Trace Id is missing

Russische Bedrohungsakteure wollen Kriegsmüdigkeit ausnutzen

 Einflussnahme im Cyberspace
Einführung
Russische Cyber- und Beeinflussungsakteure haben während des gesamten Krieges gegen die Ukraine ihre Anpassungsfähigkeit unter Beweis gestellt und neue Wege erprobt, um sich Vorteile auf dem Schlachtfeld zu verschaffen und die in- und ausländischen Unterstützungsquellen Kiews zu schwächen. In diesem Bericht werden die von Microsoft zwischen März und Oktober 2023 beobachteten Aktivitäten in Bezug auf Cyberbedrohungen und böswillige Beeinflussung detailliert erläutert. In dieser Zeit gerieten das ukrainische Militär und die ukrainische Zivilbevölkerung erneut in die Schusslinie, während die Gefahr der Einmischung und Manipulation für Organisationen aus aller Welt, die die Ukraine unterstützen und versuchen, die russischen Streitkräfte für Kriegsverbrechen zur Verantwortung zu ziehen, zunahm.

Phasen des Krieges in der Ukraine, Januar 2022 bis Juni 2023

Diagramm zu den Phasen des russischen Krieges in der Ukraine
Mehr erfahren über dieses Bild auf Seite 3 im vollständigen Bericht

Die von Microsoft zwischen März und Oktober beobachteten Bedrohungsaktivitäten zeugten von kombinierten Operationen zur Demoralisierung der ukrainischen Öffentlichkeit und einem verstärkten Fokus auf Cyberspionage. Russische Militär-, Cyber- und Propagandaakteure haben inmitten einer weltweiten Getreidekrise konzertierte Angriffe auf den ukrainischen Agrarsektor – ein Ziel aus dem Bereich der zivilen Infrastrukturen – durchgeführt. Cyber-Bedrohungsakteure, die mit dem russischen Militärgeheimdienst (GRU) in Verbindung stehen, haben verstärkt Cyber-Spionageoperationen gegen das ukrainische Militär und seine ausländischen Versorgungslinien durchgeführt. Während die internationale Gemeinschaft versuchte, Kriegsverbrechen zu ahnden, nahmen Gruppen, die mit dem russischen Auslandsgeheimdienst (SWR) und dem Inlandsgeheimdienst der Russischen Föderation (FSB) zusammenarbeiten, Ermittler von Kriegsverbrechen innerhalb und außerhalb der Ukraine ins Visier.

Was die Einflussnahme betrifft, so haben der kurze Aufstand im Juni 2023 und der spätere Tod von Jewgeni Prigoschin, Eigentümer der Wagner Group und der berüchtigten Trollfarm der Internet Research Agency, Fragen über die Zukunft der russischen Einflussmöglichkeiten aufgeworfen. Während des gesamten Sommers beobachtete Microsoft umfangreiche Aktivitäten von Organisationen, die nicht mit Prigozhin in Verbindung standen, was zeigt, dass Russland auch ohne ihn Kampagnen zur negativen Einflussnahme durchführen kann.

Microsoft Threat Intelligence- und Incident Response-Teams haben betroffene Kunden und Regierungspartner informiert und bei der Eindämmung und Abwehr der in diesem Bericht beschriebenen Bedrohungsaktivitäten unterstützt.

Die russischen Streitkräfte neigen dazu, sich auf konventionelle Waffen zu verlassen, um in der Ukraine Schaden anzurichten, aber Cyber- und Beeinflussungsoperationen stellen nach wie vor eine ernste Bedrohung für die Sicherheit von Computernetzen und das Leben der Zivilbevölkerung in den Bündnisstaaten der Ukraine in der Region, in der NATO und weltweit dar. Wir aktualisieren nicht nur ständig unsere Sicherheitsprodukte, um unsere Kunden auf der ganzen Welt proaktiv zu schützen, sondern geben auch Informationen wie diese weiter, um alle zur ständigen Wachsamkeit gegenüber Bedrohungen der Integrität des globalen Informationsraums anzuhalten.

