{"id":20719,"date":"2016-11-24T12:30:40","date_gmt":"2016-11-24T12:30:40","guid":{"rendered":"https:\/\/informnapalm.org\/de\/?p=20719"},"modified":"2016-11-24T15:50:34","modified_gmt":"2016-11-24T15:50:34","slug":"ukrainischer-hacktivismus-die-geschichte-eines-hackerangriffs","status":"publish","type":"post","link":"https:\/\/informnapalm.org\/de\/ukrainischer-hacktivismus-die-geschichte-eines-hackerangriffs\/","title":{"rendered":"Ukrainischer Hacktivismus: Die Geschichte eines Hackerangriffs"},"content":{"rendered":"

Neulich haben wir\u00a0uns in Lemberg mit einem Hacktivisten der Gruppe FalconsFlame<\/a>\u00a0getroffen. Die Gruppe ist mit zahlreichen aufsehenerregenden Hackeroperationen bekannt, im Lauf derer\u00a0die Webseiten russischer Terroristen und E-Mail- und Cloud-Accounts russischer Milit\u00e4rangeh\u00f6rige gehackt wurden<\/a>, die an Kampfhandlungen im Donbass teilnehmen. Ferner geh\u00f6rt FalconsFlame zusammen mit CyberJunta<\/a>, Trinity<\/a> und Ruh8<\/a> zur ukrainischen Cyberallianz, die mit ihrem Hackerangriff ins Herz der kremlischen F\u00fchrung – ins E-Mailfach des russischen Pr\u00e4sidentenberaters\u00a0Wladislaw Surkow (#SurkovLeaks<\/a>) weltber\u00fchmt wurde<\/a>.<\/p>\n

Wir haben beschlossen, dieses Interview nicht im Format „Frage-Antwort“ zu machen, sondern in Form einer Erz\u00e4hlung \u00fcber irgendeine Operation ukrainischer Hacktivisten, die noch nicht publik gemacht wurde und wom\u00f6glich eines Tages zu einem Paragraph im Geschichtsbuch \u00fcber den Cyberkrieg werden k\u00f6nnte, den die Ukraine f\u00fcr ihre Freiheit und Unabh\u00e4ngigkeit gef\u00fchrt hat.<\/p>\n

Die Idee, eine unbekannte Geschichte aus dem Schrank zu holen, hat meinem Gespr\u00e4chspartner sehr gefallen. Er holte aus seinem alten Rucksack einen kleinen Laptop heraus und begann, seine Archive durchzuschauen…<\/p>\n

„Anfang 2015 standen die ukrainischen Hackergruppen vor einer Wahl: popul\u00e4re Blogger und Adepten von „Neurussland“ zu hacken oder aber sich einen Weg auszudenken, wie man diesen Prozess automatisieren k\u00f6nnte.<\/p>\n

Wir haben eine Plattform gew\u00e4hlt, auf der zahlreiche\u00a0aggressive russische Watnike<\/a> ihre propagandistische T\u00e4tigkeit gegen die Ukraine f\u00fchrten. Es handelte sich um die popul\u00e4re Bloggerplattform CONT.WS, deren Besucherzahl sich auf circa 200 000 Nutzer pro Tag bel\u00e4uft.<\/p>\n

Ziemlich schnell hatten wir den Zugang zum Admin-Account des Portals bekommen:<\/p>\n

\"cont_ws2\"<\/a>\"14971383_239836299767370_1395397493_n-png\"<\/a><\/em><\/p>\n

Wir begannen, die innere Korrespondenz zu lesen und einige Nutzer abzuarbeiten:<\/p>\n

\"cont_ws3\"<\/a><\/p>\n

Am Ende hatten wir die Daten aller Nutzer des Projekts, wobei die Passw\u00f6rter verschl\u00fcsselt waren und ihre Entschl\u00fcsselung noch einige Zeit in Anspruch nahm:<\/p>\n

\"cont_ws\"<\/a><\/p>\n

Wir gingen das Problem kreativ an und haben \u00fcber einen Fishing-Angriff<\/a> die Zugangsdaten der Nutzer erhalten. Die Daten haben wir analysiert und unter den aktiven Nutzern von „Cont“\u00a0haben\u00a0wir sowohl die Daten zahlreicher ideologischer Anh\u00e4nger von „Neurussland“, als auch Daten bezahlter russischer Blogger entdeckt. Die gesamten von uns erfassten\u00a0Daten haben wir anonym an die SBU-Mitarbeiter und das „Myrotworez“-Zentrum weitergeleitet.<\/p>\n

So haben wir zum Beispiel den Belorussen Alexey Schukow<\/strong> mit festem Wohnsitz in Donezk entdeckt, der ein Mitglied der IBFs (illegale bewaffnete Formationen) <\/em>im Donbass ist und im Internet unter dem Namen ales0ne<\/a> agiert.<\/p>\n

Oder zum Beispiel den Nutzer messer<\/em>,<\/a> der sich als ein Berufssoldat und Veteran des Transnistrien-Innenministeriums entpuppte, Sergei Leschenko<\/strong> heisst und Vorsitzender des Speznas-Veteranenvereins „Dnestr“<\/em> und zugleich der Admin der Webseite dieses Speznas-Vereins ist. Er erz\u00e4hlte in seinen Beitr\u00e4gen unter anderem, wie man Minen-Fallen gegen ukrainische Milit\u00e4rangeh\u00f6rige aufstellt.<\/p>\n

Und da waren noch viele, viele andere Nutzer...<\/em><\/p>\n

Dann begannen wir im Namen der Nutzer der Ressource Materialen zu ver\u00f6ffentlichen, die den ideologischen Rahmen dieses „Watnik“-Projekts sprengten. In einem unserer Artikel haben wir ein „Interview mit Sachartschenko“ ver\u00f6ffentlicht, in dem er Folgendes behauptete:<\/p>\n

