Hacktivisten-Behauptungen: Fake News zu erfolgreichen IT-Angriffen im Ukraine-Krieg

Sicherheitsforscher beobachten weiterhin die Situation angesichts des Ukraine-Kriegs. Nun konnten sie Fake News über erfolgreiche Cyber-Angriffe enttarnen, die von Hacktivisten beider Seiten in die Welt gesetzt wurden, um ihre eigene Schlagkraft zu erhöhen.

Durch solche Meldungen entsteht ein Nebel an (Falsch)Informationen in Zusammenhang mit der Krise. Check Point Research rät deshalb dringend dazu, Fakten kritisch zu prüfen und zeigt an drei verschiedenen Fallbeispielen, wie die Hacktivisten vorgehen.

Die Sicherheitsforscher von Check Point Research (CPR), der Spezialisten-Abteilung von Check Point Software Technologies, untersuchen die jüngsten Behauptungen von drei Gruppen sogenannter Hacktivisten (Hacker, die sich als politische Aktivisten verstehen), nämlich AgainstTheWest, KelvinSecurity und Killnet. Sie konnten nachweisen, dass die Behauptungen der Hacktivisten über angebliche Cyber-Angriffe auf die große russische Suchmaschine Yandex, auf eine russische Nuklear-Anlage und auf die Web-Seite von Anonymous, nicht der Wahrheit entsprechen. Die Gruppenmitglieder verwendeten eine Kombination aus alten Videos, die im Internet zu sehen sind, öffentlichen Informationen und kopierten Seiten, um die Öffentlichkeit so von ihrer eigenen Tapferkeit und Tätigkeit zu überzeugen. CPR fordert die Öffentlichkeit auf, Behauptungen und Meldungen zu dergleichen Aktivitäten kritisch zu beäugen, da es Anlaß zu der Vermutung gibt, dass zahlreiche weitere Gruppen solche Schwindelei verbreiten. Deren Ziel sei es, bloß sich selbst ins Rampenlicht zu stellen, um somit ihre Schlagkraft zu erhöhen.

CPR hat drei Fallstudien veröffentlicht, welche die jeweiligen Gruppen, zwei pro-ukrainische und eine pro-russische, untersuchen. Darin wird auf konkrete Fälle hingewiesen, in denen die Gruppen gefälschte Informationen verbreiteten:

Fallstudie AgainstTheWest

1. Wirkt Anti-Westlich, ist aber pro-westlich eingestellt.
2. Pro-Ukrainische Gruppe.
3. Aktiv seit Oktober 2021.
4. Angekündigte Zusammenarbeit mit Anonymous, gegen Russland.

Die Gruppe behauptet, in Yandex, Russlands führende Suchmaschine, eingedrungen zu sein, doch CPR hat festgestellt, dass die von der Gruppe veröffentlichten Screenshots und Dateien eine Kopie des öffentlichen Verzeichnisses sind, das ein Update des Yandex-Browsers enthält. Außerdem täuscht der Name über die wahren Ansichten, denn die Gruppe hackt für den Westen und die Ukraine, gegen Russland. Die Hacktivisten sind hier unter falscher Flagge unterwegs und an sich eine Nebelkerze in der Presse, weil sie die Leute auf den ersten Blick glauben machen, sie wären eine russische Hacker-Gruppe.

Bild 1: Vermeintlicher Beweis von AgainstTheWest für die Attacke auf das Yandex-Entwicklungsportal.

Bild 2: Öffentliches Verzeichnis, das die gleichen Dateien enthält, die AgainstTheWest veröffentlicht hat.

Fallstudie KelvinSecurity

• Definiert sich als private Information Hacker Company.
• Pro-ukrainische Gruppe.
• Wollte den Eindruck erwecken, dass sie in den Kernreaktor des Instituts für Kernforschung in Russland eingedrungen sind.
• Veröffentlichte einen Link zum „Überwachungssystem des Kernreaktors in Dubna“.
• Veröffentlichte eine „durchgesickerte Datenbank des russischen Nuklearinstituts“.
• Veröffentlichte ein „Video vom Kernreaktor“.

Bei dem Versuch, die Behauptungen von KelvinSecurity zu prüfen, stellte CPR fest, dass die veröffentlichte Datenbank eine Liste mit Präsentationen von Physikern aus verschiedenen Instituten und Universitäten in ganz Russland enthält, einschließlich einiger persönlicher Daten – jedoch keine sensiblen Informationen darüber hinaus. Außerdem waren die Informationen über das Überwachungssystem bereits Jahre vor dem Konflikt öffentlich zugänglich, und das angeblich „interne“ Video aus dem Nuklearreaktor wurde bereits vor einem Jahr auf dem YouTube-Kanal der KelvinSecurity-Gruppe veröffentlicht. Somit eine große Zeitungsente.

