Russlands Krieg gegen die Ukraine wird nicht nur mit Bomben, Drohnen und Raketen geführt – auch im Cyberspace tobt ein erbitterter Kampf. Im Interview mit Defence Network erklärt Polizeigeneral Serhiy Vasyljovych Demediuk, wie russische Hacker operieren, welche Rolle künstliche Intelligenz dabei spielt und warum auch westliche Staaten zunehmend ins Visier geraten. Demediuk ist stellvertretender Sekretär des Nationalen Sicherheits- und Verteidigungsrats der Ukraine und ehemaliger Leiter der Cyber-Polizei-Abteilung der Nationalpolizei der Ukraine. Die Fragen stellte Navid Linnemann.
Russland greift die Ukraine mit allen ihm zur Verfügung stehenden Mitteln an, darunter auch Cyberangriffe. Können Sie beschreiben, um welche Art von Angriffen es sich dabei handelt, und vielleicht ein aktuelles Beispiel nennen, damit sich unsere Leser ein konkretes Bild davon machen können?
Russland setzt eine Vielzahl von Cyberangriffen gegen die Ukraine ein und nutzt dabei alle möglichen Methoden, um seine terroristischen Ziele zu verfolgen. Derzeit konzentrieren sich die meisten dieser Operationen auf Cyberspionage mit dem Ziel, Informationen aus ukrainischen Systemen und Netzwerken zu stehlen. Russische APT-Gruppen setzen meist auf sorgfältig ausgearbeitete Social-Engineering-Techniken, die auf bestimmte Ziele zugeschnitten sind.
So führt beispielsweise die dem FSB [russischer Inlandsgeheimdienst, Anm. d. Red.] angehörende Gruppe UAC-0010/Armageddon massive Phishing-Kampagnen gegen ukrainische Regierungsinstitutionen durch und versendet E-Mails, die offizielle Anfragen, gerichtliche Vorladungen oder Verwaltungsstrafen imitieren.
Bei der Bekämpfung ukrainischer Militärangehöriger verwendet der GRU [russischer Militärnachrichtendienst, Anm. d. Red.] personalisierte Nachrichten, die über beliebte Messenger wie WhatsApp und Signal versendet werden.
Diese beziehen sich oft auf Themen wie Drohnenlieferungen, Cybersicherheitswarnungen oder Befehle, die angeblich von kommandierenden Offizieren stammen. Hochrangige Beamte werden mit Spear-Phishing-Kampagnen ins Visier genommen, die mit wichtigen internationalen Ereignissen in Verbindung stehen.
In einem Fall klonten Angreifer die offizielle Website der Ukraine Recovery Conference in Rom und verbreiteten Malware, die als Tagesordnung und Anmeldeformular getarnt war.
Russische Geheimdienste weisen auch Cyberkriminelle an, normale Bürger und Unternehmen anzugreifen. Zu ihren Zielen gehören Gelddiebstahl, das Sammeln persönlicher Daten und das Kompromittieren von Konten für weitere Angriffe.
Zu den Taktiken gehören gefälschte Websites von Regierungen oder NGOs, die „Hilfszahlungen” für Vertriebene anbieten, bösartige Nachrichten in Messengern, die Menschen dazu auffordern, betrügerische Petitionen zu Ehren gefallener ukrainischer Soldaten zu unterzeichnen, usw.
Darüber hinaus führen russische Gruppen – insbesondere solche, die mit dem GRU in Verbindung stehen – zerstörerische Cyberangriffe durch, die darauf abzielen, Daten zu vernichten und den Betrieb ukrainischer Unternehmen zu stören. Eines der bedeutendsten Beispiele war der Angriff auf Kyivstar, den größten Telekommunikationsanbieter der Ukraine, durch den Millionen Ukrainer vorübergehend von der Mobilkommunikation abgeschnitten wurden.
Letztendlich dienen viele dieser Cyberoperationen dem übergeordneten Ziel der Informationsbeeinflussung. Dazu gehören das Hacken von Medien, die Durchführung von Angriffen unter falscher Flagge und die Verunstaltung von Websites mit gefälschten Inhalten.
Haben sich die Cyberangriffe seit der Vollinvasion der Ukraine verändert?
Ja, Russland ändert seine Taktik und seine vorrangigen Ziele etwa alle 6 bis 9 Monate. Derzeit liegt der Schwerpunkt auf der Sammlung von Informationen, der Unterstützung von Informationsoperationen und der zunehmenden Ausrichtung auf Partnerländer, die die Ukraine bei der Abwehr der russischen Aggression unterstützen.