Sachartschenko: „Wir sollten den Krieg beenden. Putin wird bald nach Den Haag gebracht“\u00a0(Link<\/a>).<\/p><\/blockquote>\n

Des \u00d6fteren trollen wir die Adepten von „Neurussland“ in ihrem eigenen Stil. So haben wir eine witzige Geschichte<\/a> \u00fcber eine Krankenschwester ver\u00f6ffentlicht, die mit ihrer Brust eine ganze „Volkswehr“-Kompanie gestillt haben soll).<\/p>\n

Bald erschien bei cont.ws auch der erste Artikel in ukrainischer Sprache<\/a>, in dem den Nutzern mitgeteilt\u00a0wurde, dass die Webseite von den ukrainischen Hackern gehackt worden ist.<\/p>\n

Wir haben sie wieder und wieder gehackt, und sie versuchten weiterhin unbeholfen, die L\u00f6cher im Verwaltungssystem ihrer Webseite zu stopfen. Am Ende, nach einigen Monaten permanenter Hackerangriffe bettelten\u00a0die Admins darum, sie gegen eine Entsch\u00e4digung in Ruhe zu lassen. Da wir die Webseiten des Aggressors aber aus ideologischen Gr\u00fcnden und nicht f\u00fcr Geld hacken, wurde zur Bedingung f\u00fcr „Waffenruhe“ die Erf\u00fcllung unserer Forderungen: Die Admins sollten uns entschl\u00fcsselte Zugangsdaten jener Nutzer geben, die f\u00fcr uns interessant waren, und uns einen separaten Seitenabschnitt zur Verf\u00fcgung stellen, auf dem wir unsere Artikel ver\u00f6ffentlichen k\u00f6nnten.\u00a0Daf\u00fcr versprachen\u00a0wir, die Hackerangriffe nicht publik zu machen.<\/p>\n

Die Admins waren nat\u00fcrlich eiverstanden und es begann ihre geheime Zusammenarbeit mit den ukrainischen Hacktivisten. Am 14. April 2015 schrieben sie einen Post <\/a>\u00fcber den ukrainischen Hackerangriff und „bedankten“ sich f\u00fcr die technische Revision der Webseite.<\/p>\n

Zitat: „Gesondert m\u00f6chten wir uns bei den Hackern daf\u00fcr bedanken, dass sie uns rechtzeitig auf die L\u00f6cher im technischen Teil der Webseite hingewiesen hatten, die wir nun beseitigt haben. Eine derartige technische Revision kostet normalerweise viel Geld. Interessant ist auch die Tatsache, dass viele schlussfolgerten, dass „Cont“ ein Platz ist, an dem ukrainische B\u00fcrger ihre Meinung nicht \u00e4ussern d\u00fcrfen. Die Besucher und Nutzer von „Cont“ d\u00fcrfen hier aber\u00a0beliebigen Standpunkt vertreten und diesen auch \u00e4ussern…“<\/p><\/blockquote>\n

Ab dem Moment begann auch unsere freie T\u00e4tigkeit bei cont.ws. In einem Jahr\u00a0haben\u00a0wir dort einige Hunderte Artikel ver\u00f6ffentlicht, die das Faktum der russischen Aggression gegen die Ukraine belegen, darunter auch \u00fcber 200 Publikationen von InformNapalm<\/a>. Zugangsdaten von Hunderten Nutzern der Webseite hatten wir selbstverst\u00e4ndlich ebenfalls bekommen.<\/p>\n

Jetzt kann man \u00fcber die Epop\u00f6e erz\u00e4hlen, da die Admins von „Cont“ k\u00fcrzlich begannen, gegen unser inneres „Minsker Abkommen“ zu verstossen. Wom\u00f6glich liegt der Grund daf\u00fcr darin, dass die kremlischen Betreuer etwas zu ahnen begannen und eine strengere Moderation der Publikationen einforderten. \u00dcbrigens gibt es unter den Admins von „Cont“ auch die Mitarbeiter von „DVR“-Informationsministerium, sowie einige andere Kampfpropagandisten.<\/p>\n

\"cont_ws0\"<\/a><\/p>\n

Wenn die Verwaltung der Webseite beschlossen hat, die Bedingungen unserer Vereinbarung zu „vergessen“, ist es wohl an der Zeit, daran \u00f6ffentlich zu erinnern.<\/p>\n

Ich habe den Schleier einer von vielen Operationen\u00a0f\u00fcr Euch gel\u00fcftet, die wir fr\u00fcher nicht publik machten. \u00dcbrigens sollten sich die russischen Blogger nicht wundern, weshalb die Zugangsdaten zu ihren Webseiten und E-Mails so schnell in die H\u00e4nde von ukrainischen Hacktivisten geraten: Die Admins der russischen Propagandawebseiten sind nunmal in ihrem Lechzen nach Besucherzahlen immer bereit, ihre Daten wem auch immer zu geben, damit ihr Projekt nur am Leben erhalten bleibt.<\/p>\n

Das Projekt „Cont“<\/em>\u00a0ist keine allt\u00e4gliche russische Webseite und davon zeugt nicht nur die Besucherzahl von 200 000 Nutzern am Tag. Dank der Analyse von Zugangsrechten und Nutzerprofilen sind die Hacktivisten von CyberAllianz zu dem Schluss gekommen, dass cont.ws ein weiteres Kettenglied in der russischen Propagandamaschine ist, und das ist auf folgender Grafik gut zu erkennen:<\/p>\n

\"bloggers\"<\/a>
\n<\/strong><\/em><\/p>\n

Der Ausdruck „Wir werden geleakt!“ passt somit eigentlich auf die Admins der russischen Quellen.<\/p>\n