Free

Ein neues Zeitalter des Hacktivismus

In den vergangenen Jahren haben anhaltende Kriege und geopolitische Konflikte in verschiedenen Regionen Hacktivismus-Aktivitäten massiv befeuert. Seit dem Beginn des Ukraine-Konflikts ist außerdem eine auffällige Mobilisierung sowohl von nichtstaatlichen als auch staatlich unterstützten Akteuren zu beobachten, die neue Gruppen gründen oder sich bestehenden Hackerkollektiven anschließen.

Lesezeit 11 Min.

Hacktivismus gilt als Form des Computer-Hackings, um politische oder soziale Ziele voranzutreiben (1). Während reguläre Aktivitäten im Internet dazu dienen, bestimmte Anliegen zu unterstützen (wie Online-Petitionen oder Spendenaktionen etc.), zielt Hacktivismus darauf ab, mit Hacking-Techniken zu stören, aber keinen ernsthaften Schaden zu verursachen (wie Datendiebstahl oder Denial-of-Service-Angriffe). Wenn Cyberoperationen darauf ausgerichtet sind, physischen oder wirtschaftlichen Schaden oder gar Verlust von Menschenleben zu verursachen, spricht man von Cyberterrorismus (2) (3).

Die Grenzen zwischen Hacktivismus und Cyberterrorismus verschwimmen allerdings immer mehr. Mit den laufenden Kriegen und Konflikten ist der Cyberspace zudem unübersichtlicher denn je geworden. Die Schlachtfelder der beiden Auseinandersetzungsformen werden immer ähnlicher und damit die Linie zwischen physischem (Krieg) und Cyber (Hacktivismus) immer dünner (4). Oder wie Dr. Vasileios Karagiannopoulos und Professor Athina Karatzogianni es ausdrücken:

„Die aktuellen Geschehnisse verdeutlichen, dass Hacktivismus mittlerweile weit verbreitet ist und eine unvermeidliche Komponente politischer Konflikte darstellt. Dies gilt auch für Konflikte, die in kriegerischen Auseinandersetzungen zwischen Staaten münden. Dabei werden die virtuellen Grenzen zwischen symbolischen, sensationslüsternen Hacks, Vigilantismus, Cyberspionage und sogar Cyberkriegsführung bis zum Ultimo ausgereizt (5)“.

Im Jahr 2023 haben Forscher bei Orange Cyberdefense begonnen, einige der aktivsten Hacktivistengruppen zu verfolgen. Ein Faktor, der die Transparenz der laufenden Hacktivismus-Aktivitäten erhöht hat, ist ihre Sichtbarkeit. Die Forscher sind jetzt in der Lage, die Kommunikationskanäle von Hacktivisten zu verfolgen und zu abonnieren.

Ein Beispiel dafür ist Telegram, ein weit verbreiteter Messaging-Dienst, der von Hacktivisten gerne genutzt wird (6). Obwohl Telegram versucht hat, gegen böswillige Aktivitäten auf seiner Plattform vorzugehen, steht der Dienst vor den gleichen Herausforderungen wie viele andere Anbieter digitaler Dienste: Jeder, der für den Missbrauch der Plattform entlarvt und gesperrt wurde, kann unter einem neuen Benutzernamen, einem neuen Kanalnamen oder einem neuen Konto zurückzukehren und wie gewohnt weitermachen. Letzten September zum Beispiel sperrte Telegram den Hauptkanal einer Hacktivistengruppe namens Anonymous Sudan – vermutlich wegen der Nutzung von Bots und nicht wegen ihrer Beteiligung an verschiedenen Cyberangriffen. Die Gruppe reagierte darauf, indem sie einfach einen neuen Kanal einrichtete und ihre Aktivitäten fortsetzte. Das Gleiche gilt für viele andere Operationen, die unter dem Deckmantel des Hacktivismus durchgeführt werden.

Hacktivisten greifen sowohl private als auch staatliche Organisationen an und haben gezeigt, dass sie sogar die größten nationalen und internationalen Websites lahmlegen können. Einige Hacktivistengruppen verfügen über starke DDoS-Fähigkeiten, während andere eher durch ihre explizite Sprache und öffentliche Darstellung auffallen, die oft nicht im Verhältnis zu ihren tatsächlichen Aktionen und Auswirkungen stehen.

In beiden Fällen führt das Ergebnis zu Angst, Unsicherheit und Zweifel – einer Eskalation von Angst, Misstrauen und Uneinigkeit in einem bereits angespannten und komplexen geopolitischen Kontext. Angst, Unsicherheit und Zweifel stehen symbolisch für die zunehmende Verbreitung von „kognitiven“ Angriffen, die darauf abzielen, die Wahrnehmung durch technische Maßnahmen zu beeinflussen. Die Auswirkungen haben weniger mit dem unmittelbaren Schaden durch den Angriff oder dem Wert der betroffenen Daten oder Systeme zu tun (zum Beispiel gestohlene, durchgesickerte oder zerstörte Informationen), sondern vielmehr mit den Folgen, die diese Angriffe für die gesellschaftliche Wahrnehmung, den Diskurs und die Politik haben.