Seit Kurzem setzt Russland auch verstärkt künstliche Intelligenz ein, um Angriffe zu planen und durchzuführen. Gleichzeitig verbessert es die Koordination zwischen Cyberangriffen, Informationsoperationen und Aktionen auf dem Gefechtsfeld.
Das Besondere an LameHug ist die direkte Integration von KI in den Code der Malware.
– General Serhiy Vasyljovych Demediuk
Inwieweit spielt KI bei russischen Cyberangriffen eine Rolle: Geht es „nur” darum, Fake News zu verbreiten und die Zivilbevölkerung zu destabilisieren, oder löst KI selbstständig Cyberangriffe aus und erhöht damit die Anzahl der Angriffe?
Bis zum Frühjahr dieses Jahres nutzten russische Hackergruppen KI hauptsächlich, um die Qualität von Phishing-Texten in ukrainischer Sprache zu verbessern, um bei der Entwicklung von Schadcode und Exploits zu helfen, um Informationen zu sammeln und um Profile zukünftiger Ziele zu erstellen. Unser CERT-UA Reaction Team hat jedoch kürzlich eine Kampagne der mit dem GRU verbundenen Gruppe UAC-0001/APT28 aufgedeckt, die eine neue Malware-Variante namens LameHug verbreitete.
Das Besondere an LameHug ist die direkte Integration von KI in den Code der Malware. Anstelle von fest programmierten bösartigen Befehlen verwendet die Malware natürliche Sprachbefehle wie „Finde alle Word-Dokumente“.
Diese Befehle werden dann zur Laufzeit in der Cloud durch ein LLM verarbeitet, wodurch die tatsächlichen Befehle dynamisch generiert werden. In der Praxis bedeutet dies, dass Angreifer das Verhalten der Malware einfach ändern können, indem sie die an die API gesendeten Eingabeaufforderungen modifizieren – ohne jemals die Malware selbst neu kompilieren oder neu verteilen zu müssen.
Dies stellt einen großen Sprung in den offensiven Cyberfähigkeiten Russlands dar und macht die Erkennung und Zuordnung weitaus schwieriger. Die Integration von KI senkt die Einstiegshürde für weniger erfahrene Gruppen, die nun keine tiefgreifenden Kenntnisse in Low-Level-Codierung oder fortgeschrittenen Ausweichtechniken mehr benötigen.
Eine unserer gemeinsamen Prioritäten sollte es daher sein, Russlands Zugang zu fortschrittlichen Technologien zu beschränken.
Sie haben auf LinkedIn geschrieben, dass sich Cyberangriffe vor russischen Offensiven verändern oder intensivieren. Können Sie dies näher erläutern oder quantifizieren?
Die russische Militärdoktrin sieht vor, Krieg in allen Bereichen zu führen – sowohl physisch als auch virtuell. Daher werden Cyber- und Informationsoperationen eng mit konventionellen militärischen Aktionen auf dem Schlachtfeld koordiniert. Russische Hackergruppen greifen häufig lokale Behörden, kritische Infrastrukturen und Rettungsdienste mit Cyberangriffen an, um die Auswirkungen von Raketen- und Drohnenangriffen zu bewerten.
Die russische Militärdoktrin sieht vor, Krieg in allen Bereichen zu führen – sowohl physisch als auch virtuell.
– General Serhiy Vasyljovych Demediuk
Ein eindrucksvolles Beispiel dafür ereignete sich im Juni 2024, als mehrere russische Raketen das Okhmatdyt-Kinderkrankenhaus in Kiew trafen. Nur wenige Tage vor dem Angriff war das Krankenhaus Ziel eines Cyberangriffs einer Gruppe, die normalerweise keine medizinischen Einrichtungen ins Visier nimmt. Ein ähnliches Muster konnten wir während der Raketenangriffe auf ukrainische Energieanlagen im vergangenen Winter beobachten.
In einigen Fällen können wir durch die Analyse solcher Cyberoperationen sogar die wahrscheinlichen Ziele künftiger feindlicher Angriffe vorhersagen.
Was unternimmt die Ukraine im Bereich der Gegenangriffe? Wie werden Angriffe abgewehrt und welche Strategie verfolgen Sie bei digitalen Gegenangriffen?
Wir können uns zu diesem Thema derzeit nicht öffentlich äußern. Offene Quellen bestätigen jedoch, dass in den letzten Jahren die Zahl der Cyberangriffe auf russische Verteidigungsindustrieunternehmen und Organisationen, die den Angriffskrieg Russlands unterstützen, stetig zugenommen hat.
