Neulich haben wir uns in Lemberg mit einem Hacktivisten der Gruppe FalconsFlame getroffen. Die Gruppe ist mit zahlreichen aufsehenerregenden Hackeroperationen bekannt, im Lauf derer die Webseiten russischer Terroristen und E-Mail- und Cloud-Accounts russischer Militärangehörige gehackt wurden, die an Kampfhandlungen im Donbass teilnehmen. Ferner gehört FalconsFlame zusammen mit CyberJunta, Trinity und Ruh8 zur ukrainischen Cyberallianz, die mit ihrem Hackerangriff ins Herz der kremlischen Führung – ins E-Mailfach des russischen Präsidentenberaters Wladislaw Surkow (#SurkovLeaks) weltberühmt wurde.
Wir haben beschlossen, dieses Interview nicht im Format „Frage-Antwort“ zu machen, sondern in Form einer Erzählung über irgendeine Operation ukrainischer Hacktivisten, die noch nicht publik gemacht wurde und womöglich eines Tages zu einem Paragraph im Geschichtsbuch über den Cyberkrieg werden könnte, den die Ukraine für ihre Freiheit und Unabhängigkeit geführt hat.
Die Idee, eine unbekannte Geschichte aus dem Schrank zu holen, hat meinem Gesprächspartner sehr gefallen. Er holte aus seinem alten Rucksack einen kleinen Laptop heraus und begann, seine Archive durchzuschauen…
„Anfang 2015 standen die ukrainischen Hackergruppen vor einer Wahl: populäre Blogger und Adepten von „Neurussland“ zu hacken oder aber sich einen Weg auszudenken, wie man diesen Prozess automatisieren könnte.
Wir haben eine Plattform gewählt, auf der zahlreiche aggressive russische Watnike ihre propagandistische Tätigkeit gegen die Ukraine führten. Es handelte sich um die populäre Bloggerplattform CONT.WS, deren Besucherzahl sich auf circa 200 000 Nutzer pro Tag beläuft.
Ziemlich schnell hatten wir den Zugang zum Admin-Account des Portals bekommen:
Wir begannen, die innere Korrespondenz zu lesen und einige Nutzer abzuarbeiten:
Am Ende hatten wir die Daten aller Nutzer des Projekts, wobei die Passwörter verschlüsselt waren und ihre Entschlüsselung noch einige Zeit in Anspruch nahm:
Wir gingen das Problem kreativ an und haben über einen Fishing-Angriff die Zugangsdaten der Nutzer erhalten. Die Daten haben wir analysiert und unter den aktiven Nutzern von „Cont“ haben wir sowohl die Daten zahlreicher ideologischer Anhänger von „Neurussland“, als auch Daten bezahlter russischer Blogger entdeckt. Die gesamten von uns erfassten Daten haben wir anonym an die SBU-Mitarbeiter und das „Myrotworez“-Zentrum weitergeleitet.
So haben wir zum Beispiel den Belorussen Alexey Schukow mit festem Wohnsitz in Donezk entdeckt, der ein Mitglied der IBFs (illegale bewaffnete Formationen) im Donbass ist und im Internet unter dem Namen ales0ne agiert.
Oder zum Beispiel den Nutzer messer, der sich als ein Berufssoldat und Veteran des Transnistrien-Innenministeriums entpuppte, Sergei Leschenko heisst und Vorsitzender des Speznas-Veteranenvereins „Dnestr“ und zugleich der Admin der Webseite dieses Speznas-Vereins ist. Er erzählte in seinen Beiträgen unter anderem, wie man Minen-Fallen gegen ukrainische Militärangehörige aufstellt.
Und da waren noch viele, viele andere Nutzer...
Dann begannen wir im Namen der Nutzer der Ressource Materialen zu veröffentlichen, die den ideologischen Rahmen dieses „Watnik“-Projekts sprengten. In einem unserer Artikel haben wir ein „Interview mit Sachartschenko“ veröffentlicht, in dem er Folgendes behauptete:
Sachartschenko: „Wir sollten den Krieg beenden. Putin wird bald nach Den Haag gebracht“ (Link).
Des Öfteren trollen wir die Adepten von „Neurussland“ in ihrem eigenen Stil. So haben wir eine witzige Geschichte über eine Krankenschwester veröffentlicht, die mit ihrer Brust eine ganze „Volkswehr“-Kompanie gestillt haben soll).
Bald erschien bei cont.ws auch der erste Artikel in ukrainischer Sprache, in dem den Nutzern mitgeteilt wurde, dass die Webseite von den ukrainischen Hackern gehackt worden ist.
Wir haben sie wieder und wieder gehackt, und sie versuchten weiterhin unbeholfen, die Löcher im Verwaltungssystem ihrer Webseite zu stopfen. Am Ende, nach einigen Monaten permanenter Hackerangriffe bettelten die Admins darum, sie gegen eine Entschädigung in Ruhe zu lassen. Da wir die Webseiten des Aggressors aber aus ideologischen Gründen und nicht für Geld hacken, wurde zur Bedingung für „Waffenruhe“ die Erfüllung unserer Forderungen: Die Admins sollten uns entschlüsselte Zugangsdaten jener Nutzer geben, die für uns interessant waren, und uns einen separaten Seitenabschnitt zur Verfügung stellen, auf dem wir unsere Artikel veröffentlichen könnten. Dafür versprachen wir, die Hackerangriffe nicht publik zu machen.