Russlands Offensiv-, Cyber- und Propagandakräfte wurden in diesem Sommer gegen den ukrainischen Agrarsektor gebündelt. Durch militärische Angriffe wurden Getreidemengen vernichtet, die mehr als eine Million Menschen ein Jahr lang hätten ernähren können, während die pro-russischen Medien die Angriffe trotz der humanitären Folgen rechtfertigten.1

Von Juni bis September beobachtete Microsoft Threat Intelligence Netzwerkinfiltrationen, Datenexfiltrationen und sogar zerstörerische Malware, die gegen Organisationen eingesetzt wurde, die mit der ukrainischen Agrarindustrie und der Infrastruktur für den Getreidetransport in Verbindung stehen. Zwischen Juni und Juli stahl Aqua Blizzard (ehemals ACTINIUM) Daten aus einem Unternehmen, das bei der Überwachung von Ernteerträgen hilft. Seashell Blizzard (ehemals IRIDIUM) setzte Varianten rudimentärer destruktiver Malware ein, die von Microsoft als WalnutWipe/SharpWipe identifiziert wurden, um Netzwerke im Lebensmittel- und Agrarsektor anzugreifen.2

Aufschlüsselung der russischen digitalen Propagandaaktivitäten gegen die ukrainische Landwirtschaft

Darstellung der russischen digitalen Propagandaaktivitäten gegen die ukrainische Landwirtschaft
Mehr erfahren über dieses Bild auf Seite 4 im vollständigen Bericht

Im Juli zog sich Moskau aus der Schwarzmeer-Getreide-Initiative zurück, einer humanitären Initiative, die dazu beigetragen hatte, eine globale Nahrungsmittelkrise abzuwenden, und die im ersten Jahr den Transport von mehr als 725.000 Tonnen Weizen für Menschen in Afghanistan, Äthiopien, Kenia, Somalia und Jemen ermöglichte.3 Nach diesem Schritt Moskaus begannen pro-russische Medien und Telegram-Kanäle, die Getreide-Initiative zu diskreditieren und Moskaus Entscheidung zu rechtfertigen. In der Propaganda wurde der Getreidekorridor als Tarnung für Drogenhandel oder als Mittel für verdeckte Waffentransporte dargestellt, um die humanitäre Bedeutung des Abkommens herunterzuspielen.

In mehreren Berichten aus dem Jahr 2023 haben wir darauf hingewiesen, wie legitime oder Pseudo-Hacktivistengruppen mit mutmaßlichen Verbindungen zum GRU daran gearbeitet haben, Moskaus Ressentiments gegenüber Gegnern zu schüren und die Zahl der pro-russischen Cyberkräfte zu übertreiben.4 5 6 In diesem Sommer beobachteten wir außerdem, dass hacktivistische Akteure über Telegram Nachrichten verbreiteten, in denen sie versuchten, militärische Angriffe auf zivile Infrastruktur in der Ukraine zu rechtfertigen, und gezielte DDoS-Angriffe (Distributed Denial of Service) gegen Verbündete der Ukraine im Ausland durchführten. Unsere fortlaufende Beobachtung der Überschneidungen zwischen Hacktivisten und staatlichen Akteuren liefert zusätzliche Erkenntnisse über das operative Tempo beider Gruppen und die Art und Weise, wie ihre Aktivitäten sich im Hinblick auf ihre Ziele jeweils ergänzen.

Bisher haben wir drei Gruppen identifiziert, die mit Seashell Blizzard kooperieren: Solntsepek, InfoCentr und Cyber Army of Russia. Die Beziehung zwischen Seashell Blizzard und den Hacktivistenkanälen könnte angesichts der zeitweiligen Spitzen in den Cyberaktivitäten der Hacktivisten, die mit den Angriffen von Seashell Blizzard zusammenfallen, eher von kurzfristiger Natur als kontrolliert sein. In regelmäßigen Abständen startet Seashell Blizzard einen zerstörerischen Angriff, zu dem sich dann Hackergruppen öffentlich auf Telegram bekennen. Die Hacktivisten wenden sich dann wieder den weniger komplexen Aktionen zu, die sie normalerweise durchführen, wie z.B. DDoS-Attacken oder das Ausspähen persönlicher Daten in der Ukraine. Das Netz ist eine agile Infrastruktur, die die APT für die eigenen Aktivitäten nutzen kann.

Das Spektrum des pro-russischen Hacktivismus

Diagramm zum Spektrum des pro-russischen Hacktivismus
Mehr erfahren über dieses Bild auf Seite 5 im vollständigen Bericht

Russische Akteure beteiligen sich nicht nur an Aktionen, die gegen internationales Recht verstoßen könnten, sondern greifen auch die Ermittler und Staatsanwaltschaften an, die gegen sie ermitteln.

Aus Telemetriedaten von Microsoft geht hervor, dass Akteure mit Verbindungen zum russischen Militär und zu ausländischen Nachrichtendiensten im Frühjahr und Sommer dieses Jahres gezielt ukrainische Justiz- und Ermittlungsnetzwerke sowie Netzwerke internationaler Organisationen, die an der Aufklärung von Kriegsverbrechen beteiligt sind, angegriffen und infiltriert haben.

