Grenzen zwischen Cyberspionage und Cybercrime verschwimmen

Andy.LIU/Shutterstock.com

Staatlich geförderte Bedrohungsakteure sind keine Unbekannten, wenn es um Operationen unter falscher Flagge geht. Sie geben sich dabei als cyberkriminelle Gruppen aus oder verlassen sich auf diese, um ihre wahren Ziele und Identität zu verbergen. Doch die Grenzen zwischen Cyberkriminalität sowie Cyberspionage verschwimmen immer mehr, und die Zahl solcher Vorfälle nimmt zu.

Der Microsoft Digital Defense Report 2024 beleuchtet diese sich wandelnde Cybersicherheitslandschaft und hebt die zunehmende Überschneidung zwischen Cyberspionage sowie cyberkriminellen Aktivitäten hervor. ​​

CISOs müssen sich, so die Forscher, darüber im Klaren sein, dass Aktivitäten in ihren Netzwerken und Systemen, die auf den ersten Blick typisch für cyberkriminelle Absichten zu sein scheinen, möglicherweise andere Hintergründe haben. So könnten sich hinter diesen Ereignissen böswillige Akteure verbergen, die über zusätzliche Tools, Taktiken, Techniken und Verfahren verfügen.

Geld und Daten stehlen für sanktionierte Regierungen

Nordkorea, das seit Jahren unter Wirtschaftssanktionen steht, hat zum Beispiel in der Vergangenheit Cyberoperationen durchgeführt, um ihre Finanzen aufzubessern. ​​ Zwischen 2017 und 2023 stahlen nordkoreanische Hacker, darunter die Lazarus Group und Moonstone Sleet, Kryptowährungen im Wert von über 3 Milliarden Dollar. ​​Diese Gruppen zielen dabei auf hochwertige Sektoren ab, um sowohl Informationen zu sammeln als auch Geld zu verdienen. Auch der​​  Iran hat sich auf finanziell motivierte Angriffe verlegt, wobei Gruppen wie Cotton Sandstorm Datendiebstahl und Erpressung betreiben. ​​

Russland intensiviert ebenfalls seine Zusammenarbeit mit Cyberkriminellen und lagert Cyberspionageoperationen an Gruppen wie Storm-2049 und Storm-0593 aus. ​​Diese Gruppen verwenden handelsübliche Malware und Tools wie Cobalt Strike, um die Ziele der russischen Regierung zu unterstützen. Zu Russlands Operationen unter falscher Flagge gehören der Ransomware-Angriff NotPetya und die Malware Olympic Destroyer. Letzte zielte darauf ab, Ermittler in die Irre zu führen, indem sie andere staatliche Akteure imitierte. ​

KRITIS und öffentliche sind ebenfalls begehrte Ziele

Ein weiterer staatlicher Akteur ist die chinesische APT41, auch bekannt als Winnti, welche eine lange Geschichte von Cyberspionage und finanziell motivierten Angriffen hat. Häufiges Ziel ist hierbei die Online-Gaming-Branche.​​ Diese Gruppe operiert unter dem Deckmantel einer Scheinfirma und richtet ihre Aktivitäten auf Chinas geopolitische Interessen aus. ​​

Allgemein nutzen nationalstaatliche Akteure zunehmend den Deckmantel von Hacktivisten, um ihre Aktivitäten zu verschleiern. ​​So hat der iranische Geheimdienst IRGC die Personas „Tears of War“ und „Hamsa1948“ geschaffen, um die öffentliche Meinung während des Konflikts zwischen Israel und der Hamas zu beeinflussen.

Neben solchen Propagandamaßnahmen werden auch Angriffe auf kritische Infrastruktur (KRITIS) immer beliebter. So schuf der Iran die Persona CyberAv3ngers, um beispielsweise Wasserwerke in den USA, die von israelischen Firmen gebaut wurden, zu beschädigen. Auch die russische Cyber Army of Russia hat sich zu Angriffen auf KRITIS in Ländern, die die Ukraine unterstützen, bekannt. ​​

Cyber-Kriminelle anheuern, um glaubhaft leugnen zu können

Der Bericht unterstreicht die anhaltende Rolle von Cyberoperationen in geopolitischen Konflikten. ​​Russland und der Iran konzentrieren sich auf die Ukraine beziehungsweise Israel, während China Taiwan und die umliegenden Regionen im Visier hat. ​

Der Einsatz von handelsüblicher Malware und Operationen unter falscher Flagge durch Akteure wie Russland und China verdeutlicht die Notwendigkeit robuster Cybersicherheitsmaßnahmen und internationaler Zusammenarbeit, um diese Bedrohungen zu entschärfen. ​​

Deutschland steht besonders im Fokus

• Letztendlich, so der Bericht, mache seine strategische Position in Europa und seine Rolle in der internationalen Politik auch Deutschland zu einem potenziellen Ziel für Cyberspionage- und Einflussoperationen . ​ Um sich gegen die sich entwickelnde Cyberbedrohungslandschaft zu schützen, sei es entsprechend wichtig , die Cybersicherheitsabwehr zu verbessern,
• fortschrittliche Technologien zur Erkennung von Bedrohungen einzusetzen, und
• die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor zu fördern.