Als Russland in die Ukraine einmarschierte, begann ein zweiter und weniger sichtbarer Cyberkrieg. Der Cybersicherheitskorrespondent der BBC, Joe Tidy, reiste in die Ukraine und sprach mit den Cyberkriegern. Tidy war Zeuge des Konflikts, der inmitten von Cyber-Kriegsführung und „Hacktivismus“ die Enden verwischte.
Als ich Oleksandr in seiner Ein-Zimmer-Wohnung in der Ukraine besuchte, war das für viele Hacker ein alltäglicher Anblick.
Es gab keine Möbel oder typische Wohnbilder. Es gab nur einen leistungsstarken Computer in einer Ecke des Schlafzimmers und ein leistungsstarkes Musiksystem in einer anderen Ecke.
Von dort aus half Oleksandr, Hunderte von russischen Websites dauerhaft zu deaktivieren, störte die Online-Dienste von Dutzenden russischer Banken und überschwemmte viele Websites mit pro-ukrainischen Flugblättern.
Oleksandr ist einer der führenden Hacker der IT Army of Ukraine, einem willigen Hacking-Netzwerk mit einem Telegram-Cluster von etwa 200.000 Personen.
Seit mehr als einem Jahr versucht die Gruppe, in Russland so viel Chaos wie möglich anzurichten.
Selbst zum Zeitpunkt unseres Besuchs lief darauf eine ausgeklügelte Software, die darauf abzielte, die Website einer russischen Bank zu deaktivieren.
Dennoch gibt er zu, dass seine Lieblings-Hacking-Idee durch einen Tipp eines anonymen Russen geprägt wurde:
„Jemand aus Russland hat uns von einem System namens Chestny Znak erzählt.
„Sie sagten, dies sei Russlands einziges Authentifizierungssystem für Artefakte. Alle Artefakte erhalten eine eindeutige Nummer und einen Strichcode von der Zeit ihrer Herstellung in der Fabrik bis zu dem Moment, in dem sie verkauft werden.“
Oleksandr lächelt, als er und sein Team herausfinden, wie man das System mit einem gezielten DDoS-Angriff (Distributed Denial of Service) offline schalten kann.
„Ich vermute, dass die wirtschaftlichen Verluste ziemlich hoch waren. Es war überwältigend“, sagt Oleksandr.
Niemand erwartete, dass Hackerhorden auftauchten
In der Tat ist es schwierig, den durch den Angriff verursachten Schaden zu messen, aber im vergangenen April veröffentlichte Chestny Znak 4 Tage lang systematische Updates über den DDoS-Angriff in seinem offiziellen Telegram-Feed.
Herstellern und Verkäufern wurde ein begrenztes Maß an Beratung und Unterstützung angeboten. Das russische Ministerium für Industrie und Handel hat einige Beschränkungen der Lebensmittelkennzeichnung gelockert, um den Handel mit verderblichen Waren zu ermöglichen.
Um den Jahrestag der Invasion schloss sich Oleksandr einer Gruppe von Hackern namens One Fist an, die russische Radiosender kapern und gefälschte Luftschutzsirenen senden wollten.
„Wir fühlen uns wie Soldaten“, sagt Oleksandr. „Ich war bereit, als mein Land uns drängte, zum Gewehr zu greifen, aber ich habe das Gefühl, mein Land zu verteidigen, während sie in Russland einhacken.“
Viele Experten hatten vorausgesagt, dass Hacker im Ukraine-Konflikt eine Rolle spielen könnten, aber niemand erwartete, dass Hacker-Armeen auf beiden Seiten auftauchen würden.
Zwischen diesen kriminellen Gruppen und Militärbeamten beginnen sich beispiellose Kontakte zu entwickeln.
Auch die Grenzen zwischen gezielten, staatlich sanktionierten Cyberangriffen und illegalen Angriffen sind verwischt. Dies kann weitreichende Folgen haben.