Diese Cyberoperationen fanden inmitten wachsender Spannungen zwischen Moskau und Institutionen wie dem Internationalen Strafgerichtshof (IStGH) statt, der im März einen Haftbefehl gegen den russischen Präsidenten Wladimir Putin wegen Kriegsverbrechen erlassen hatte.7

Im April kompromittierte der mit dem GRU in Verbindung stehende Akteur Seashell Blizzard das Netzwerk einer Anwaltskanzlei, die sich auf Kriegsverbrechen spezialisiert hat. Aqua Blizzard, der dem FSB zugerechnet wird, drang im Juli in das interne Netzwerk einer großen ukrainischen Ermittlungsbehörde ein und nutzte die dort kompromittierten Konten, um im September Phishing-E-Mails an mehrere ukrainische Telekommunikationsunternehmen zu versenden.

Die SWR-Akteure von Midnight Blizzard (ehemals NOBELIUM) kompromittierten im Juni und Juli die Dokumente einer juristischen Organisation mit globaler Zuständigkeit und griffen darauf zu, bevor Microsoft Incident Response eingriff, um den Angriff zu stoppen. Diese Aktivitäten waren Teil eines aggressiveren Vorstoßes dieses Akteurs, um in diplomatische, verteidigungspolitische, öffentliche und IT-Organisationen weltweit einzudringen.

Eine Auswertung der seit März von Microsoft an betroffene Kunden versandten Sicherheitshinweise ergab, dass Midnight Blizzard mit unterschiedlichem Erfolg versucht hatte, sich Zugang zu mehr als 240 Organisationen vor allem in den USA, Kanada und Europa zu verschaffen.8

Fast 40 %  der anvisierten Organisationen waren staatliche, zwischenstaatliche oder politisch ausgerichtete Think Tanks.

Russische Bedrohungsakteure nutzten verschiedene Techniken, um sich einen ersten Zugang zu den Zielnetzwerken zu verschaffen und sich dort festzusetzen. Midnight Blizzard nutzte zur Infiltration von Cloud-Umgebungen einen „Spülenansatz“, bei dem Kennwortspray, von Dritten erworbene Zugangsdaten, glaubwürdige Social-Engineering-Kampagnen über Microsoft Teams und der Missbrauch von Cloud-Diensten eingesetzt wurden.9 Aqua Blizzard integrierte erfolgreich HTML-Schmuggel in Phishing-Kampagnen für den Erstzugang, um die Wahrscheinlichkeit einer Erkennung durch Antivirensignaturen und E-Mail-Sicherheitskontrollen zu verringern.

Seashell Blizzard nutzte Perimeter-Serversysteme wie Exchange- und Tomcat-Server sowie raubkopierte Microsoft Office-Software, die die DarkCrystalRAT-Backdoor enthielt, um sich einen ersten Zugang zu verschaffen. Die Backdoor ermöglichte es dem Bedrohungsakteur, eine zweite Payload zu laden, die wir Shadowlink nennen. Dabei handelt es sich um ein Softwarepaket, das sich als Microsoft Defender tarnt, den TOR-Dienst auf einem Gerät installiert und dem Bedrohungsakteur heimlichen Zugriff über das TOR-Netzwerk ermöglicht.10

Grafische Darstellung, wie Shadowlink den TOR-Dienst auf einem Softwaregerät installiert
Mehr erfahren über dieses Bild auf Seite 6 im vollständigen Bericht 

Seit Beginn der Offensive der russischen Streitkräfte im Frühjahr 2023 konzentrieren sich GRU- und FSB-nahe Cyber-Akteure auf das Sammeln von Informationen aus der ukrainischen Kommunikations- und Militärinfrastruktur in den Kampfgebieten.

Im März konnte Microsoft Threat Intelligence den Bedrohungsakteur Seashell Blizzard mit potenziellen Phishing-Ködern und -Paketen in Verbindung bringen, die offenbar auf eine wichtige Komponente der militärischen Kommunikationsinfrastruktur der Ukraine abzielten. Wir hatten keinen Einblick in weitere Aktivitäten. Nach Angaben des Sicherheitsdienst der Ukraine (SBU) wurde bei weiteren Versuchen von Seashell Blizzard, in ukrainische Militärnetzwerke einzudringen, Malware eingesetzt, mit der es möglich wäre, Informationen über die Konfiguration der angeschlossenen Starlink-Satellitenterminals zu sammeln und die Standorte ukrainischer Militäreinheiten zu lokalisieren.11 12 13