Aktivitäten im Jahr 2023

In den ersten drei Quartalen des Jahres 2023 hatten die meisten der beobachteten Hacktivismus-Aktivitäten (n=4016) ihren Ursprung im Krieg gegen die Ukraine, und es war zu erkennen, dass Europa als geografische Region am meisten betroffen war. Auch war zu beobachten, dass pro-russische Hacktivistengruppen häufig Angriffe gegen „den Westen“ proklamierten. Daher konzentrierten sich die Orange-Forscher darauf, einige der sehr aktiven pro-russischen Hacktivistengruppen zu beobachten.

Die Länder, die am stärksten von pro-russischen Hacktivismus-Angriffen betroffen waren, waren die Ukraine, Polen und Schweden. Die höchste Hacktivismus-Aktivität wurde im Februar 2023 verzeichnet. Dies deckt sich mit dem Auftauchen der Hacktivistengruppe Anonymous Sudan Ende Januar 2023, die vor allem Länder in den nordischen Ländern ins Visier nahm, später aber auch auf andere Regionen der Welt übergriff.

Die Konzentration auf die Ukraine ist einfach als Einsatz von Hacktivismus als Mittel im Krieg mit Russland zu verstehen. Das am zweitstärksten betroffene Land war Polen, was durch die geografische Nähe Polens zum Krieg erklärt werden könnte. Schweden ist seit Anfang 2022 das am dritthäufigsten betroffene Land. Allerdings taucht Schweden in den Forscherdaten nur zwischen Januar und März 2023 auf, als die Hacktivistengruppe Anonymous Sudan Schweden und Dänemark massiv angriff.

Wie politisch konsistent sind diese Gruppen?

Zwei pro-russische Hacktivistengruppen, die im Jahr 2023 sowohl den privaten als auch den öffentlichen Sektor beeinflussten, waren NoName057(16) und Anonymous Sudan. Anonymous Sudan ist ein sehr inkonsistenter Bedrohungsakteur. Beobachtungen zeigen, dass er Opfer auf der ganzen Welt angegriffen hat, wobei er seine angeblichen Beweggründe häufig wechselte. Trotz der offensichtlichen Identitätskrise hat die Gruppe bewiesen, dass sie nicht nur in der Lage ist, technisch anspruchsvolle Angriffe durchzuführen, sondern auch Lärm zu machen und Aufmerksamkeit zu erregen. Doch obwohl sie sich mit ihren zahlreichen Aktivitäten im Jahr 2023 einen Namen gemacht hat, übersteigen ihre Behauptungen oft die tatsächlichen Auswirkungen ihrer Angriffe (7). Letztlich ist sie auf die Aufmerksamkeit der Medien angewiesen und lebt von der Beachtung in der breiten Öffentlichkeit. NoName könnte politisch konsequenter sein als Anonymous Sudan.

NoName ist seit Beginn des Krieges gegen die Ukraine aktiv und hat es vor allem auf NATO-Länder, sowie auf Länder, die als Gegner der russischen Interessen gelten, abgesehen. Aus den öffentlich zugänglichen Telegram-Nachrichten auf dem englischsprachigen Kanal von NoName geht hervor, dass die Gruppe speziell und direkt Länder angreift, die der Ukraine im laufenden Krieg Hilfe leisten.

Politischer Hacktivismus als „verhältnismäßige“ Reaktion

Die Forscher nutzen einen externen Datensatz, der offizielle Ankündigungen von Ländern sammelt, die der Ukraine Unterstützung versprochen haben. Mit diesem Datensatz können sie die Angriffe von NoName in Verbindung bringen und analysieren, welche spezifischen Länder ihre Unterstützung zugesagt haben.

Dafür verwenden sie den „Ukraine Support Tracker“, eine Datenbank, die vom Kieler Institut für Weltwirtschaft (8) erstellt und regelmäßig aktualisiert wird. Diese Datenbank verfolgt die Zusagen von mindestens 40 verschiedenen Regierungen an die Ukraine seit dem 24. Januar 2022.

Der Ukraine Support Tracker zeigt, dass die Vereinigten Staaten der Ukraine am meisten Hilfe zugesagt haben. Tatsächlich haben sie mehr Unterstützung zugesagt (wenn auch noch nicht vollständig geleistet), als alle EU-Länder zusammen.

