Verschiedene Interessensgruppen haben begonnen, sich über das Nachrichtenprogramm Telegram zu organisieren. In den vergangenen Jahren hat sich die verschlüsselte Instant-Messaging-Anwendung Telegram zur bevorzugten Plattform von Hackern und Aktivisten oder Hacktivisten entwickelt.
Von Christine Schönig, Regional Director Security Engineering CER, Office of the CTO bei Check Point® Software Technologies Ltd.
Die erste Woche des Russland-Ukraine-Krieges ist zu Ende und kürzlich sind unseren Sicherheitsforschern beeindruckende Zahlen über die Zunahme der damit verbundenen Cyber-Angriffe bekannt geworden. Allein in den ersten drei Tagen des Kampfes sind die Angriffe gegen ukrainische Behörden und das Militär um 196 Prozent gestiegen. Die Attacken gegen russische Firmen nahmen zugleich um vier Prozent zu – in allen anderen Regionen der Welt sanken die Unternehmensangriffe. Unsere Experten haben in diesem Zusammenhang auch vor Phishing-E-Mails gewarnt, mit denen Menschen, die aus dem Ausland für die Ukraine spenden wollen, betrogen werden sollen. Nun dehnt sich der virtuelle Konflikt aus.
Verschiedene Interessensgruppen und Hacktivisten haben begonnen, sich über das Nachrichtenprogramm Telegram zu organisieren. Das fing damit an, dass die ukrainische Regierung offiziell eine IT-Armee über Telegram als Gruppe organisiert, die aus Freiwilligen besteht, aber auch aus im Dark Net und in Untergrundforen angeworbenen Profi-Hackern. Die Gruppe zählt bereits über 175‘000 Mitglieder und gab eine Liste von russischen Zielen heraus, die „mit allen Mitteln“ angegriffen werden sollen. Das Wachstum derartiger Telegram-Gruppen ist mittlerweile rasant geworden und die verschiedenen Gruppen verfolgen unterschiedliche Ziele. Das tägliche Nutzeraufkommen in Telegram stieg sogar um das Hundertfache und erreichte kürzlich einen Höchststand von 200‘000 aktiven Nutzern je Gruppe.
Hacktivisten-Gruppen wachsen täglich
Besonders neue Gruppen für ukrainische Attacken gegen Russland wachsen jeden Tag stetig und haben bereits über 250‘000 Mitglieder je Gruppe überschritten. Einige davon aber, die als Spendensammlungen für die Ukraine getarnt sind, stehen im Verdacht, betrügerisch zu sein. Ausserdem umgehen Newsfeed-Gruppen offizielle Nachrichten-Agenturen und verbreiten eigene Meldungen zur Lage. Es gestaltet sich deshalb schwierig, verifizierte Fakten von Behauptungen und Lügen zu trennen oder die Intentionen der verschiedenen Gruppen eindeutig zu erfassen.
Seit dem Aufflammen des Krieges am 24. Februar haben die Check Point Experten die wachsenden Aktivitäten auf Telegram sehr genau beobachtet. Sie berichten von etwa sechs Mal so vielen Gruppen, die sich mit dem Kampf befassen, als am Tag vor dem russischen Einmarsch.
Drei Arten von Hacktivisten-Gruppen fallen dabei besonders auf:
- Zahlreiche Newsfeed-Gruppen, die Nachrichten über den Krieg unter Umgehung der offiziellen Kanäle verbreiten (71 Prozent der beobachteten Gruppen).
- Angriffsgruppen gegen Russland, die ihre Anhänger auffordern, russische Ziele mit allen Mitteln virtuell anzugreifen, hauptsächlich DDoS-Attacken (23 Prozent).
- Gruppen, die ihre Anhänger auffordern, die Ukraine durch Spendensammlungen zu unterstützen, deren Authentizität aber zweifelhaft ist und bei denen oft der Verdacht besteht, dass es sich um Betrug handelt (vier Prozent).
In den vergangenen Jahren hat sich die verschlüsselte Instant-Messaging-Anwendung Telegram zur bevorzugten Plattform von Hackern und Aktivisten entwickelt. Dies ist daher nicht das erste Mal, dass Check Point Spezialisten über beunruhigende Aktivitäten auf Telegram berichten. In früheren Untersuchungen haben sie gezeigt, wie Kriminelle die Plattform vermehrt für Schwarzmarktaktivitäten nutzen, im Verlauf der Pandemie etwa zum Handel mit gefälschten Impfzertifikaten. Ebenso aber wiesen sie darauf hin, dass iranische oder chinesische Bürger, die politisch verfolgt werden, Telegram nutzen.
Empfehlungen im Umgang mit Telegram für die Cybersicherheit:
- Klicken Sie nicht wild auf Links, deren Ursprung Sie nicht kennen, insbesondere unter diesen extremen Umständen. Kriminelle könnten die Situation ausnutzen und versuchen, Anmeldedaten, private Details und andere persönliche Informationen – oder Geld – zu stehlen, indem sie Malware oder Phishing-Links verschicken.
- Seien Sie vorsichtig bei verdächtigen Anfragen. Wenn eine Nachricht aus einer unbekannten Quelle eine Anfrage ist oder Forderung stellt, die ungewöhnlich oder verdächtig erscheint, kann dies ein Hinweis darauf sein, dass sie Teil eines Phishing-Angriffs ist.
- Überlegen Sie zweimal, bevor Sie Geld als Spende an unbekannte Quellen senden, die um Hilfe bitten, denn das kann oft ein Betrug sein. Achten Sie darauf, mit wem Sie kommunizieren und welche Art von Informationen von Ihnen verlangt werden. Nachrichten in sozialen Medien sind nicht die richtige Plattform für grosse finanzielle Transaktionen oder intime Details, insbesondere nicht im Gespräch mit unbekannten Leuten.
- Überprüfen Sie Nachrichtenquellen und suchen Sie selbst nach den behaupteten Fakten.
Es bleibt festzuhalten: solange der Krieg andauern wird, solange wird auch Telegram ein wesentlich heisseres Pflaster sein, als bislang vermutet, da sich ehrliche Aktivisten, angeworbene Hacker im Söldner-Dienst, Betrüger und Propaganda-Gruppierungen nun in grosser Zahl auf die Nutzer stürzen werden.