Beamte, die das ukrainische Cyberabwehrhauptquartier in Kiew besuchen, behaupten, sie hätten Beweise dafür, dass die russische Hacktivistenbande Killnet, ein Telegram-Cluster von etwa 100.000, direkt mit der russischen Cyberarmee zusammenarbeitet.
„Seit diese Cluster, wie Killnet oder die russische Cyber-Armee, fähigere und qualifiziertere Leute rekrutiert haben, haben sie begonnen, DDoS-Angriffe durchzuführen“, sagt Viktor Zhora, stellvertretender Leiter des ukrainischen Sonderverbindungsdienstes.
„Jetzt können sie ausgeklügelte Cyberangriffe durchführen und haben Berater des russischen Militärs. Ihre Kommandeure vereinen all diese Cluster und Bemühungen gegen die Ukraine und ihre Verbündeten“, sagt Zhora.
Wenn der Zusammenhang bewiesen ist, könnte dies ein Problem für Russland werden.
Seit der Invasion hat Russland bei seinen Cyberangriffen Punkte angegriffen, die keinen direkten Kontakt mit dem Krieg haben.
Killnet hat jedoch subversive, wenn auch sporadische Angriffe auf Krankenhaus-Websites in der Ukraine beschworen und durchgeführt.
„Es gibt auf der Welt nichts Vergleichbares zu russischen Hackern“
Obwohl es keine Genfer Konvention für Cyberkriegsverbrechen gibt, argumentiert das Internationale Komitee vom Roten Kreuz, dass der Angriff auf Krankenhäuser eine Verletzung sein könnte.
Angriffe auf NATO-Staaten können auch eine kollektive Wirkung auslösen, wenn ein zufälliger Angriff erheblichen Schaden anrichtet.
Die russische Regierung reagierte nicht auf Anfragen der BBC nach Kommentaren. Stattdessen gingen wir direkt zum Kopf von Killnet mit dem Spitznamen Killmilk.
Killmilk lehnte ein persönliches Treffen ab, aber nachdem er wochenlang SMS auf Telegram geschrieben hatte, schickte er Videoantworten auf unsere Fragen. Dann trennte er sich komplett.
Killmilk sagte: „Wir widmen Killnet 12 Stunden am Tag. Es gibt nichts Besseres als russische Hacker auf der Welt. Nutzlose und dumme ukrainische Hacker werden uns nicht entgegentreten.“ genannt.
Killmilk bestand darauf, dass sein Cluster völlig unabhängig von russischen Spezialdiensten sei, und argumentierte, dass er einen ordentlichen Job als Lader in einer Fabrik habe und eine „einfache Person“ sei.
Er sagt, er habe vor dem Krieg einen DDoS-Job für einen hohen Preis erledigt, aber seit Beginn der Invasion Hacking-Bemühungen auf die Ukraine und ihre Verbündeten gerichtet:
„Wo auch immer ich bin, ich habe meinen Laptop und alles, was ich brauche, immer dabei. Ich bin fast die ganze Zeit unterwegs.“
Während einige illegale Gruppen wie das Anonymous-Kollektiv in den letzten drei Monaten langsamer geworden sind und ihren Weg fortgesetzt haben, hat Killnet seine Aktivitäten mit dem Effekt von Bildern von Killmilk verstärkt, die auf Flaggen pinkeln, die die NATO und die USA repräsentieren.
Das Argument, dass die russische Cyber-Armee mit fehlerhaften Hackern arbeitet, wird viele in der Welt der Cybersicherheit nicht überraschen.
Aber unser Besuch in der Ukraine hat bestätigt, dass auch dort die Grenzen verschwimmen.
Vor einem Jahr, als sich die Hauptstadt Kiew auf die Offensive vorbereitete, unterstützte Roman den Krieg an der Cyberfront unter der von ihm mitbegründeten Organisation IT Stance for Ukraine.
In den vergangenen Monaten wurde er offiziell von der Cyber-Armee seines Landes angeworben.
