Hacktivisten-Gruppe CyberBerkut steckt hinter Angriffen auf deutsche Regierungs-Websites

Originalartikel von Trend Micro

Eine prorussissche Gruppe namens CyberBerkut hat die Verantwortung für das Hacking einiger deutscher Regierungs-Websites Anfang Januar übernommen. Die Bedrohungsforscher von Trend Micro konnten Informationen über einige Mitglieder der Gruppe sammeln. Diese Daten hatte die ukrainische nationalistische Partei Pravy Sektor auf Pastebin veröffentlicht.
Hintergründe zu CyberBerkut

CyberBerkut ist eine organisierte Gruppe von prorussischen und antiukrainisischen Hacktivisten. Der Name Berkut (“goldener Adler” auf ukrainisch) leitet sich von der Spezialeinheit der ukrainischen Polizei ab, die 1992 vom Innenministerium ins Leben gerufen worden war. CyberBerkut ahmt auch die Insignien der Spezialeinheit nach. Der Slogan lautet: “Wir werden nicht vergessen, wir werden nicht vergeben.”

Figure1

 

 

 

 

 

Bild 1. Links: Left: Das Wappen der Spezialeinheit der ukrainischen Polizei; Rechts: CyberBerkuts Wappen

Berkut sollte in hochriskanten Situationen, etwa bei Krawallen oder Geiselnahmen, eingesetzt werden, ähnlich dem SWAT (Strategic Weapons and Tactics)-Team in den USA. Gerüchten zufolge nutzte der frühere Präsident der Ukraine Viktor Janukowitsch die Einheit auch für verschiedene gewalttätige Einsätze gegen urkainische Protestler, so etwa für die Intervention während der Proteste auf dem Maidan im November 2013.

Diese Proteste markieren auch den Anfang der Gruppe CyberBerkut, die seither die Verantwortung für verschiedene Cyber-Angriffe auf westliche Regierungsbehörden übernommen haben.

Am 7. Januar 2015 verkündete CyberBerkut auf der eigenen Website, sowie auf Twitter und Facebook, dass die Gruppe Websites des deutschen Parlaments und des Kanzleramts lahmgelegt habe. Berichten zufolge konnten die Websites stundenlang nicht hochgefahren werden.

Figure2

 

 

Bild 2. Ankündigung des Hackings der Website des deutschen Parlaments auf der CyberBerkut-Website

Die Hacktivisten protestieren gegen die Unabhängigkeit der Ukraine und gegen die derzeitige Regierung, der sie die Schuld an den anhaltenden Konflikten auf der Krim geben. Auch beschuldigte die Gruppe Deutschland und die Vereinigten Staaten der Beihilfe zu den Konflikten auf der Krim.

Auch weitere Organisationen wurden mit denselben Anschuldigungen angegriffen, so etwa die NATO-Websites im März 2014, polnische Websites im August 2014 und das ukrainische Verteidigungsministerium im Oktober 2014. CyberBerkut behauptete, die ukrainische Regierung habe Geheiminformationen zu den Untersuchungen zu MH17 erhalten, und die Gruppe veröffentlichte auf ihrer Website entsprechende Dokumente.

Die kyrillische Version der CyberBerkut-Website umfasst einen Bereich namens “BerkutLeaks”, der in der englischen Variante nicht vorhanden ist. Die URL wird folgendermaßen gelistet:

Figure3

 

Bild 3. Der ‘BerkutLeaks’-Bereich auf der CyberBerkut-Website listet mehrere Dokumente bezüglich einiger, als Verräter bezeichnete Personen auf

Wer gehört zu CyberBerkut?

Es ist schwierig, die einzelnen Personen in einer Hacktivisten-Gruppe genau zu identifizieren, weil diese verschiedene Decknamen verwenden. Die Bedrohungsforscher haben herausgefunden, dass es vier Mitglieder gibt, “Mink,” “Artemov,” “MDV” und “KhA.”