Secret Blizzard (ehemals KRYPTON) hat ebenfalls Schritte unternommen, um in den Netzwerken des ukrainischen Militärs nachrichtendienstliche Erkenntnisse zu gewinnen. In Zusammenarbeit mit dem ukrainischen Computer Emergency Response Team (CERT-UA) hat Microsoft Threat Intelligence die Backdoor-Malware DeliveryCheck und Kazuar von Secret Blizzard auf Systemen der ukrainischen Streitkräfte entdeckt.14 Kazuar bietet mehr als 40 Funktionen, darunter das Abfangen von Anmeldeinformationen aus einer Vielzahl von Anwendungen, Authentifizierungsdaten, Proxys und Cookies sowie das Auslesen von Daten aus Betriebssystemprotokollen.15 Secret Blizzard war besonders daran interessiert, Dateien mit Nachrichten aus der Messaging-Anwendung Signal Desktop zu stehlen, um private Signal-Chats lesen zu können.16

Forest Blizzard (ehemals STRONTIUM) konzentrierte sich wieder auf seine ursprünglichen Spionageziele, d.h. Verteidigungsorganisationen in den USA, Kanada und Europa, die durch militärische Unterstützung und Ausbildung die ukrainischen Streitkräfte in die Lage versetzen, den Kampf fortzusetzen.

Seit März versuchte Forest Blizzard, sich über Phishing-E-Mails mit neuen und schwer zu durchschauenden Techniken Zugang zu Verteidigungsorganisationen zu verschaffen. So sendete Forest Blizzard beispielsweise im August eine Phishing-E-Mail mit einem Exploit für CVE-2023-38831 an Kontoinhaber einer europäischen Verteidigungsorganisation. CVE-2023-38831 ist eine Sicherheitslücke in WinRAR-Software, die Angreifern die Ausführung von beliebigem Code ermöglicht, wenn ein Benutzer versucht, eine unbedenkliche Datei in einem ZIP-Archiv anzuzeigen.

Der Akteur nutzt auch legitime Entwicklertools wie Mockbin und Mocky für Steuerung und Kontrolle. Ende September führte der Bedrohungsakteur eine Phishing-Kampagne durch, bei der er GitHub- und Mockbin-Dienste missbrauchte. CERT-UA und andere Cybersicherheitsunternehmen machten im September auf die Aktivitäten aufmerksam und wiesen darauf hin, dass der Angreifer Websites mit nicht jugendfreien Inhalten nutzte, um die Opfer dazu zu verleiten, auf einen Link zu klicken oder eine Datei zu öffnen, die zu einer schädlichen Mockbin-Infrastruktur weiterleitete.17 18Microsoft stellte Ende September einen Wechsel auf eine Seite mit technischen Inhalten fest. Jedes Mal schickten die Täter eine Phishing-E-Mail mit einem schädlichen Link, der das Opfer zu einer Mockbin-URL weiterleitete und eine Zip-Datei mit einer schädlichen LNK-Datei (Verknüpfung) herunterlud, die als Windows-Update getarnt war. Die LNK-Datei lud dann ein weiteres PowerShell-Skript herunter und führte es aus, um Persistenz zu erreichen und Folgeaktionen wie Datendiebstahl durchzuführen.

Screenshot-Beispiel für einen PDF-Köder, der mit Phishingaktionen von Forest Blizzard gegen Verteidigungsorganisationen in Zusammenhang steht.

Bedrohungsakteure geben sich als Mitarbeiter des EU-Parlaments aus
E-Mail-Anlage: „Agenda 28. August – 03. September 2023“ für Sitzungen des EU-Parlaments. Pressedienstmitteilung. 160 KB bulletin.rar
Abbildung 5: Screenshot-Beispiel für einen PDF-Köder, der mit Phishingaktionen von Forest Blizzard gegen Verteidigungsorganisationen in Zusammenhang steht.  Mehr erfahren über dieses Bild auf Seite 8 im vollständigen Bericht

Das MTAC setzte die Beobachtung von Storm-1099 während des gesamten Jahres 2023 fort. Storm-1099 ist ein mit Russland verbundener Einflussakteur, der seit dem Frühjahr 2022 eine ausgeklügelte pro-russische Einflusskampagne betreibt, die gegen internationale Unterstützer der Ukraine gerichtet ist.

