Die Sicherheitsforscher von Check Point haben einen Blick hinter die Kulissen des Trends Hacktivismus geworfen. Zu diesem Zweck wurden 20 000 Nachrichten von 35 Gruppen ausgewertet und auf Gemeinsamkeiten untersucht.

Hacktivismus hat sich von digitalen Protesten zu ausgeklügelten, staatlich geförderten Cyber-Operationen entwickelt. Check Point Research (CPR) analysierte 20 000 Nachrichten von 35 Hacktivisten-Gruppen mithilfe von maschinellem Lernen und linguistischer Analyse, um verborgene Zusammenhänge und Handlungsmuster aufzudecken. Die Untersuchung zeigt, wie geopolitische Ereignisse solche Aktivitäten antreiben, wobei einige Gruppen während Krisen wieder auftauchen, um gezielte Angriffe durchzuführen. Die stilometrische Analyse (eine Methode der Analyse sprachlicher Muster zur Bestimmung der Urheberschaft) fand Gruppen von Hacktivisten mit sich überschneidenden linguistischen Fingerabdrücken, was auf gemeinsame Akteure hindeutet. So bilden beispielsweise Cyber Army of Russia Reborn, Solntsepek und XakNet eine solche Bande. Außerdem zeigte sich deutlich, wie Hacktivisten-Gruppen, die sich oft als unabhängige Akteure tarnen, zunehmend von Nationalstaaten für Cyber-Operationen eingesetzt werden.

Anzeige

Die Ursprünge des Hacktivismus gehen auf die Gruppierung Cult of the Dead Cow zurück, die mit digitalen Mitteln gegen Unternehmen und Regierungen protestierte. Im Laufe der Zeit entwickelten sich diese Bemühungen zu organisierten Kampagnen von Gruppen wie Anonymous, die dafür bekannt sind, sich gegen Einrichtungen wie Scientology und Finanzinstitute zu richten. Heute wird die Landschaft von staatlich geförderten Gruppen dominiert. So starteten beispielsweise russische Hacker während des Ukraine-Krieges Angriffswellen auf die ukrainische Infrastruktur und störten Regierungsbetriebe, Banken und Medien. Ukrainische Gruppen übten Vergeltung mit Cyber-Angriffen auf russische Logistik-, Medien- und Finanzsysteme.

Iranische Hacktivisten-Gruppen haben sensible Dokumente von Regierungsstellen veröffentlicht, interne Kommunikation offengelegt und Verwaltungsfunktionen destabilisiert. In ähnlicher Weise war die indische Infrastruktur während regionaler Konflikte solchen Banden ausgesetzt, die sich auf Lieferketten und Finanzmärkte einschossen. Diese Beispiele unterstreichen, wie sich der Hacktivismus zu einer geopolitischen Waffe entwickelt hat.

Durch die Analyse ihrer Sprache konnte CPR Gruppen-Cluster identifizieren, deren Akteure, Taktiken und sogar Verbindungen zu staatlich geförderten Akteuren Gemeinsamkeiten aufweisen. Die Sicherheitsforscher deckten wiederkehrende Themen wie Cyber-Angriffe auf kritische Infrastrukturen, Datenlecks von militärischen Organisationen und koordinierte Propagandakampagnen auf. Die stilometrische Analyse ergab nicht nur, dass Gruppen wie JustEvil und NoName057 den Schreibstil mit Cyber Army of Russia Reborn teilten, sondern wies auch auf gemeinsame Akteure und eine mögliche staatliche Förderung hin.