Die Admins waren natürlich eiverstanden und es begann ihre geheime Zusammenarbeit mit den ukrainischen Hacktivisten. Am 14. April 2015 schrieben sie einen Post über den ukrainischen Hackerangriff und „bedankten“ sich für die technische Revision der Webseite.
Zitat: „Gesondert möchten wir uns bei den Hackern dafür bedanken, dass sie uns rechtzeitig auf die Löcher im technischen Teil der Webseite hingewiesen hatten, die wir nun beseitigt haben. Eine derartige technische Revision kostet normalerweise viel Geld. Interessant ist auch die Tatsache, dass viele schlussfolgerten, dass „Cont“ ein Platz ist, an dem ukrainische Bürger ihre Meinung nicht äussern dürfen. Die Besucher und Nutzer von „Cont“ dürfen hier aber beliebigen Standpunkt vertreten und diesen auch äussern…“
Ab dem Moment begann auch unsere freie Tätigkeit bei cont.ws. In einem Jahr haben wir dort einige Hunderte Artikel veröffentlicht, die das Faktum der russischen Aggression gegen die Ukraine belegen, darunter auch über 200 Publikationen von InformNapalm. Zugangsdaten von Hunderten Nutzern der Webseite hatten wir selbstverständlich ebenfalls bekommen.
Jetzt kann man über die Epopöe erzählen, da die Admins von „Cont“ kürzlich begannen, gegen unser inneres „Minsker Abkommen“ zu verstossen. Womöglich liegt der Grund dafür darin, dass die kremlischen Betreuer etwas zu ahnen begannen und eine strengere Moderation der Publikationen einforderten. Übrigens gibt es unter den Admins von „Cont“ auch die Mitarbeiter von „DVR“-Informationsministerium, sowie einige andere Kampfpropagandisten.
Wenn die Verwaltung der Webseite beschlossen hat, die Bedingungen unserer Vereinbarung zu „vergessen“, ist es wohl an der Zeit, daran öffentlich zu erinnern.
Ich habe den Schleier einer von vielen Operationen für Euch gelüftet, die wir früher nicht publik machten. Übrigens sollten sich die russischen Blogger nicht wundern, weshalb die Zugangsdaten zu ihren Webseiten und E-Mails so schnell in die Hände von ukrainischen Hacktivisten geraten: Die Admins der russischen Propagandawebseiten sind nunmal in ihrem Lechzen nach Besucherzahlen immer bereit, ihre Daten wem auch immer zu geben, damit ihr Projekt nur am Leben erhalten bleibt.
Das Projekt „Cont“ ist keine alltägliche russische Webseite und davon zeugt nicht nur die Besucherzahl von 200 000 Nutzern am Tag. Dank der Analyse von Zugangsrechten und Nutzerprofilen sind die Hacktivisten von CyberAllianz zu dem Schluss gekommen, dass cont.ws ein weiteres Kettenglied in der russischen Propagandamaschine ist, und das ist auf folgender Grafik gut zu erkennen:
Der Ausdruck „Wir werden geleakt!“ passt somit eigentlich auf die Admins der russischen Quellen.
Ausser dieser Geschichte haben wir mit unserem Gesprächspartner auch andere Aspekte des Cyberkrieges besprochen, aber diese gehen über den Rahmen dieser Publikation hinaus. Die Welt des ukrainischen Hacktivismus ist äusserst interessant und vielfältig, und wir erforschen sie weiterhin, sowie wir den Dialog mit den Hackern und die Veröffentlichung von Analysen auf der Basis ihrer Angaben fortsetzen, im Kampf um die Freiheit und Unabhängigkeit der Ukraine.
Dieses Material wurde von Roman Burko exklusiv für InformNapalm vorbereitet; übersetzt von Irina Schlegel. Beim Nachdruck und Verwenden des Materials ist ein Hinweis auf unsere Ressource erforderlich.
Die Angaben wurden von den Hackern der ukrainischen Cyberallianz exklusiv an InformNapalm zwecks Analyse und weiteren Veröffentlichung übergeben. Die Redaktion von InformNapalm trägt keine Verantwortung für die Erstquelle und die Herkunft der Angaben.
(Creative Commons — Attribution 4.0 International — CC BY 4.0 )
Wir rufen unsere Leser dazu auf, unsere Publikationen aktiver in den sozialen Netzwerken zu verbreiten. Das Verbreiten der Untersuchungen in der Öffentlichkeit kann den Verlauf von Informationskampagnen und Kampfhandlungen tatsächlich brechen.
No Responses to “Ukrainischer Hacktivismus: Die Geschichte eines Hackerangriffs”