Gleichzeitig möchte ich die bemerkenswerten Bemühungen von Menschen weltweit hervorheben – Cyber-Freiwillige und digitale Gemeinschaften –, die sich zusammengeschlossen haben, um die Ukraine in diesem Krieg zu unterstützen.
Ich möchte insbesondere den Mitarbeitern russischer Unternehmen und sogar Mitgliedern der russischen Sicherheitsdienste danken, die trotz der Risiken wertvolle Informationen über Schwachstellen weitergegeben und Zugang zu Netzwerken gewährt haben.
Es ist auch wichtig zu erwähnen, dass Russland in letzter Zeit große Anstrengungen unternommen hat, sich in der Öffentlichkeit als Opfer und nicht als Aggressor im Cyberspace darzustellen. Es werden zahlreiche Berichte veröffentlicht – die oft in westlichen Medien Widerhall finden – über Cyberangriffe auf russische Organisationen, die angeblich mit der Ukraine in Verbindung stehen. Diese Darstellung ist bewusst so gestaltet, dass sie suggeriert, unser Land stelle eine Bedrohung dar, sogar für Europa.
Um diese Desinformationskampagnen zu verstärken, führt Russland auch Cyberangriffe unter falscher Flagge durch. So haben wir beispielsweise Malware-Verbreitungskampagnen gegen europäische Partner beobachtet, die unter dem Deckmantel von Nachrichten der ukrainischen IT-Armee durchgeführt wurden, sowie inszenierte Ransomware-Vorfälle, bei denen die Opfer angewiesen wurden, Lösegeld an Konten der Initiative United24 zu überweisen.
In den letzten sechs Monaten richteten sich nur etwa 20 Prozent der Cyberangriffe russischer Pseudo-Hacktivisten-Gruppen gegen die Ukraine, während die Mehrheit nun auf westliche Länder abzielt.
– General Serhiy Vasyljovych Demediuk
Das Beispiel von UAC-0057/GhostWriter zeigt, dass Cyberangriffe auf die Ukraine nicht nur aus Russland, sondern auch von russischen Verbündeten kommen. Wie sieht es mit der Cyberabwehr aus? Erhält auch die Ukraine Hilfe aus dem Ausland? Schließlich greift GhostWriter beispielsweise auch Deutschland an.
Wir verfolgen derzeit die Aktivitäten von etwa 200 Bedrohungsclustern und Akteuren. Die meisten davon stehen in Verbindung mit Russland, aber wir beobachten auch Operationen, die ihren Ursprung in China, Nordkorea und dem Iran haben. Kürzlich haben wir Cyberangriffe identifiziert, die mit kommerzieller Söldner-Spionagesoftware auf die oberste Führungsebene der Ukraine abzielen, was die Zuordnung und Identifizierung der Quelle erheblich erschwert.
Ein klarer Trend ist die Verlagerung des Schwerpunkts russischer Cyberoperationen auf unsere europäischen Partner. In den letzten sechs Monaten richteten sich nur etwa 20 Prozent der Cyberangriffe russischer Pseudo-Hacktivisten-Gruppen gegen die Ukraine, während die Mehrheit nun auf westliche Länder abzielt.
Der Zweck dieser Angriffe besteht darin, die öffentliche Meinung zu beeinflussen, die Unterstützung für die Ukraine zu untergraben, demokratische Institutionen zu diskreditieren und Angst zu verbreiten. Darüber hinaus sind Hackergruppen, die mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung stehen, für die meisten Cyberangriffe gegen die Partnerstaaten der Ukraine verantwortlich.
Seit 2014 hat die Ukraine einzigartiges Fachwissen im Umgang mit komplexen Cyber-, Informations- und hybriden Angriffen aufgebaut. Durch systematischen Kapazitätsaufbau, eine stärkere Koordinierung zwischen den Beteiligten und eine verbesserte Zusammenarbeit hat die Ukraine ihre Cyber-Resilienz erheblich verbessert.
Ich möchte unseren Partnern für ihre wichtige Unterstützung danken – für die Bereitstellung von Informationen über Cyber-Bedrohungen, die Schulung ukrainischer Fachkräfte und den Transfer von Technologien und Produkten, die unsere Verteidigungsfähigkeiten stärken.
Mit WhatsApp immer auf dem neuesten Stand bleiben!
Abonnieren Sie unseren WhatsApp-Kanal, um die Neuigkeiten direkt auf Ihr Handy zu erhalten. Einfach den QR-Code auf Ihrem Smartphone einscannen oder – sollten Sie hier bereits mit Ihrem Mobile lesen – diesem Link folgen:
