Serie von Schlägen gegen Cyberkriminelle als Folge des Ukrainekriegs
Da alle Vorgänge im Cyberspace derzeit genau beobachtet werden, kommen immer mehr Verbindungen der russischen Geheimdienste zu Kriminellen ans Licht.
(Bild: Mykola Mazuryk/Shutterstock.com)
Das konzertierte Vorgehen der US-Dienste zusammen mit Internetkonzernen und Cybersicherheitsfirmen in der Ukraine gegen die russischen Cybertruppen zeigt immer mehr Wirkung gegen Ransomware-Erpresser. Seit Januar läuft eine Welle von Personenfahndungen und Verhaftungen in Europa und den USA gegen berüchtigte Gangs wie Hive, Conti, Trickbot oder auch DoppelPaymer, die den Überfall auf die Düsseldorfer Uniklinik zu verantworten haben.
Praktisch alle aktuellen Berichte von Sicherheitsfirmen und staatlichen Stellen thematisieren die Verbindungen dieser Kriminellen mit dem russischen Militär. Zahlreiche Angriffe wie etwa jener auf die Colonial Pipeline in den USA, der wochenlang akuten Benzinmangel an der Ostküste zur Folge hatte, wirkten weit eher wie gezielte Militäraktionen gegen die kritische Infrastruktur.
So auch der erst am Dienstag bekanntgewordene Einbruch in die IT eines Partner-Unternehmens von SpaceX, bei dem angebliche tausende Konstruktionspläne gestohlen wurden. Die Erpresserbande Lockbit droht nun mit Veröffentlichung. Elon Musks Breitbandunternehmen Starlink spielt eine kritische Rolle für die Verteidigung der Ukraine. Am Mittwoch gaben FBI und BKA die Schließung des Geldwäschedіenstes Chipmixer bekannt. Auch russische Geheimdienste sollen dort illegale Gelder gewaschen haben.
(Bild: "Staatsdienst für spezielle Kommunikation und Informationsschutz" der Ukraine)
Mehrzahl der Angriffe ohne Schadsoftware
Die Festlegung der jeweiligen Angriffsziele und Prioritäten auf allen Ebenen erfolge direkt in Putins Präsidialbüro, umgesetzt werde sie dann von "Kuratoren" des Inlandsgeheimdienstes FSB. Diese Kuratoren seien auch für den Schutz der Cyberkriminellen vor Strafverfolgung zuständig, heißt es weiter im Bericht der ukrainischen Behörde. Sie würden dann die Ziele samt allgemeinen Richtlinien für die jeweils aktuelle Angriffswelle auch an die Kriminellen ausgeben. Das Ausbringen von Malware dürfte für die ukrainischen Verteidiger dabei noch das geringere Problem sein.
Die enorme Zahl von Angriffen auf ukrainische Behörden, Militäreinrichtungen und wichtige Unternehmen, nämlich mehr als 2.000 allein im zweiten Quartal 2022, sei in erster Linie auf "Spear-Phishing" und andere Methoden zurückzuführen, um Log-in-Daten abzugreifen. Das heißt, die Angreifer dringen zumeist mit echten Log-in-Daten in die Netze ein, versuchen dann, Administratorenrechte zu erlangen und erst dann wird Schadsoftware wie etwa zerstörerische "Wiper" eingesetzt. Das behauptet nicht nur die ukrainische Behörde, so ziemlich alle Berichte der in der Ukraine engagierten Cybersicherheitsfirmen kommen auf ganz ähnliche Ergebnisse.
Angesichts der schieren Anzahl solcher Angriffe auf die ukrainischen Netze stellt sich natürlich die Frage, wie die russischen Geheimdienste denn laufend an derart viele valide Log-in-Daten kommen. Eine sehr plausible Antwort findet sich im derzeit vorherrschenden Geschäftsmodell der Kriminellen. In Anlehnung an die Definitionen legaler Cloud-Services wird es gern "Ransomware as a Service" (RaaS) genannt.
(Bild: Microsoft)
Gestohlene Log-in-Daten für die Cybertruppen
Im kriminellen Bereich hat sich eine Art Extremform des modernen Kapitalismus durchgesetzt. Die Kriminellen werken absolut arbeitsteilig und sind dadurch sehr flexibel, wenn sie sich – wie oft notwendig – neu gruppieren müssen. Eine Schlüsselrolle kommt dabei dem Log-in-Daten-Dealer (links oben) zu. In den USA steht nach seiner Auslieferung aus Georgien ein solcher Krimineller seit Ende Februar vor Gericht. Dem russischen Staatsbürger wird von den US-Behörden vorgeworfen, mit einer selbstentwickelten Schadsoftware 350.000 valide Log-in-Daten gehamstert und im sogenannten Darknet an andere Kriminelle verkauft zu haben.