Am gleichen Tag, als der Angriff auf die deutschen Websites stattfand, wurden von “PravyjSektorUANationalistsUkraineAnon” von Pravy Sektor (rechtsgerichtete ukrainische Aktivisten) persönliche Informationen über bestimmte Mitglieder der Cyber-Gruppe auf Pastebin veröffentlicht. Inzwischen ist das Posting wieder gelöscht worden, doch es gibt einen Screenshot davon:

Figure4

 

 

 

 

 

Bild 4. Post auf Pastebin, der Informationen zu Mitgliedern von CyberBerkut enthält

Eine ungefähre Übersetzung des Textes lautet:

/ **

* Mitglieder von CyberBerkut

* Hier werden die wichtigsten Mitglieder von CyberBerkut offengelegt

* (CyberBerkut @ Cyberberkut1)

*

* von

* ##PravyjSektorUANationalistsUkraineAnon ##

** /

 –

Vollständiger Name: Alexander Ulyanov

Aliases: MDV

Geburtsdatum: 24/03/1986

Land: Russland

Adresse: 14 Polozova Street, St. Petersburg

I.T.B Identification: 649

Twitter: http://twitter.com/CyberBerkut

Hinweise: Gefunden in der ITB-Datenbank, er leitet die Operation Privat. Stören der Arbeit der zentralen Wahlkommission der Ukraine durch IFES-Beschädigung des Systems vor den Wahlen. Zeitweise Blockierung der Arbeit der MOI der Ukraine und des Generalbundesanwalts der Ukraine. Zeitweise Blockierung der Arbeits-Sites der TV-Kanäle “Inter” und “1 + 1″. Die Angriffe auf die NATO-Website. Der Angriff auf die Websites von privaten militärischen Unternehmen in den USA.

Vollständiger Name: Zac Olden

Aliases: Mink, M. Rodchenko

Geburtsdatum: Unbekannt

Land: Australien

Adresse: Unbekannt

VKontakte: http://vk.com/infiltrate

Twitter: http://twitter.com/zacolden

Hinweise: Hacking der Mailbox und Veröffentlichung der Korrespondenz von IV Kolomoiskiy mit dem Staatsanwalt in der Region Lemberg und Hacking des Computers und der E-Mail des Assistant-Oligarchen. Auch in Einklang mit den Inhalten des Archivs von 89 E-Mail-Konten von Mitarbeitern des regionalen Staatsanwalts in der Region Lemberg. Er ist der Anführer des Rache-Netzwerks (http://retribution.in).

 –

Vollständiger Name: August “Artemov” Pasternak

Aliases: Artemova, Artemov

Geburtsdatum: 07/04/1994

Land: UKRAINE

Adresse: 194, 15 Pushkin, Megeve, Dnipropetrovsk region

I.T.B Identification: 151403

Hinweise: Verantwortlich für die Telefonüberwachung von Catherine Ashton, hohe Vertreterin der EU für Außen- und Sicherheitspolititk, und des Außenministers Urmas Paet. Hacking und Veröffentlichung der Korrespondenz der Innenministerin fer Ukraine AB Avakova.

 Zac Olden aka ”Mink”

Das Mitglied Zac Olden (alias: “Mink”) erregte das Interesse der Bedrohungsforscher, sodass sie weitere Nachforschungen dazu anstellten. Die ursprünglichen Daten zu ihm kamen von Postbin:

Vollständiger Name: Zac Olden

Aliases: Mink, M. Rodchenko

Geburtsdatum: Unbekannt

Land: Australien

Adresse: Unbekannt

VKontakte: http://vk.com/infiltrate

Twitter: http://twitter.com/zacolden

Hinweise: Hacking der Mailbox und Veröffentlichung der Korrespondenz von IV Kolomoiskiy mit dem Staatsanwalt in der Region Lemberg und Hacking des Computers und der E-Mail des Assistant-Oligarchen. Auch in Einklang mit den Inhalten des Archivs von 89 E-Mail-Konten von Mitarbeitern des regionalen Staatsanwalts in der Region Lemberg. Er ist der Anführer des Rache-Netzwerks (http://retribution.in).

Es stellte sich heraus, dass er in weitere Aktionen verwickelt war.

Figure5

 

 

 

 

 

Bild 5. Zusammenfassung verschiedener Informationen zu “Mink.”

Mink nutzt verschiedene Decknamen wie “Videsh”, “Videshkin” und “Gmr.” Er ist auf verschiedenen russischen Untergrundforen zu finden, so etwa inattack.ru, antichat.ru, damagelab und rootkit.com.

Er betreibt auch selbst eine Website, die eine gefälschte Version eines offiziellen australischen Online-Shops ist.

