Deutsche Märkte öffnen in 6 Stunden 29 Minuten
  • Nikkei 225

    29.108,23
    +233,00 (+0,81%)
     
  • Dow Jones 30

    34.196,82
    +322,58 (+0,95%)
     
  • BTC-EUR

    29.299,33
    +972,37 (+3,43%)
     
  • CMC Crypto 200

    844,07
    +57,45 (+7,30%)
     
  • Nasdaq Compositive

    14.369,71
    +97,98 (+0,69%)
     
  • S&P 500

    4.266,49
    +24,65 (+0,58%)
     

Sie legten einen Teil der Öl-Industrie in den USA lahm: Wer steckt hinter der Hackergruppe Darkside?

·Lesedauer: 4 Min.
Eine Station der von Hackern angegriffenen Firma Colonial Pipeline nahe Houston, Texas
Eine Station der von Hackern angegriffenen Firma Colonial Pipeline nahe Houston, Texas

Es stimmt was nicht, am vergangenen Freitag, entlang einer mehr als 8850 Kilometer langen Ölpipeline aus dem US-Bundesstaat Texas nach New York. Über den Tag hinweg werden mehrere Störungen gemeldet, am Abend verschickt die Betreiberfirma Colonial Pipeline eine Pressemitteilung: Der Konzern ist einer Hackerattacke zum Opfer gefallen, die komplette Pipeline werde stillgelegt, 45 Prozent der Ölversorgung der Ostküste der USA brechen damit weg.

Am Samstag nehmen die US-Behörden, darunter die Bundespolizei FBI ihre Ermittlungen auf. Schnell wird klar: Es handelt sich um eine sogenannte Ransomwareattacke. Die Hacker haben sich Zugang zu den Systemen von Colonial Pipeline verschafft, dort abgelegte Daten verschlüsselt und verlangen ein Lösegeld, um sie wieder freizugeben. Das FBI geht deshalb davon aus, dass es sich bei den Hackern um eine kriminelle Bande und nicht um staatliche Akteure handelt.

Am Montag wird diese Bande schließlich von den FBI-Ermittlern identifiziert. Die USA machen die Hackergruppe Darkside für den Angriff verantwortlich, US-Präsident Joe Biden kündigt am Montag an, sie "stören und verklagen" zu wollen. Die "New York Times" berichtet unter Berufung auf Quellen in den US-Geheimdiensten, dass diese hinter dem Hackerangriff durch Darkside einen kriminellen Erpressungsversuch, jedoch keine staatliche oder geheimdienstliche Operation vermuten.

Doch wenn kein Staat oder Geheimdienst, wer steckt dann hinter Darkside?

Auftragshacker mit Verbindungen nach Russland

Laut der "New York Times" vermuten die Geheimdienste in den USA, dass die Hackergruppe aus Osteuropa oder womöglich Russland operiert. US-Präsident Biden suggerierte am Montag, Moskau könnte insofern an der Attacke eine Mitschuld tragen, weil es kriminellen Hackergruppen wie Darkside einen sicheren Rückzugsort biete.

Cybersecurity-Experten sehen hinter den Attacken der erst seit vergangenem August aufgetauchten Hackern von Darkside nur eine Motivation: Geldgier.

So schreibt Vladimir Kuskov, Head of Threat Exploration bei der russischen Cybersecurity-Firma Kaspersky, in einem Blogeintrag über Darkside: „Darkside ist eine typische Gruppe von Cyberkriminellen, die am 'Big Game Hunting' beteiligt ist. Ihr Ziel: Geld verdienen." Die Hackergruppe biete ihre Ransomware "Partnern" an, die wiederum den Zugriff auf Organisationen von anderen Hackern kaufen würden, die die Darkside-Software dann einsetzen würden. Zwischenzeitlich sei es Sicherheitsfirmen gelungen, die Verschlüsselung der Darkside-Ransomware zu knacken, schreibt Kuskov. So sei es von der Hackergruppe angegriffenen Unternehmen möglich gewesen, unter Verschluss gestellte Daten zu retten, ohne Lösegeld zu zahlen. Darkside habe diese Lücke in seinem Code mittlerweile jedoch geschlossen — die Attacke auf die Colonial Pipelinie konnte also nicht abgewehrt werden.

Die in Kalifornien ansässige IT-Sicherheitsfirma Fireeye berichtet, dass seit August vergangenen Jahres monatlich bis zu 22 Unternehmen Opfer der Ransomware-Attacken von Darkside wurden. Die Attacken verteilen sich demnach auf mindestens 15 Länder. Wie Kaspersky beschreibt Fireeye, dass verschiedene Hackergruppen mit der Software von Darkside operieren. Bei vergangenen Attacken seien "unterschiedliche Level technischer Fähigkeiten" beobachtet worden. Fireeye will zudem mindestens fünf Russisch sprechende Akteure identifiziert haben, die in Verbindung mit Darkside stehen. Um welche Personen es sich handelt, und welche Art der Verbindungen zu der Hackergruppe bestehen, gibt die Firma jedoch nicht preis.

Darkside-Hacker bemühen sich um ein Robin-Hood-Image

Dafür ist Darkside selbst um sein öffentliches Image bemüht. Die Hackergruppe hat eine eigene Webseite im sogenannten Darknet, das nur mit speziellen Internetbrowsern zu erreichen ist und in dem Hosts und Nutzer von Webseiten nur sehr schwer ausfindig zu machen sind.

Dort profilieren sich die Kriminellen als Robin Hoods, als Hackergruppe mit einem Kodex. Darkside behauptet von sich, keine Krankenhäuser, Schulen, Nichtregierungsorganisationen oder Regierungsinstitutionen anzugreifen. Die Hacker wollen es lediglich auf kommerzielle Ziele abgesehen haben.

In einem aktuellen Statement zur Attacke auf Colonial Pipeline zeigte sich die Hackergruppe nahezu überrascht von den immensen Folgen, die diese hatte. "Wir sind apolitisch, wir beteiligen uns nicht an Geopolitik", heißt es darin. Niemand müsse nach einem Staat suchen, mit dem sich die Gruppe zusammengetan habe, um ihre Motivation herauszufinden. "Unser Ziel ist es, Geld zu machen und nicht, der Gesellschaft Probleme zu bereiten." In Zukunft werde die Gruppe eine "Moderation" einführen und jede Firma überprüfen, die von ihren Partnern gehackt und erpresst werden soll, "um soziale Konsequenzen in Zukunft zu vermeiden."

Konsequenzen, wie sie der Pipeline-Hack in den USA ausgelöst hat. Über 1000 Tankstellen waren zeitweise ohne Treibstoff. Energieministerin Jennifer Granholm rief die Bürger auf, von Panikkäufen abzusehen. Inzwischen hat die Pipeline ihren Betrieb wohl wieder schrittweise aufgenommen, doch der Schaden durch den Hack ist angerichtet.

Für Darkside soll sich der Angriff hingegen ausgezahlt haben. Nach Berichten von US-Medien überwies Pipeline-Betreiber Colonial dem Hackerkollektiv fünf Millionen Dollar in einer Kryptowährung.

Wir möchten einen sicheren und ansprechenden Ort für Nutzer schaffen, an dem sie sich über ihre Interessen und Hobbys austauschen können. Zur Verbesserung der Community-Erfahrung deaktivieren wir vorübergehend das Kommentieren von Artikeln.