„Hacktivisten“ haben am vergangenen Donnerstag staatliche Webseiten in Luxemburg und das Tageblatt lahmgelegt. Hacktivisten, das sind Cyberkriminelle mit politischer Mission: Die Hacker vom vergangenen Donnerstag gaben beispielsweise an, dass sie für Russland im Einsatz sind – und Luxemburg für seine Unterstützung für die Ukraine bestrafen wollen. Die Tageblatt-Webseite legten sie lahm, weil sie unseren Artikel über ihre Attacke als „respektlos“ empfanden.
Bei der Technik, die die Hacker nutzten, handelte es sich um eine DDoS-Attacke. Dabei dringen die Angreifer nicht in Systeme ein, sondern lassen eine große Menge Computer oder Bots unzählige Anfragen an die Webserver im Netz stellen. Die Anfragen passieren über die normalen, öffentlichen Internetleitungen. Die Server sind von der Schwemme irgendwann einfach überfordert und können nicht mehr reagieren.
Beenu Arora vom amerikanischen Cybersicherheits-Unternehmen Cyble erklärt im Tageblatt-Interview, welche Gefahr von den Polit-Hackern ausgeht – und worauf wir uns in Zukunft einstellen müssen.
Tageblatt: Können Sie das, was am Donnerstag über Luxemburg hergefallen ist, unseren Lesern erklären?
Beenu Arora: Während des Russland-Ukraine-Konflikts sind mehrere „Hacktivisten“-Gruppen entstanden, die ihre Zugehörigkeit zu einer der beiden Seiten unter Beweis stellen. Das tun sie, indem sie DDoS-Angriffe auf Regierungen, kritische Infrastrukturen und private Einrichtungen in Ländern durchführen, die die Ukraine oder Russland unterstützen oder Verbindungen zu dem Konflikt haben. Außerdem nutzen die Hacktivisten diese Angriffe als Mittel, um ihre ideologische Ausrichtung zu propagieren – wie in diesem Fall die Unterstützung Russlands durch den Angriff auf Luxemburg.
Denken Sie, dass das authentisch ist? Waren die Angreifer vom vergangenen Donnerstag tatsächlich russische Gruppen mit einer politischen Message?
Ihre wahre Nationalität ist schwer festzustellen. Aber wenn man bedenkt, dass sie ihre Botschaften auf Russisch verbreiten und ideologisch die russische Sache in dem Konflikt unterstützen, könnte ihr Team auch aus Russen bestehen. Darüber hinaus gab es in der Vergangenheit mehrere Versuche von proukrainischen Hacktivisten und Forschern, die Identität einiger Mitglieder der prorussischen Hacktivisten-Guppen zu enthüllen. Sie haben sie als russische Staatsangehörige bezeichnet. Aber diese Versuche bedürfen weiterer Bestätigung.
Ein DDoS-Angriff ist ja keine sonderlich ausgefeilte Methode, um ein System lahmzulegen, oder?
Wir stufen diese Vorfälle als kritisch ein, da solche Angriffe das Potenzial haben, wichtige Dienste und Geschäftsabläufe in Ländern mit relativ geringer Vorbereitung auf die Cybersicherheit tagelang lahmzulegen. Hacktivismus ist keine geringfügige Bedrohung mehr und hat weitreichende Folgen.
Hätte die Luxemburger Regierungs-IT besser geschützt sein müssen?
Seit 2023 haben Hacktivisten die Latte höher gelegt. Sie benutzen fortschrittliche Botnetze und Stress-Tools und Dienste, die relativ kostengünstig sind. Damit starten sie DDoS-Angriffe auf verschiedenen Netzwerkebenen. Zusätzlich nutzen sie Schwachstellen in Webanwendungen aus, um sie mit bösartigem Datenverkehr zu überfluten, der aber legitime Benutzeranfragen imitiert. Layer-7-Angriffe* sind schwer zu erkennen und abzuschwächen, da sie wie echter Datenverkehr aussehen. Das macht sie gefährlicher und schwieriger zu blockieren.
Kennen Sie Gruppen, die Luxemburg angegriffen haben?
Ja, wir überwachen und untersuchen globale geopolitische Ereignisse und die daraus folgenden Hacktivismus-Vorfälle und Cyberangriffe. Und deren Auswirkungen auf Regierungen und Unternehmen. Wir verfolgen verschiedene Hacktivistengruppen und ihre Aktivitäten, um ihre Taktiken, Techniken und Verfahren zu entschlüsseln. Bei dem jüngsten Vorfall in Luxemburg haben zwei prominente Hacktivistengruppen diese Angriffe in Abstimmung mit mehreren anderen prorussischen Gruppen initiiert.
Gibt es noch größere Gefahren?
Hacktivisten haben auch Kenntnisse darin erlangt, Cyberangriffe über Social Engineering, kompromittierte Anmeldeinformationen und die Ausnutzung ungeschützter und anfälliger Systeme zu starten. Damit verschaffen sie sich Zugang und exfiltrieren sensible Daten. Seit Ende 2022 ist ein deutlicher Anstieg der durch Hacktivismus verursachten Datenschutzverletzungen zu verzeichnen.
* „Layer 7“ ist die oberste Ebene des Netzwerkverkehrs. Es ist die Ebene direkt unter den Anwendungen der eigentlichen Nutzer – also beispielsweise des Webbrowsers.
Sie müssen angemeldet sein um kommentieren zu können