ukraine, dass es zum zerstörerischsten und teuersten Cyberangriff der Geschichte wurde. Dennoch dauerte es acht volle Monate, bis eine Ansammlung von Geheimdiensten in Australien, Kanada, Neuseeland, Großbritannien und den USA das russische Militär als Täter nannte.
Geliehene Werkzeuge
Russlands echte Innovation im Bereich der Operationen unter falscher Flagge würde erst im Februar 2018 ernsthaft beginnen. Zu diesem Zeitpunkt startete die GRU einen Cyberangriff auf das IT-Backend der Olympischen Winterspiele in Pyeongchang als Vergeltung für ein Dopingverbot für russische Athleten. Als die Forscher begannen, diese als Olympic Destroyer bekannte Malware auseinanderzuziehen, fanden sie zunächst Teile des Codes, die nicht nur mit früheren von Russland verwendeten Tools, sondern auch mit staatlich finanzierten nordkoreanischen und chinesischen Hackern übereinstimmten - nicht nur mit einer einzigen falschen Flagge, aber eine ganze verwirrende Sammlung von ihnen. "Es war eine psychologische Kriegsführung gegen Reverse Engineers", sagte Silas Cutler, zu der Zeit ein Sicherheitsforscher für CrowdStrike, später zu WIRED.
Das Problem mit dem olympischen Zerstörer wurde erst Wochen später gelöst, als die Analysten von FireEye und Kaspersky ein Phishing-Dokument an eine Sammlung anderer schädlicher Dateien banden, die bei früheren Angriffen verwendet wurden. Viele dieser früheren Ziele waren typische Opfer russischer Hacker, wie ukrainische Regierungsbehörden und Aktivisten. FireEye ging noch einen Schritt weiter und glich eine Domain, die auf den Command-and-Control-Servern dieser mit Malware durchsetzten Dokumente verwendet wurde, mit einer Domain ab, die von denselben Hackern verwendet wurde, die 2016 gegen zwei US-amerikanische Wahlvorstände verstoßen hatten GRU.
Doch während FireEye mithilfe von Infrastrukturanalysen das Geheimnis der Olympic Destroyer aufklärte, zeigt der Vorfall in Turla, dass selbst diese Beweislage irreführend sein kann. In diesem Fall hätte es leicht darauf hindeuten können, dass der Iran und nicht Russland hinter Turlas Spionagekampagne steckt. "Sie rüsten ihr Spiel immer weiter auf", sagt Lewis.
Tatsächlich argumentiert Lewis, dass das ultimative Ziel Russlands mit seinen Angriffen unter falscher Flagge, abgesehen von der Schaffung von Verwirrung und Verleugnung, darin besteht, zu behaupten, dass eine Zuschreibung nicht wirklich möglich ist - nämlich, wenn ein US-Geheimdienst oder das Justizministerium den Finger auf das Ziel richtet Kreml nach Hacking-Vorfällen, sie raten nur. "Sie mögen es nicht, angeklagt zu werden", fügt er hinzu. "Sie möchten eine Gegenerzählung erstellen: 'Man kann den Amerikanern nicht vertrauen. Sie haben das falsch verstanden.'"
