Umwälzungen „in buchstäblich jeder Form von Cybercrime“
Bild von Jerney Furman via flickr.com. LIzenz: Creative Commons
Ein Sicherheitsforscher erzählt, was der Krieg in der Ukraine mit dem russischsprachigen Darknet gemacht hat. Das tangiert Bitcoin zwar nur – gibt aber einen interessanten Einblick.
In seinem Podcast interviewt das Magazin Bank Info Security den Sicherheitsanalysten Alexander Leslie. Leslie hat für die Insikt Group einen Bericht darüber verfasst, wie Russlands Krieg gegen die Ukraine das Cybercrime-Ökosystem durchrüttelt („disrupt“).
Übersicht
Zunächst meint Leslie, dass Umwälzungen „in buchstäblich jeder Form des Cybercrime“ auftreten. Man erkenne das an enormen Preisfluktuationen auf allen Marktplätzen, ob für Drogen, Kreditkarten oder Datenleaks.
Der große Trend sei ein Braindrain aus Russland, der Ukraine, Weißrussland und anderen Staaten auf dem Gebiet der ehemaligen Sowjetunion. Dies hat das Ökosystem des Cybercrimes destabilisiert, was sich durch alle Bereiche zieht, Shops, Foren, Telegram-Gruppen.
Teilweise ist die Lage schwer einzuschätzen. Denn viele Akteure im russischsprachigen Cybercrime sind offline gegangen, nachdem Russland in die Ukraine einmarschierte. So wie „andere menschliche Wesen verfolgen sie die Nachrichten und sind sehr besorgt über den Krieg und ihre Zukunft.“
Der Braindrain und seine Folgen
Je nachdem, welche Quellen man zu Rate zieht, westliche oder russische, haben etwa 250.000 Informatiker Russland und Weißrussland verlassen. Die erste Welle vor der Invasion, die zweite kurz danach, und weitere mit der Mobilisierung. Der Braindrain läuft fort. Die Russen fliehen ins Baltikum, vor allem Estland, nach Polen, Finnland, Georgien, Kasachstan und in andere zentralasiatische Staaten. Manche Hacker, die in Russland nicht verfolgt wurden, werden nun festgenommen, etwa Mark Sokolovsky in den Niederlanden, der Entwickler des Raccoon-Stealers.
Der Braindrain dezentralisiert das Ökosystem, das zuvor stark in Russland zentriert war. Mit ihm bricht auch das alte ungeschriebene Gesetz im russischsprachigen Cybercrime: „Wenn du ein russischer Hacker bist und Russland nicht angreifst, wirst du nicht verfolgt.“ Nun jedoch, mit der Dezentralisierung des Ökosystems, verliert die Regel ihre Autorität.
Hacktivism
Die „mit Abstand größte Überraschung“ war jedoch, dass Hacker-Schwadrone bisher gescheitert sind, Russlands Kriegsführung im Cyberspace zu verstärken. Zwar gibt es die eine oder andere Kooperation zwischen Staat und Hackern, aber so gut wie keine nennenswerten Angriffe. Hier haben die meisten Sicherheitsexperten mehr erwartet.
Die größte Gefahr des Hacktivismus geht aber von der Desinformation aus. Leslie hat im Laufe des Jahres 200 Hacktivismus-Gruppen identifiziert, die, ob Pro-Ukrainisch, Pro-Russisch, Pro-Westlich, Behauptungen in die Welt setzen, die nachweisbar falsch oder übertrieben sind. Viele dieser Gruppen haben eine verdächtige Beziehung zu russischen Staatsmedien. So versuche Russland etwa, die Rolle von Cyberangriffen in der Öffentlichkeit größer zu machen als sie tatsächlich ist.
Darknet Markets
Ebenfalls massiv vom Krieg betroffen sind die Darknet-Marktplätze, auf denen Drogen, Waffen, Hehlerware, Fälschungen und andere illegale Waren gehandelt werden. Diese wurden stark destabilisiert, erstens wegen des Shutdowns des mächtigen Hydra-Marktes, der die Szene zersplittert zurückließ, und zweitens wegen der Sanktionen. Seit sie den grenzübergreifenden Warenstrom nach Westen zum Erliegen gebracht haben, können Darknet-Händler keine Waren mehr nach Deutschland, die EU, die USA oder Kanada senden.