Tatsächlicher Shop:http://www.beadcotasmania.com.au

Gefälschter Store: https://zacolden.com/

Er nutzt folgende E-Mail-Adressen:

  • minkrr@yandex.ru
  • alexandernot@mail.ru
  • mink@retribution.in
  • appalled@outlook.com
  • retribution@null.net
  • support@xakep.ru
  • x@k0d.biz
  • videshkin@ya.ru

Im russischen sozialen Netzwerk Vkontakte.ru wirbt er für das Forum k0d.cc und eine Website namens crypting.net.

Domänen:

  • net
  • cc
  • sx
  • com
  • in

Die falschen Namen, die er verwendet, sind “Kolesnikov Alexandr“ und “MIKHAILOVICH RODCHENKO.” Seine weiteren Online-Profile lassen sich hier nachlesen:

  •  http://my.mail.ru/mail/alexandernot/
  • Skype: CyberBerkut

Mink hat ein Pastebin-Konto, wo es verschiedene Posts gibt. Er scheint seine Kollegen betreffend etwas paranoid zu sein, denn am 14. Oktober 2014 erklärte er “MDV” zum Verräter und veröffentlichte Informationen über ihn, die unter folgendem Link zu finden sind: http://pastebin.com/DYhPfTSx. Das gleiche widerfuhr 16. Juni 2014 “artemova”, dessen Informationen unter dem Pastebin-Link: http://pastebin.com/2LY7isZ8 nachzulesen sind.

Zu den CyberBerkut-Websites gibt es folgenden Informationen:

Figure6

 

 

 

 

Bild 6. CyberBerkut.net wurde mithilfe der obigen Informationen registriert.

Figure7

 

 

Bild 7. Informationen zu den Domänen in Verbindung mit CyberBerkut.net.

Zu den Domänen wiederum gibt es nur wenig Informationen, weil sie sich hinter einer CloudFlare-Infrastruktur befinden.

Die DDoS-Angriffe von CyberBerkut

Am 14. Mai 2014 veröffentlichte CyberBerkut eine neue Nachricht auf ihrem VK-Profil, in der sie Freiwillige dazu aufforderte, mit in den Kampf gegen die Ukraine zu ziehen, indem sie ein DDOS-Tool namens ClientPort laufen haben. Das Tool gibt es in zwei Versionen: eine für Windows und eine für Linux. Der Angriff wurde vermutlich am 14. Mai 2014 um 10 Uhr morgens ausgeführt. Außerdem forderte die Gruppe die Freiwilligen auf, ihre Website zu besuchen (http://cyber-berkut.org/army.php), um das Tool herunterzuladen.

Figure8

 

 

 

 

 

Bild 8. Ursprünglicher VK-Post

Figure9

 

 

 

 

Bild 9. Ursprüngliche Seite von http://cyber-berkut.org/army.php

Das Trend Micro-Team konnte sich eine Kopie beider Versionen des ClientPort-Tools beschaffen. ClientPort verbindet sich mit TOR und dann mit epwokus5rkeekoyh.onion, um den Domänennamen, der angegriffen werden soll, zu erhalten. Das Tool kann Routinen ausführen, etwa das Fluten von HTTP-Verbindungen oder UDP sowie von TCP. Dies ist ein typischer Fall von “Botnet by Agreement”. Auch nehmen die Forscher an, dass die jüngsten DDoS-Angriffe auf dieselbe Weise durchgeführt wurden, indem Pro-Russlang-Freiwillige über verschiedene soziale Netzwerk-Profile wie VK und Odnokalsninki rekrutiert wurden:

  • http://ok.ru/kiberberkut
  • http://vk.com/cyberberkut1
  • https://twitter.com/cyberberkut2
  • https://www.facebook.com/cyberberkut3

Fazit

CyberBerkut-Mitglieder sind in erster Linie prorussische Cyberkriminelle, die für ein politisches Ziel kämpfen. Wie die meisten Hacktivisten nutzen sie DDoS-Angriffe, um offizielle Regierungs-Websites zu stören oder lahmzulegen sowie bestimmte Ziele zu infizieren. Sie wollen so an E-Mail-Anmeldeinformationen herankommen, um die Kommunikation und Dokumente ihrer Opfer zu lesen. Die genutzte Schadsoftware umfasst entweder eine Trojaner, Keylogger oder andere. Die Angriffe von CyberBerkut fallen definitiv unter die Kategorie der politisch motivierten Aktionen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*