Am bekanntesten ist wohl die groß angelegte Fälschung von Webseiten, die von der EU-Forschungsgruppe DisinfoLab19 „Doppelgänger“ genannt wurde. Zu den Aktivitäten von Storm-1099 gehören auch spezielle gebrandete Kanäle wie Reliable Recent News (RRN), Multimediaprojekte wie die anti-ukrainische Zeichentrickserie „Ukraine Inc.“ und Vor-Ort-Demonstrationen, die die digitale mit der physischen Welt verbinden. Zwar ist die Zuordnung noch unvollständig, aber gut finanzierte russische politische Technologen, Propagandisten und PR-Spezialisten mit nachweislichen Verbindungen zum russischen Staat haben mehrere Storm-1099-Kampagnen durchgeführt und unterstützt.20

Zum Zeitpunkt der Abfassung dieses Berichts ist die Doppelgänger-Operation von Storm-1099 noch in vollem Gange, trotz der anhaltenden Versuche von Technologieunternehmen und Forschungseinrichtungen, über ihre Reichweite zu informieren und sie einzudämmen.21 Dieser Akteur hatte in der Vergangenheit zwar vor allem Westeuropa – insbesondere Deutschland – als Angriffsziel, er hat aber auch Frankreich, Italien und die Ukraine ins Visier genommen. In den letzten Monaten hat Storm-1099 seinen Standortschwerpunkt auf die Vereinigten Staaten und Israel verlagert. Diese Verschiebung begann bereits im Januar 2023, während der massiven Proteste in Israel gegen die geplante Justizreform, und verstärkte sich nach dem Ausbruch des Krieges zwischen Israel und der Hamas Anfang Oktober. Neu geschaffene gebrandete Kanäle zeigen, dass die US-Politik und die bevorstehenden US-Präsidentschaftswahlen 2024 immer mehr in den Vordergrund rücken, während bestehende Storm-1099-Akteure mit Nachdruck die falsche Behauptung verbreiteten, die Hamas habe für ihre Angriffe auf Israel am 7. Oktober ukrainische Waffen auf dem Schwarzmarkt gekauft.

Zuletzt hat das MTAC Ende Oktober Accounts beobachtet, die von Microsoft Storm-1099 zugeordnet wurden und in sozialen Medien eine neue Art von Fälschungen sowie gefälschte Artikel und Websites bewerben. Dabei handelt es sich um eine Reihe kurzer, gefälschter Nachrichtenclips, die angeblich von seriösen Medien stammen und pro-russische Propaganda verbreiten, um die Unterstützung sowohl für die Ukraine als auch für Israel zu schwächen. Während die Verwendung von Videoparodien zur Verbreitung von Propaganda in den letzten Monaten eine allgemeine Taktik von pro-russischen Akteuren ist, verdeutlicht die Förderung solcher Videoinhalte durch Storm-1099 nur die unterschiedlichen Beeinflussungstechniken und Botschaftsziele des Akteurs.

Auf gefälschten Doppelgänger-Websites veröffentlichte Artikel

Die von dem russischen Cyber-Bedrohungsakteur Storm 1099 durchgeführte Kampagne wurde von Microsoft beobachtet und nachverfolgt.
Von Microsoft am 31. Oktober 2023 beobachtet und nachverfolgt. Artikel, die auf gefälschten Doppelgänger-Websites veröffentlicht wurden; die Kampagne wurde von dem russischen Cyber-Bedrohungsakteur Storm 1099 durchgeführt.
Erfahren Sie mehr über dieses Bild auf Seite 9 im vollständigen Bericht.

Seit den Angriffen der Hamas in Israel am 7. Oktober haben russische Staatsmedien und von Russland unterstützte Einflussakteure versucht, den Krieg zwischen Israel und der Hamas auszunutzen, um antiukrainische Narrative und eine antiamerikanische Stimmung zu fördern und die Spannungen zwischen allen Parteien zu verschärfen. Obwohl diese Aktivitäten in Reaktion auf den Krieg erfolgen und in der Regel von begrenztem Umfang sind, schließen sie sowohl offen staatlich geförderte Medien als auch insgeheim von Russland unterstützte Social-Media-Netzwerke ein, die mehrere Social-Media-Plattformen umfassen.

 

Russische Propagandisten und pro-russische soziale Netzwerke verbreiten über gefälschte Medieninhalte und manipulierte Videos die Behauptung, die Ukraine bewaffne Hamas-Kämpfer, um Israel gegen die Ukraine aufzubringen und die Unterstützung des Westens für Kiew zu schwächen. Ein gefälschtes Video, in dem behauptet wurde, ausländische Rekruten, darunter auch Amerikaner, seien aus der Ukraine in den Gazastreifen verlegt worden, um sich den israelischen Verteidigungsstreitkräften anzuschließen, und das in den sozialen Medien hunderttausendfach aufgerufen wurde, ist nur ein Beispiel für derartige Inhalte. Diese Strategie ermöglicht es, antiukrainische Narrative einem breiten Publikum zugänglich zu machen und gleichzeitig Interesse zu wecken, indem falsche Narrative so konstruiert werden, dass sie zu den Nachrichten über die jüngsten Entwicklungen passen.