Bild 3: KelvinSecurity-Veröffentlichung über den angeblichen virtuellen Einbruch in den Kernreaktor.

Bild 4: Video auf dem KelvinSecurity-Youtube-Kanal von vor einem Jahr.

Fallstudie Killnet

• Pro-russische Gruppe.
• Hat kürzlich einen DDoS-Dienst namens Killnet Botnet gestartet.
• Veröffentlichte ein Video, in dem behauptet wird, die Anonymous-Web-Seite sei lahmgelegt worden.

Da es keine offizielle Anonymous-Web-Seite gibt, scheint dieser Angriff auf eine allgemeine Anonymous-Web-Seite vielmehr eine moralische Aufmunterung für die pro-russische Seite und eine Werbe-Veranstaltung für Killnet zu sein, die über Nachrichten und soziale Medien Anhänger und Fans sammeln – ein klassische Nebelkerze in der Presse zur Ablenkung, denn der Angriff war echt, doch die attackierte Seite nicht das, was behauptet wurde.

Bild 5: Behauptung, die Web-Seite von Anonymous sei nicht erreichbar.

Bild 6: Aufgerufene Nachahmer-Seite.

Tipps zur Prüfung von Informationen:

• Hüten Sie sich vor Lügen. Vermeiden Sie schnell verbreitete Informationen sofort als korrekt zu sehen.
   
• Achten Sie auf das Datum von Inhalten, vielleicht sind diese schon alt.
   
• Achten Sie auf die Inhalte, mit denen Sie arbeiten und fragen Sie sich: Woher stammen diese? Werden Sie aufgefordert, die Aussage zu verstärken? Haben Sie eine starke emotionale Reaktion beim Lesen und soll das ausgelöst werden? Werden Sie aufgefordert, Geld auszugeben, obwohl es unseriös klingt?
   
• Achten Sie immer auf die Links, die Sie erhalten, und prüfen Sie deren Quelle. Sind die Links von einem anderen Anbieter übernommen worden? Führen sie zu einer echten Seite? Stimmt die URL?
   
• Verwenden Sie immer Informationen aus vertrauenswürdigen Quellen.

Lotem Finkelstein, Head of Threat Intelligence and Research bei Check Point Software Technologies:

„Zum ersten Mal in der Geschichte kann sich jeder einem Krieg anschließen. Wir sehen, dass die gesamte Cyber-Community involviert ist und viele Gruppen und Einzelpersonen sich auf eine Seite gestellt haben, entweder für Russland oder für die Ukraine. Das ist ein großes Cyber-Chaos. Wir beobachten eine Flut von Informationen, welche Hacktivisten verbreiten, die alle möglichen Behauptungen aufstellen. Viele dieser Behauptungen sind falsch, denn einige stützen sich auf alte oder längst öffentliche Informationen. Hacktivisten erfinden somit Behauptungen über erfolgreiche Cyber-Angriffe, um Popularität oder Ruhm zu erlangen. Es wird für uns alle wichtig sein, die Behauptungen zu prüfen, die Hacktivisten und andere Programmierer in diesem Krieg von sich geben.

Erschwerend kommt nämlich die Wirkung unter diesen Umständen hinzu: Wenn solche Gruppen in Friedenszeiten die Verantwortung für IT-Angriffe übernehmen, die nie stattgefunden haben, kann dies als Unsinn abgetan und in der Regel ignoriert werden. Aber in Zeiten des Krieges kann die Behauptung, die Kontrolle über ein Kernkraftwerk übernommen zu haben, schreckliche Folgen bezüglich der Reaktion beider Seiten auf diese falschen Behauptungen haben. Da die Spannungen zunehmen, bleibt aber wenig Zeit, um die Berichte über IT-Angriffe zu bestätigen. Diese Hacktivisten-Gruppen schaffen eine Art von Nebel auf dem Schlachtfeld, wenn man so will. Es ist darum wichtig zu verstehen, dass diese Hacker unabhängig von diesem Krieg existieren und lediglich versuchen, diesen zu Nutzen, um durch falsche Informationen über angebliche Taten ihre eigene Schlagkraft zu erhöhen.“

Weitere Informationen:

Für weitere Details lesen Sie bitte den Blogbeitrag.

www.checkpoint.com