Stattdessen bombt Putin die Ukraine seit mehr als 20 Monaten in Schutt und Asche. Diese konventionelle Art der Kriegsführung darf jedoch nicht darüber hinwegtäuschen, dass die Kämpfe von umfangreichen Cyberoperationen begleitet werden. Russlands Cyberattacken gegen die Ukraine haben sich im vergangenen Jahr fast verdreifacht.
Sicherheitsforscher beobachten, dass einige russische Akteure nun ihre Strategie geändert haben. "Russische Hackergruppen konzentrieren sich nicht mehr so sehr auf Sabotageakte, sondern spionieren jetzt häufiger", sagt Robert Lipovský, der beim Sicherheitssoftwarekonzern Eset zu Schadsoftware forscht. Ziele der Cyberoperationen seien vor allem Unternehmen der kritischen Infrastruktur, Militärorganisationen und Regierungsstellen, wie Ministerien, sagt der Experte. "Sie versuchen gezielt, sensible Dokumente und Nachrichten von Messaging-Anwendungen wie Signal und Telegram sowie von Plattformen für die militärische Kommunikation zu stehlen", erklärt Lipovský das Vorgehen der russischen Cybergruppen. "Ziel könnte sein, Informationen über Truppenbewegungen, Truppenstandorte und deren Logistik zu erhalten."
Besonders eine russische Hackergruppe beobachten Sicherheitsforscher genau: Gamaredon. Die 2013 gegründete Gruppe soll mit dem russischen Inlandsgeheimdienst FSB in Verbindung stehen und angeblich von Sewastopol auf der von Russland besetzten Krim aus operieren. Laut dem Computer Emergency Response Team der Ukraine sollen die Gamaredon-Hacker in weniger als einer Stunde Daten von angegriffenen Systemen stehlen können. Drei- bis sechsmal täglich würden sie ihre IP‑Adresse wechseln, um nicht zurückverfolgt werden zu können.
"Gamaredon ist die aktivste russische Gruppe in der Ukraine", bestätigt Sicherheitsforscher Lipovský. Sie ändere ständig ihre Tools, versuche, neue Benutzer zu infizieren und neue Operationen durchzuführen. Dabei agiere die Gruppe im Verborgenen, um möglichst unentdeckt unter dem Radar zu bleiben. 2014 soll die Gruppe einen Hackerangriff auf das ukrainische Parlament verübt und vertrauliche Informationen gestohlen haben. Zwei Jahre später hackten sie sich in das System der Kiewer U‑Bahn.
Beobachter glauben inzwischen nicht mehr, dass Russlands Cyberoperationen den Krieg entscheiden können. Allerdings können die erbeuteten Informationen dem russischen Militär strategische Vorteile verschaffen. Informationen, die womöglich von ukrainischen Militärplanern über Messengerdienste ausgetauscht werden. "Wir haben neue Malware entdeckt, die versucht, Daten aus den Desktopversionen von Signal und Telegram sowie den Webversionen von Whatsapp und Telegram abzufangen", erläutert Lipovský. Trotz Ende-zu-Ende-Verschlüsselung könne Gamaredon auf Chats und Dokumente zugreifen, weil die Hacker das Endgerät des Nutzers infiltrieren, auf denen die Informationen wieder entschlüsselt werden.
Die von Lipovský und seinen Kollegen entwickelte Software hatte im Laufe der letzten zwölf Monate bei etwa 1000 neuen Computern Angriffsversuche von Gamaredon registriert und blockiert. In wie vielen Fällen ohne Schutzsoftware auf dem Computer die Hacker dagegen erfolgreich waren, lässt sich nicht abschätzen. Hier dürften die Nutzer auch nicht bemerkt haben, dass sie ausspioniert werden, sagt Lipovský.
Aus technischer Sicht sei Gamaredon nicht besonders raffiniert und die Tools der Schadsoftware im Vergleich zu anderen technisch weniger fortgeschritten. "Was ihnen an Raffinesse fehlt, machen sie durch die Anzahl der Angriffe und Aktivitäten wieder wett", erklärt er. Es würden ständig neue Varianten des Schadcodes veröffentlicht, um die Abwehr der Angriffe zu erschweren. "Es ist ein ewiges Katz-und-Maus-Spiel."
Ukrainische Computer sind nicht das einzige Ziel russischer Hacker. Vermehrt greifen sie auch Mobilgeräte ukrainischer Soldaten an, um an brisante Informationen vom Schlachtfeld zu gelangen. Das teilten die USA ihren Verbündeten vor wenigen Wochen in einem Geheimdienstmeeting mit, wie CNN berichtete. Russische Cyberoperationen zielen unter anderem auf Android-Tablets ab, die vom ukrainischen Militär zur "Planung und Durchführung von Kampfeinsätzen" verwendet werden.
Das Vorgehen hier unterscheidet sich aber grundlegend: So sollen die Russen Tablets auf dem Schlachtfeld erbeutet und auf ihnen dann Schadsoftware installiert haben. Die Software sollte Daten weitergeben, die ukrainische Soldaten über ihre Mobilgeräte an das Starlink-Satellitensystem senden. Dazu könnten Positionsangaben von Einheiten und Drohneneinsätze zählen. Der Angriff wird der Hackergruppe Sandworm zugeschrieben, die 2015 gemeinsam mit Gamaredon auch das ukrainische Stromnetz angegriffen haben soll. Es war der weltweit erste große Stromausfall, der durch Cyberattacken ausgelöst wurde.