 

Russland verstärkt die digitale Einflussnahme auch durch die Förderung von realen Veranstaltungen. Russische Medien verbreiteten aggressiv hetzerische Inhalte, die die Proteste gegen den Krieg zwischen Israel und der Hamas im Nahen Osten und in Europa verstärkten – auch über Korrespondenten der staatlichen russischen Nachrichtenagenturen vor Ort. Ende Oktober 2023 machten die französischen Behörden vier moldauische Staatsangehörige für Graffiti mit Davidsternen auf öffentlichen Plätzen in Paris verantwortlich. Zwei der Moldauer gaben an, von einer russischsprachigen Person beauftragt worden zu sein, was auf eine mögliche russische Initiative hinter den Graffiti hindeutet. Bilder der Graffitis wurden später von Storm-1099-Kanälen verbreitet.22

 

Russland sieht den anhaltenden Konflikt zwischen Israel und der Hamas wahrscheinlich als einen geopolitischen Vorteil an, da es der Ansicht ist, dass der Konflikt die Aufmerksamkeit des Westens von dem Krieg in der Ukraine ablenkt. Das MTAC geht davon aus, dass diese Akteure entsprechend den bewährten Taktiken der russischen Einflussnahmestrategie weiterhin Online-Propaganda verbreiten und wichtige internationale Ereignisse zum Anlass nehmen werden, um Spannungen zu schüren und die Fähigkeit des Westens zu untergraben, der russischen Invasion in der Ukraine entgegenzuwirken.

Bereits vor der Invasion 2022 waren russische Beeinflussungsaktivitäten auf breiter Front von antiukrainischer Propaganda geprägt. In den letzten Monaten haben sich pro-russische und mit Russland verbundene Einflussnetzwerke jedoch darauf konzentriert, Videos als dynamischeres Medium für die Verbreitung dieser Botschaften zu nutzen und gleichzeitig maßgebliche Medienkanäle zu fälschen, um ihre Glaubwürdigkeit zu erhöhen. Das MTAC hat zwei laufende Kampagnen von unbekannten pro-russischen Akteuren beobachtet, die darauf abzielen, Mainstream-Nachrichten- und Unterhaltungsmedien zu fälschen, um manipulierte Videoinhalte zu verbreiten. Wie schon frühere russische Propagandakampagnen zielt auch diese darauf ab, den ukrainischen Präsidenten Wolodymyr Zelenskij als korrupten Drogenabhängigen darzustellen und die westliche Unterstützung für Kiew als schädlich für die einheimische Bevölkerung dieser Länder zu brandmarken. Beide Kampagnen zielen inhaltlich darauf ab, die Unterstützung für die Ukraine zu schwächen, werden aber an aktuelle Ereignisse wie die Implosion des Titan-Tauchboots im Juni 2023 oder den Krieg zwischen Israel und der Hamas angepasst, um ein breiteres Publikum zu erreichen.

Grafische Übersicht zu gefälschten Nachrichten

Übersicht zu gefälschten Nachrichten
Mehr erfahren über dieses Bild auf Seite 11 im vollständigen Bericht

Eine dieser videozentrierten Kampagnen umfasste eine Reihe von Videos, die als Nachrichten von Mainstream-Medien getarnt waren und falsche, antiukrainische und kremlfreundliche Themen und Narrative verbreiteten. Diese Aktivitäten wurden vom MTAC erstmals im April 2022 beobachtet, als pro-russische Telegram-Kanäle ein gefälschtes Video von BBC News veröffentlichten, in dem behauptet wurde, das ukrainische Militär sei für einen Raketenangriff verantwortlich, bei dem Dutzende Zivilisten getötet wurden. Für das Video wurden das Logo, das Farbschema und die Ästhetik der BBC verwendet, und es enthält englische Untertitel mit Fehlern, die häufig bei der Übersetzung aus slawischen Sprachen ins Englische vorkommen.

Diese Kampagne dauerte das ganze Jahr 2022 und wurde im Sommer 2023 intensiviert. Bis zur Abfassung dieses Berichts konnte das MTAC mehr als ein Dutzend gefälschte Medienvideos im Rahmen der Kampagne beobachten, wobei BBC News, Al Jazeera und EuroNews die am häufigsten gefälschten Sender waren. Die Videos wurden zuerst auf russischsprachigen Telegram-Kanälen veröffentlicht, bevor sie sich auf den großen Social-Media-Plattformen verbreiteten.