Ein weiteres Dokument, das neben der Ukraine-Hilfsdatenbank veröffentlicht wurde (9), deutet darauf hin, dass die Gesamthilfe für die Ukraine im Vergleich zu anderen Kriegen in der Geschichte beträchtlich sein könnte. In dem Papier heißt es:

„Die Ergebnisse zeigen, dass europäische Regierungen zwar große Soforthilfemaßnahmen angekündigt haben, um auf den Krieg und den Anstieg der Energiepreise zu reagieren. Doch der Großteil dieser Hilfe wurde eher zur Unterstützung ihrer eigenen Wirtschaft und Unternehmen als zur Unterstützung der Ukraine zugesagt. Insgesamt haben die EU-Länder nationale Energieschutzpakete im Wert von 570 Milliarden Euro angekündigt, im Vergleich zu den insgesamt zugesagten 55 Milliarden Euro für die Ukraine seitens der EU.“

Das ist besonders interessant, wenn man bedenkt, wie viel Hilfe laut den Nachrichtenagenturen gefordert wird. Die Aktivitäten von NoName scheinen den Medientrends zu folgen und könnten übermäßig erscheinen, wenn man diese Hilfe in einen historischen Kontext stellt.

Wie sieht also die Beziehung zwischen den Opfern von NoName und dem Ausmaß der von den Regierungen geleisteten Unterstützung aus, wie sie vom Projekt Ukraine Aid Tracker erfasst wird?

Wie bereits erwähnt, variieren die Opferländer von NoName stark. Seit Beginn ihrer Aktivitäten hat die Gruppe 38 verschiedene Länder beeinträchtigt. Die fünf am stärksten betroffenen Länder im Jahr 2023 (Q1 – Q3) waren Polen, Litauen, die Tschechische Republik, Italien und Spanien. Interessanterweise steht die Ukraine, das Ziel des physischen Krieges, nur an sechster Stelle in der Liste der von NoName betroffenen Länder.

Um herauszufinden, ob es eine vernünftige Erklärung für die Auswahl der Opferländer durch NoName gibt, haben die Orange-Forscher ein Experiment durchgeführt. Sie haben die Länder des Ukraine Support Trackers betrachtet und sie danach sortiert, wie viel Hilfe (in Milliarden US-Doller) sie der Ukraine zugesagt haben. Dann haben sie diese Liste mit der Liste der Länder verglichen, die von NoName angegriffen wurden, und eine Rangliste erstellt, um zu zeigen, welche Länder am stärksten betroffen waren. Durch den Vergleich der Ranglisten konnten sie die Differenzen identifizieren.

Im Experiment könnte ein Abstand von „0“ als Zeichen für eine politisch „angemessene“ Reaktion von NoName gewertet werden, was bedeutet, dass die Einstufung des Landes als Opfer mit seiner Einstufung in Bezug auf den Umfang der angebotenen Ukraine-Unterstützung übereinstimmt. Die Forscher vergrößern den Radius, um Länder mit Abständen zwischen -4 und 4 als „verhältnismäßige“ Opfer zu betrachten.

Ein negativer Abstand bedeutet, dass diese Länder der Ukraine ihre Unterstützung zugesagt haben, aber nicht entsprechend viele Angriffe von NoName erlebt haben. Diese Länder sind also in den NoName-Opferdaten unterrepräsentiert. Ein positiver Abstand deutet auf das Gegenteil hin: Diese Länder wurden mehrfach von NoName angegriffen, haben die Ukraine aber nicht in entsprechendem Umfang unterstützt. Diese Länder sind daher in den NoName-Opferdaten überrepräsentiert.

Bei Betrachtung dieser Logik an beiden Extremen, lassen sich die Länder identifizieren, die „zu wenig angegriffen“ zu sein scheinen, diejenigen, die im Hinblick auf das Ausmaß der Unterstützung, die sie der Ukraine zugesagt haben, „übermäßig angegriffen“ zu sein scheinen, und diejenigen, bei denen das Ausmaß der Angriffe aus Sicht der Hacktivisten als politisch „angemessen“ angesehen werden könnte.

Es gibt verschiedene Gruppen von Ländern, die aus dieser Analyse hervorgehen:

  • Wenig angegriffen und beteiligt: Einige Länder haben sich zwar dazu verpflichtet, die Ukraine zu unterstützen, wurden jedoch nie von Angriffen durch NoName getroffen. Zu diesen Ländern gehören Südkorea, Irland, Slowenien, die Türkei, Taiwan und Ungarn.
  • Übermäßig angegriffen: Einige Länder scheinen ein unverhältnismäßiges Maß an Angriffen erlebt zu haben, im Vergleich zu dem Maß an Unterstützung, das sie der Ukraine angeboten haben. Dazu gehören Litauen, Estland, Lettland, Italien, die Tschechische Republik, Spanien und Bulgarien. Island und Neuseeland fallen auch in diese Gruppe, aber ihre Opferzahlen und das versprochene Unterstützungsniveau sind so gering, dass ihre Position in der Analyse übertrieben ist.
  • Verhältnismäßig und beteiligt: Schweden, Frankreich, Deutschland, Finnland, die Slowakei, Kanada, Dänemark und die Schweiz waren alle stark von Angriffen betroffen, was logisch mit dem relativ hohen Maß an Hilfe korreliert, das sie der Ukraine zugesagt haben. Diese Länder könnten als die Hauptschauplätze im hacktivistischen Krieg von NoName betrachtet werden. Die Auswirkungen auf Griechenland, Kroatien und Luxemburg sind ebenfalls „logisch“, da sie mit dem geleisteten Hilfsniveau übereinstimmen, jedoch sollte beachtet werden, dass sowohl die Auswirkungen als auch die Hilfe dieser Länder wesentlich geringer sind als die der anderen Länder in dieser Gruppe.
  • Verhältnismäßig, aber nicht beteiligt: Einige Länder wurden überhaupt nicht von Angriffen betroffen und haben auch nicht zugesagt, die Ukraine zu unterstützen. Dazu gehören Zypern, Malta, China und Indien. Die Auswirkungen auf diese Gruppe sind politisch „logisch“, aber im Grunde genommen irrelevant.
  • Wenig angegriffen, aber stark beteiligt: In dieser Gruppe sind die Vereinigten Staaten, Japan, Norwegen, die Niederlande, Portugal, Österreich, das Vereinigte Königreich, Rumänien, Belgien und Australien vertreten. Obwohl diese Länder von Angriffen betroffen waren, ist das Ausmaß der Angriffe im Vergleich zur angebotenen Hilfe gering. Daher ist NoNames Fokus auf diese Gruppe politisch betrachtet „unverhältnismäßig“, wobei die Vereinigten Staaten besonders hervorstechen. Eine Analyse, die den Anteil des BIP als Maß für die geleistete Hilfe verwendet (anstelle von Dollar), würde Norwegen als das führende Land in dieser Gruppe identifizieren.

Es fällt auf, dass die meisten der übermäßig angegriffenen Länder geografisch relativ nah am Krieg liegen, was wahrscheinlich der Hauptgrund für ihre scheinbar „unfaire Behandlung“ ist. Dies passt zu den Ergebnissen eines Papiers, das zusammen mit dem Ukraine Support Tracker veröffentlicht wurde. Dort betonen die Autoren, dass osteuropäische Länder im Verhältnis zu ihrem BIP besonders herausragen, besonders wenn man die Kosten für die Aufnahme von Kriegsflüchtlingen berücksichtigt (10). Daher könnte die geografische Nähe und der Eindruck einer „praktischen“ Unterstützung erklären, warum einige Länder stärker betroffen sind, als es „verhältnismäßig“ erscheint. Die Ausnahmen scheinen hier Spanien und Italien zu sein, die trotz ihrer relativ geringen zugesagten Unterstützung stark angegriffen werden, obwohl sie nicht unmittelbar in der Nähe des Konflikts liegen.

Eine qualitative Beobachtung der jeweiligen Telegram-Kanäle deutet darauf hin, dass NoName Spanien vor allem wegen der angebotenen militärischen Unterstützung und Ausbildung sowie der verhängten Sanktionen attackiert hat (11).

Diana Selck-Paulsson ist Lead Security Researcher bei Orange Cyberdefense. (Dieser Beitrag erschien erstmals auf https://thehackernews.com/.)

Literatur

(1) https://www.techtarget.com/searchsecurity/definition/hacktivism

(2) Denning, Dorothy. (2000). Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy. Networks and Netwars: The Future of Terror, Crime, and Militancy. 248.

(3) Samuel, Alexandra Whitney (2004), Hacktivism and the Future of Political Participation, Harvard University.

(4) https://www.securityinfowatch.com/cybersecurity/article/53056804/did-the-russiaukraine-war-start-a-hacktivist-revolution

(5) https://engelsbergideas.com/essays/hacktivisms-cold-war-turns-hot/

(6) https://www.bleepingcomputer.com/news/security/hacktivists-cybercriminals-switch-to-telegram-after-russian-invasion/

(7) https://cip.gov.ua/services/cm/api/attachment/download?id=60068

(8) https://www.ifw-kiel.de/topics/war-against-ukraine/ukraine-support-tracker/

(9) https://www.ifw-kiel.de/topics/war-against-ukraine/ukraine-support-tracker/

(10) https://www.ifw-kiel.de/publications/the-ukraine-support-tracker-which-countries-help-ukraine-and-how-20852/

(11) https://www.ifw-kiel.de/publications/the-ukraine-support-tracker-which-countries-help-ukraine-and-how-20852/