„Sie fingen an, uns einige Ziele zu geben und uns zu sagen, was wir tun sollen“
Wir trafen Roman in einem Park in der Stadt Jitomir, zwei Stunden westlich von Kiew.
Er will heute nicht ins Detail gehen und sagt, er arbeite an Möglichkeiten, Datenhaufen und durchgesickerte Informationen in der Cyberkriegsführung zu scannen.
Roman bestätigte, dass die Hacking-Gruppe bereits vor seiner Anstellung direkt mit ukrainischen Beamten zusammengearbeitet hat:
„Wir fingen an, die staatlichen Streitkräfte zu kontaktieren, die dasselbe mit uns machten, und wir begannen, unsere Operationen auf irgendeine Weise zu synchronisieren. Sie fingen im Grunde an, uns Ziele zu geben und uns zu sagen, was wir tun sollten und wann wir es tun sollten“, sagt er.
Laut Roman war einer der effektivsten Angriffe seines Teams, als ein Schienennetz in Südrussland Fahrkartenautomaten lahmlegte.
Auf die Frage nach der Störung, die dies im Leben der einfachen Menschen in Russland verursacht hat, zuckt Roman mit den Schultern.
Dies ist die Art von Offensive, die die ukrainische Cyberarmee niemals öffentlich durchführen könnte.
Seit Beginn der groß angelegten Invasion versucht die Ukraine, sich als Verteidiger und nicht als Angreifer zu präsentieren.
Mykhailo Fedorov, stellvertretender Ministerpräsident und Minister für digitale Transformation. Sein Ministerium richtete umstritten das Telegram-Cluster für die ukrainische IT-Armee ein.
Die Regierung argumentiert, dass sie in keiner Weise am Hacktivisten-Netzwerk beteiligt sei.
Fedorov weist Vorwürfe der Anstiftung zu Angriffen gegen russische zivile Zwecke zurück.
Aber er sei zuversichtlich, dass die Ukraine „das moralische Recht hat, alles in ihrer Macht Stehende zu tun, um das Leben unserer Bürger zu schützen“.
Aber ukrainische Hacktivisten hacken nicht nur die russische Kriegsmaschinerie. Sie hacken, um dem russischen Volk so viel Unannehmlichkeiten wie möglich zu bereiten.
Ted, einer der Koordinatoren der ukrainischen IT-Armee, zeigte uns stolz die wütenden Kommentare, die er von russischen Kunden erhielt, die aufgrund seiner Aktivitäten Probleme hatten.
Einige argumentieren, dass die Intensität der Angriffe zunehmen wird, wenn der Krieg in sein zweites Jahr geht.
„Wenn wir schwächer wären, wären diese Angriffe verheerender gewesen“
Laut ukrainischen Beamten kamen die gewalttätigsten Angriffe nicht von Hacktivisten, sondern vom russischen Militär, das speziell entwickelte Cyberangriffe wie Stromnetze in Koordination mit physischen Übergriffen durchführte.
Zhora sagt, Russland sei bisher bei der Art von Cyberangriffen gescheitert, die Experten befürchteten:
„Natürlich sind die Auswirkungen von Raketenangriffen viel größer als Cyberangriffe, aber der Grund, warum Cyberangriffe die Infrastruktur der Ukraine nicht so sehr beeinträchtigen können, sind unsere Cyberabwehrfähigkeiten.
„Wenn wir schwächer wären, wären diese Überfälle verheerender gewesen.“
Westliches Cyber-Militär und private Cybersicherheitsunternehmen ergänzen den Cyberkrieg in der Ukraine. Ihre Verbündeten zahlen Millionen von Dollar für diese Verstärkungen.
Es gibt auch Stimmen, die behaupten, das Land sei von den Anschlägen stärker betroffen gewesen, als ihre Kommandeure zugeben.
Wie bei allen Seiten des Krieges ist es schwierig zu erkennen, was sich hinter dem Nebel verbirgt, dies gilt insbesondere für die Cyberkriegsführung.
T24