Screenshots von Videos, in denen das Logo und die Ästhetik von BBC News (links) und EuroNews (rechts) gefälscht wurden

Gefälschte Nachrichtenclips mit pro-russischer Desinformation
Microsoft Threat Intelligence: Falschmeldungen verknüpfen militärisches Versagen der Ukraine, HAMAS-Angriff, falsche Verantwortung Israels
Gefälschte Nachrichtenclips mit pro-russischer Desinformation. Screenshots von Videos, in denen das Logo und die Ästhetik von BBC News (links) und EuroNews (rechts) gefälscht wurden Mehr erfahren über dieses Bild auf Seite 12 im vollständigen Bericht

Diese Inhalte hatten zwar nur eine begrenzte Reichweite, könnten aber eine ernsthafte Bedrohung für künftige Ziele darstellen, wenn sie mithilfe von KI verfeinert oder verbessert oder durch einen glaubwürdigeren Vermittler verstärkt würden. Der pro-russische Akteur, der für die gefälschten Nachrichtenclips verantwortlich ist, reagiert schnell auf das aktuelle Weltgeschehen und ist wendig. So wurde in einem gefälschten Nachrichtenvideo der BBC fälschlicherweise behauptet, die investigative Journalistenorganisation Bellingcat habe aufgedeckt, dass die von den Hamas-Kämpfern verwendeten Waffen von ukrainischen Militärs auf dem Schwarzmarkt an die Gruppe verkauft worden seien. Der Inhalt des Videos stimmte mit öffentlichen Äußerungen des ehemaligen russischen Präsidenten Dmitri Medwedew überein, die dieser nur einen Tag vor der Veröffentlichung des Videos gemacht hatte. Dies verdeutlicht die klare Übereinstimmung der Kampagne mit den offenen Botschaften der russischen Regierung.23

Im Juli 2023 begannen pro-russische Social-Media-Kanäle, antiukrainische Propaganda mithilfe täuschend echt bearbeiteter Videos von Prominenten zu verbreiten. Für die Videos – das Werk eines unbekannten, mit Russland verbündeten Schauspielers – scheint Cameo genutzt worden zu sein, eine beliebte Website, auf der Prominente und andere Persönlichkeiten des öffentlichen Lebens persönliche Videobotschaften aufnehmen und an Nutzer senden können, die dafür eine Gebühr entrichten. Die kurzen Videobotschaften, in denen die Prominenten oft an "Wolodymyr" appellieren, sich wegen seiner Drogenabhängigkeit helfen zu lassen, werden von dem unbekannten Akteur mit Emojis und Links versehen. Die Videos kursieren in pro-russischen sozialen Netzwerken und werden von russischen staatlichen und regierungsnahen Medien verbreitet, die sie fälschlicherweise als Botschaften an den ukrainischen Präsidenten Wolodymyr Zelenskij präsentieren. In einigen Fällen fügte der Akteur Logos von Medienunternehmen und Social-Media-Handles von Prominenten hinzu, um die Videos wie Ausschnitte aus der Berichterstattung über die angeblichen öffentlichen Appelle der Prominenten an Zelensky oder wie Posts der Prominenten in den sozialen Medien aussehen zu lassen. Offizielle und staatlich geförderte russische Propaganda verbreiten seit langem die falsche Behauptung, dass Präsident Zelensky mit Drogenmissbrauch zu kämpfen habe, aber diese Kampagne ist ein neuartiger Ansatz pro-russischer Akteure, dieses Narrativ im Online-Informationsraum zu verbreiten.

Das erste Video der Kampagne tauchte Ende Juli auf und enthielt Emojis mit der ukrainischen Flagge, Wasserzeichen des amerikanischen Medienmagazins TMZ und Links zu einem Zentrum für die Behandlung von Drogenabhängigkeit und zu einer der offiziellen Social-Media-Seiten von Präsident Zelensky. Bis Ende Oktober 2023 haben pro-russische Social-Media-Kanäle sechs weitere Videos in Umlauf gebracht. Bemerkenswert ist, dass die staatliche russische Nachrichtenagentur RIA Novosti am 17. August einen Artikel über ein Video mit dem amerikanischen Schauspieler John McGinley veröffentlichte, als handele es sich um einen authentischen Appell McGinleys an Zelensky.24 Zu den Prominenten, deren Inhalte in der Kampagne verwendet werden, gehören neben McGinley die Schauspieler Elijah Wood, Dean Norris, Kate Flannery und Priscilla Presley, der Musiker Shavo Odadjian und der Boxer Mike Tyson. Weitere staatlich kontrollierte russische Medien, darunter das von den USA sanktionierte Medienunternehmen Zargrad, haben die Inhalte der Kampagne ebenfalls verbreitet.25

Standbilder aus Videos, in denen Prominente anscheinend pro-russische Propaganda betreiben

Standbilder aus Videos, in denen Prominente anscheinend pro-russische Propaganda betreiben
Mehr erfahren über dieses Bild auf Seite 12 im vollständigen Bericht

Dem ukrainischen Militärchef zufolge sind die russischen Truppen in eine neue Phase des statischen Grabenkampfes eingetreten, was auf einen noch länger andauernden Konflikt hindeutet.26 Kiew wird einen kontinuierlichen Nachschub an Waffen und Unterstützung aus der Bevölkerung benötigen, um den Widerstand aufrechtzuerhalten, und es ist zu erwarten, dass russische Cyber- und Einflussakteure ihre Bemühungen verstärken werden, die ukrainische Bevölkerung zu demoralisieren und Kiews externe Quellen militärischer und finanzieller Unterstützung zu schwächen.