Im Inland hingegen nimmt der Darknet-Handel zu, es gibt immer mehr „Dead-Drop-Services“, die illegale Waren an bestimmten Plätzen abliefern. Eventuell bildet sich hier ein Schwarzmarkt, der immer wichtiger wird, je mehr Russland in die Kriegswirtschaft abrutscht, ähnlich den Schwarzmärkten, die angeblich die Bevölkerung in der späten Sowjetunion am Leben gehalten haben.
Die Brotherhood
Viele der Cybercrime-Gruppen bestanden nicht nur aus Russen, sondern aus Bewohnern des weiteren Gebietes der ehemaligen Sowjetunion. Die Ransomware-Gang Conti etwa, in ihr sind Russen, Ukrainer, Weissrussen, Estländer, Moldavier, Georgier, Kasachen; in anderen finden sich auch Rumänen, Finnen, Schweden und so weiter.
Diese „Bruderschaft“ der russischsprachigen Cybercrime-Welt zerfiel mit dem Krieg. In vielen Gruppen kommt zu Konflikten. Die einen sind Russland treu, die anderen, scheinbar die Mehrheit, sind gegen den Krieg. Manchmal kommt es auch zu Problemen mit den Zahlungsflüssen, etwa von den Affiliate-Partner von Ransomware-Entwicklern. Viele russlandkritischen Hacker haben sich der „IT Army of the Ukraine“ angeschlossen, und auch das Hacker-Kollektiv Anonymous unterstützt das Land. Diesen stehen pro-russische Gruppen wie Killnet gegenüber.
Vor allem aber gilt das ungeschriebe Gesetz nicht länger, dass Ziele auf dem Gebiet der ehemaligen Sowjetunion tabu sind. In Foren findet man Angebote über Datensätze von Ukrainern, Georgiern, Weissrussen und so weiter, und in englischsprachigen Foren tauchen immer mehr Daten aus Russland auf.
Interessanter Fund, danke dafür!
Russland ist schon einzigartig, wenn es ums Darknet geht… Hydra zum einen, welcher „zufällig“ kurz nach dem Beginn des Ukrainekriegs vom BKA geschlossen wurde, was eigentlich unglaublich ist, angesichts der Massen von Offshore Hostern, andererseits auch irgendwo verständlich, da viele Tor Relay Nodes gerade in Deutschland stehen und dadurch vielleicht eine bessere Performance erlangt werden konnte und man wägte sich in Sicherheit des Tor Netzwerks. Allerdings leidet dieses bereits seit mindestens Mitte 2022, wahrscheinlich schon früher unter ständigen DDOS Attacken, auch I2p ist betroffen und möglicherweise sind dies Sybil Attacken, die die Deanonymisierung zum Ziel haben, indem man so viele Routen wie möglich selbst erstellt und den übrigen Traffic mit massenhafter Überwachung z.B. durch die NSA ganz gut zuordnen kann.
Im Bericht wird auch noch eine Quelle verlinkt, nach der einer der Nachfolger Hydra’s sogar öffentliche Plakatwerbung in Moskau geschalten hat:
https://www.bleepingcomputer.com/news/security/tor-and-i2p-networks-hit-by-wave-of-ongoing-ddos-attacks/
Ich habe mich gerade mit Mühen auf dieser Platform angemeldet (da ich kein Russisch kann) und mit Erschrecken musste ich feststellen, dass diese noch dreister als Hydra operiert. Kein PGP Zwang, im Wallet prangen die Logos von VISA & Mastercard, die Wallet ist Bitcoin only, Einzahlungsmöglichkeiten per Kreditkarte direkt werden scheinbar mit +25% berechnet, es steht aber eine Liste von direkten Exchanges per Kreditkarte, Webmoney & Co. zur Auswahl.
Man fühlt sich also weiterhin extrem sicher vor Strafverfolgung und das wahrscheinlich zurecht, wenn man bedenkt, dass bei Hydra lediglich die Server durch irgendwelche ausländischen Behörden hochgenommen wurden, aber keine Hintermänner.