Hier kann man schon erahnen, aus welchen Pools sich der russische Militärgeheimdienst GRU und sein ziviles Gegenstück, das FSB bedienen. Zudem werden gerade diese Schlüsselakteure bis dato nur sehr selten erwischt. Sie stehen nämlich ganz am Anfang der kriminellen Kette und haben mit der Folgetat de facto nichts mehr zu tun. Da die Verbindungen zwischen den Akteuren sehr oft nur temporär sind und eigentlich nicht mehr ausgetauscht wird, als Informationen und Hashes, nämlich sogenannte "Kryptowährungen", sind sie schwer fassbar.
Und in diesen Kreisen, die ganz legal mit digitalen Assets zocken, macht man sich wegen der überbordenden Kriminalität offensichtlich Sorgen – nämlich in erster Linie um das eigene Geschäft. Das Problem für diese Spekulanten sind die sogenannten Kryptomixer sowie die "High-Risk-Börsen", wobei die meisten Spuren wiederum nach Russland führen.
(Bild: TRM)
Alle Spuren führen nach Russland
Als sich die russische Invasion ab Dezember 2021 immer klarer abgezeichnet hatte, seien erstmals direkte Transaktionen von Akteuren, die mit Kindesmissbrauch Geld verdienen, zu russischen "High-Risk"-Kryptobörsen zu beobachten gewesen, heißt es in der Marktstudіe (siehe Grafik oben). Die vergleichsweise niedrigen, beobachteten Volumina stünden in keinerlei Relation zu den tatsächlichen Summen, die nach Russland verschoben wurden, da solche Transaktionen normalerweise nur über Kryptomixer abgewickelt würden. Die Betreiber dieses dreckigsten aller denkbaren, illegalen Geschäfte wollten ihre Gewinne angesichts drohender Sanktionen offensichtlich schnell in Sicherheit bringen.
Das Gros dieser schmutzigen Gelder landeten auf der Kryptobörse nexchange.ru, die ebenso als "Hochrisikobörse" eingestuft ist, wie 95 Prozent aller Börsen in Russland. "High Risk" bedeutet für alle, die in solchen virtuellen Assets anlegen, ganz einfach "Finger weg", denn diese Börsen machen ungeniert Geschäfte mit allen Formen organisierter Kriminalität im Netz.
Nach einem der ersten großen Schläge von FBI und BKA gegen Cyberkriminelle rund um den Ukrainekrieg gegen die damals größte Darknet-Handelsbörse Hydra haben ebenfalls russische Umschlagplätze dieses Geschäft übernommen. Zusammen sind sie größer als Hydra jemals war. Allein im Dezember wurden von russischen Darknet-Märkten 130 Millionen Dollar umgesetzt. Laut TRM betrug das Handelsvolumen auf der russische Hochrisikobörse Garantex von Februar 2022 bis mehr als 18 Milliarden Dollar.
Plakative Gegensätze zur Politik
All diese Vorgänge stehen in plakativem Gegensatz zu diesbezüglichen Äußerungen und Plänen auf dem politischen Parkett. Um den Handel mit Darstellungen von Kindesmissbrauch im Netz in den Griff zu kriegen, fordert die zuständige EU-Kommissarin Ylva Johansson (Sozialdemokraten) samt einem Chor konservativer Politiker:innen nicht etwa, dass diese illegalen Handelsplätze ausgeschaltet werden. Johansson setzt vielmehr anlasslose Vorab-Durchsuchungen sämtlicher privater Chats aller User auf ganz anderen Plattformen.
Und während Russlands Staatschef Wladimir Putin bei jeder Gelegenheit die angebliche moralische Verkommenheit des Westens thematisiert, hat sein Inlandsgeheimdienst FSB einen Schutzschirm über einer kriminellen Szene aufgezogen, in der Bilder und Videos von Kindern, die vergewaltigt werden, ganz normale Handelsware sind.
Metakritiken und zweckdienliche Hinweise direkt an den Autor können über dieses Formular sicher verschlüsselt eingeworfen werden.
(bme)