Angesichts des nahenden Winters könnte es in der Ukraine erneut zu militärischen Angriffen auf Strom- und Wasserversorgungseinrichtungen sowie zu zerstörerischen Wiper-Angriffen auf diese Netze kommen.27Die ukrainische Cybersicherheitsbehörde CERT-UA gab im September bekannt, dass die ukrainischen Stromnetze einer anhaltenden Bedrohung ausgesetzt sind. Microsoft Threat Intelligence beobachtete von August bis Oktober Artefakte von GRU-Bedrohungsaktivitäten in ukrainischen Netzwerken des Energiesektors.28 Microsoft beobachtete im August mindestens einen zerstörerischen Einsatz des Tools Sdelete gegen ein Netzwerk eines ukrainischen Energieversorgers.29

Außerhalb der Ukraine könnten die Präsidentschaftswahlen in den USA und andere wichtige Wahlen im Jahr 2024 böswilligen Einflussakteuren die Gelegenheit bieten, ihre Video- und wachsenden KI-Kenntnisse zu nutzen, um die politische Zukunft von gewählten Vertretern zu vereiteln, die sich für die Unterstützung der Ukraine einsetzen.30

Microsoft arbeitet auf mehreren Ebenen, um seine Kundschaft in der Ukraine und weltweit vor diesen vielgestaltigen Bedrohungen zu schützen. Im Rahmen unserer Initiative „Secure Future“ kombinieren wir Innovationen im Bereich der KI-gestützten Cyberabwehr und die Entwicklung sicherer Software mit Bemühungen um strengere internationale Standards zum Schutz der Zivilbevölkerung vor Cyberbedrohungen. 31 Wir setzen außerdem Ressourcen ein und stützen uns auf grundlegende Prinzipien, um Wähler, Kandidaten, Kampagnen und Wahlbehörden auf der ganzen Welt zu schützen, da im nächsten Jahr mehr als 2 Milliarden Menschen an demokratischen Prozessen teilnehmen werden.32

  1. [2]

    Technische Angaben zu den neuesten zerstörerischen Angriffsmethoden in der Ukraine finden Sie unter https://go.microsoft.com/fwlink/?linkid=2262377.

  2. [8]

    Basierend auf Mitteilungen, die zwischen dem 15. März 2023 und dem 23. Oktober 2023 herausgegeben wurden. 

  3. [17]

    hxxps://cert[.gov[.]ua/article/5702579

  4. [24]

    ria[.]ru/20230817/zelenskiy-1890522044.html

  5. [25]

    tsargrad[.]tv/news/jelajdzha-vud-poprosil-zelenskogo-vylechitsja_829613; iz[.]ru/1574689/2023-09-15/aktrisa-iz-seriala-ofis-posovetovala-zelenskomu-otpravitsia-v-rekhab 

  6. [29]

Verwandte Artikel

Digitale Bedrohungen aus Ostasien gewinnen an Reichweite und Effektivität

Informieren Sie sich über neue Trends in der sich ständig weiterentwickelnden Bedrohungslandschaft in Ostasien, wo China umfangreiche Cyber- und Einflusskampagnen durchführt, während die Cyberbedrohungen aus Nordkorea immer ausgefeilter werden.

Iran setzt für größere Wirksamkeit auf Cyberdesinformation-skampagnen

Microsoft Threat Intelligence hat zunehmende Cyberdesinformationskampagnen aus dem Iran aufgedeckt. Sehen Sie sich Erkenntnisse zu Bedrohungen mit Details neuer Techniken an, und finden Sie heraus, wo das Potenzial für künftige Bedrohungen liegt.

Die Cyber- und Desinformations­kampagnen im Krieg auf dem digitalen Schlachtfeld der Ukraine

Microsoft Threat Intelligence untersucht ein Jahr Cyber- und Beeinflussungsaktivitäten in der Ukraine, deckt neue Trends bei Cyberbedrohungen auf und zeigt, womit im zweiten Jahr des Krieges zu rechnen ist.

Microsoft Security folgen