Hacktivisten
Geopolitik und Cyberangriffe - eine erwartbare Konsequenz?
Von Karl Heuser, Business Manager Security – Enterprise (DACH, EEUR & Nordics) bei NETSCOUT
Mit großflächigen Cyberangriffen machen sogenannte Hacktivisten immer wieder auf sich aufmerksam. Auffällig hierbei ist das Muster: Meist gehen geopolitische Entscheidungen oder politische Äußerungen diesen Angriffen voran. Anfang März 2024 richteten die selbsternannten DDoS-Hacktivisten NoName057(16) ihre Aufmerksamkeit auf das Land Moldawien. Die Gruppe führt Bedenken an, dass die Regierung "nach Russophobie giert". Seit Anfang März wurden daher mehr als 50 Websites angegriffen. Während NoName anscheinend den Anstoß zu den Angriffen gegeben hat, haben sich eine Reihe anderer DDoS-Hacktivisten zu Wort gemeldet und sich für Angriffe in mehr als 15 Branchen verantwortlich erklärt.
Wie NoName und andere Hacktivistengruppen vorgehen
Die NoName-Gruppe führt in der Regel DDoS-Angriffe auf der Anwendungsebene auf Webserver durch. Die für diese Angriffe genutzte Infrastruktur kann extrem widerstandsfähig und aufgrund der Art der Netzwerke („Bullet-Proof“ Netzwerke und Cloud-Hosting-Anbieter), in denen ihr DDoSia-Malware-Code eingesetzt wird, schwer auszuschalten oder zu beheben sein. Es ist ungewiss, ob es eine versteckte Agenda gibt, die über das hinausgeht, was die Gruppe öffentlich bekannt gegeben hat, aber zum jetzigen Zeitpunkt wird nicht erwartet, dass die Aktivität bald nachlässt. Es ist leicht zu erkennen, dass die Angriffe mit der Zeit immer häufiger werden und es sich nicht um eine schnelle, kurzlebige Kampagne handelt, wie z.B. oft bei den Aktivitäten von Anonymous Sudan.
NoName057 (16) führt derzeit das Feld der DDoS-Angriffe durch geopolitische Hacktivisten an, wie in NETSCOUTs Threat Intelligence Report beschrieben. Allein in der zweiten Jahreshälfte 2023 haben sie nach eigenen Angaben mehr als 780 verschiedene Websites angegriffen, oft mit einem Screenshot als Beweis für ihre Aktionen.
Rumänien, Spanien und Südkorea im Fokus
Doch nicht nur Moldawien wurde in jüngster Vergangenheit Opfer von DDoS-Angriffen. Anfang Juni war Rumänien Opfer dieser Angriffswelle. Der erste größere Höhepunkt der Attacken ereignete sich am 2. Juni 2024, der mit der möglichen Verlegung von Patriot-Raketen von Rumänien in die Ukraine zusammenfiel. An diesem Tag stieg die Zahl der direkten Angriffe auf rumänische Webseiten auf 352 an einem einzigen Tag.
Die Gesamtzahl der Angriffe blieb im weiteren Verlauf des Monats Juni überdurchschnittlich hoch und erreichte am 5. Juni mit 1.016 Angriffen an einem einzigen Tag ihren Höhepunkt. Dieser kontinuierliche Anstieg der DDoS-Angriffsaktivität zeigt, wie stark geopolitische Motive für Hacktivistengruppen sind. Mehrere Gruppen bekannten sich zu diesen Angriffswellen gegen rumänische Ziele darunter CyberDragon und Cyber Army of Russia.
Auch Südkorea kam in den Fokus von Hacktivisten: Erhöhte Direct-Path Angriffe auf Regierungswebseiten wurde das erste Mal im März 2024 beobachtet und blieben seitdem vergleichsweise hoch. Dieser erste Angriff fällt zusammen mit den Militärübungen von USA und Südkorea, die zur Vorbereitung auf mögliche Angriffe durch Nordkorea dienten. Unter anderem EXECUTOR DDOS, Russian Cyber Army Team, CyberDragon und weitere Hacktivistengruppen bekannten sich zu den Anschlägen.
Nachdem Spanien drei mit der Hacktivistengruppe NoName057(16) Personen festgenommen hat, erklärt NoName057(16) einen „heiligen Krieg“ gegen das Land und forderte alle pro-Russland Hackergruppen dazu auf, dabei zu unterstützen. Auch wenn die Angriffe auf das Land Ende Juli stiegen, ist die Anzahl immer noch im Rahmen eines normalen Tages für die spanischen Netzwerkanbieter. Am 24. Juli 24 sind jedoch bereits 70 Mitglieder der sogenannten „holy league“ beigetreten, um den Cyberkampf gegen Spanien zu unterstützen.
Ausblick
Die Gefahr, die von Tausenden aktiver DDoS-Hacktivisten ausgeht, stellt eine reale und gegenwärtige Gefahr für Organisationen jeder Art und in jedem Land dar. Nur weil sich ein Großteil der aktuellen Angriffe gegen Länder richtet, die lautstark Forderungen gegen Russland oder zur Unterstützung der Ukraine erheben, heißt das nicht, dass Ihr Unternehmen nicht auch ein Ziel sein könnte. Oft nehmen diese Gruppen eine ganze Branche oder ein ganzes Land wegen der Äußerungen oder Ideale einiger weniger ins Visier. NETSCOUTs Threat Intelligence Report und die Ergebnisse zeigen, dass mehr als 100 Branchen in mehr als 100 Ländern Ziel von Angriffen waren. DDoS-Hacktivismus ist ein weltweites Problem, gegen das man sich gut schützen muss.