"Cyber-Guerilla" machte die mangelhafte Passwortsicherheit bei Aeroflot für den Angriff verantwortlich und kündigte an, die Angriffe fortzusetzen, solange das russische Regime Belarus und die Ukraine bedrohe.
WERBUNG
Ein gezielter Hackerangriff auf die russische Fluggesellschaft Aeroflot in der Nacht des 28. Juli brachte den Betrieb der Airline erheblich ins Wanken und führte zur Streichung dutzender Inlands- und Auslandsflüge.
Zu den Gruppen, die sich – neben "Silent Crow" – zu dem koordinierten Angriff bekannten, zählen auch die belarussischen "Cyber Partisans".
Diese dezentral organisierte Gruppe anonymer Hacker-Aktivisten entstand im September 2020 im Zuge der Massenproteste gegen die mutmaßlich gefälschte Präsidentschaftswahl in Belarus unter Machthaber Alexander Lukaschenko.
"Cyber-Guerilla" begründete ihre Aktion mit dem Wunsch, die Ukraine im Kampf gegen den russischen Aggressor zu unterstützen. "Um den Ukrainern im Kampf gegen den Besatzer zu helfen, greifen wir Aeroflot an und legen die größte Fluggesellschaft der Russischen Föderation lahm", heißt es in einer Stellungnahme auf der Website der Gruppe.
Über den Angriff heißt es, dass mehr als 7.000 Server und Workstations in den Büros in Scheremetjewo, Melkisarowo und den dazugehörigen Rechenzentren zerstört wurden. Darüber hinaus gaben die Hacker folgendes an:
Datenbanken und Informationssysteme von CREW, Sabre, SharePoint, Exchange, CASUD, Sirax, Sophie, CRM, ERP, 1C, den Sicherheitssystemen sowie weiteren Teilen der Netzwerkstruktur von Aeroflot wurden laut den Angreifern zerstört. Zudem seien zahlreiche Datenbanken kopiert, Mitarbeiter abgehört und E-Mails abgefangen worden. Deswegen seien umfangreiche Datenlecks zu erwarten. Auch sollen mehrere Datenbanken mit Flugdaten heruntergeladen worden sein, die nun bei Bedarf für unabhängige Untersuchungen zur Verfügung stehen.
Einzelheiten des Angriffs
Die belarussischen Hacker veröffentlichten Einzelheiten darüber, wie ihnen der Angriff auf die russische Fluggesellschaft gelang. Sie gaben an, der Zugriff sei unter anderem deshalb möglich gewesen, weil der Aeroflot-CEO sein Passwort seit 2022 nicht mehr geändert habe.
"Gemeinsam mit unseren Partnern von Silent Crow waren wir über viele Monate hinweg im Unternehmensnetzwerk von Aeroflot aktiv und haben systematisch Zugriffsmöglichkeiten aufgebaut. Der erfolgreiche Zugriff war vor allem darauf zurückzuführen, dass einige Mitarbeiter grundlegende Regeln der Passwortsicherheit missachteten. So hatte beispielsweise der Vorstandsvorsitzende von Aeroflot, Sergei Alexandrowski, sein Passwort seit 2022 nicht mehr geändert. Das Netzwerk selbst läuft teilweise noch auf Windows XP und Windows Server 2003 – ein Umstand, der letztlich zur vollständigen Kompromittierung der Infrastruktur führte."
"Auf diese Weise erlangten wir die Kontrolle über die Arbeitscomputer der Mitarbeiter – einschließlich der Geräte des oberen Managements. Schritt für Schritt haben wir uns methodisch bis zum Kern der Infrastruktur, Tier 0, vorgearbeitet", heißt es in dem Bericht.
Bis in die frühen Morgenstunden hatten die Hacker nach eigenen Angaben mehr als 7.000 Server, Workstations, Datenbanken und interne Systeme zerstört. Sämtliche Daten seien mithilfe eines speziellen, innovativen Algorithmus gelöscht worden.
Die "interessantesten" Informationen – darunter abgehörte Gespräche von Mitarbeitenden und deren Arbeitsmails – habe man zurückgehalten, kündigten die sogenannten Cyber-Guerillas an.
Eine Veröffentlichung auf ihrem Kanal sei geplant.
Am Morgen sprach Aeroflot in einer offiziellen Mitteilung von einer "Betriebsunterbrechung". Die Hacker kommentierten dies mit den Worten: "Aber Sie und ich kennen die Wahrheit."
Die Organisatoren des Angriffs erklärten, die Wiederherstellung der Systeme werde "sehr lange" dauern. Das Unternehmen, dessen Aktien "rapide fallen", werde einen erheblichen finanziellen Schaden erleiden.
"Und das ist erst der Anfang", heißt es weiter. Die Cyber-Guerillas kündigten an, ihre Angriffe fortzusetzen, solange das russische Regime eine direkte Bedrohung für die territoriale Integrität und Unabhängigkeit von Belarus und der Ukraine darstelle.
'Die einzig mögliche Form des Widerstands'
Die "Cyber-Partisanen", die sich als Reaktion auf die massiven politischen Repressionen in Belarus zusammengeschlossen haben, bezeichnen ihre Aktionen als die einzig mögliche Form zivilen Protests und Widerstands: den digitalen Kampf gegen die Strukturen des Lukaschenko-Regimes.
Die Mitglieder der Gruppe – laut ihrer Website überwiegend einfache IT-Spezialisten – sind überzeugt, dass Alexander Lukaschenko sich mit kriminellen Mitteln an der Macht hält. Sie erklären, nicht bereit zu sein, sich mit der herrschenden Gesetzlosigkeit abzufinden, und wollen mit allen ihnen zur Verfügung stehenden Mitteln gegen die Diktatur kämpfen.
Seit ihrer Gründung hat die Organisation eine Reihe "erfolgreicher" Operationen durchgeführt: vom Hacken staatlicher Nachrichtenseiten bis zur Infiltration der Website des belarussischen KGB samt Veröffentlichung seiner Datenbank.
Seit Dezember 2022 kooperieren die Cyber-Partisanen mit dem Kastus-Kalinouski-Regiment, einer belarussischen Einheit innerhalb der ukrainischen Streitkräfte, die in der Ukraine gegen die russische Invasion kämpft.
"Wir führen Cyberangriffe auf gegnerische Infrastrukturen durch, betreiben Cyberaufklärung und sorgen für Computersicherheit", heißt es in einer Mitteilung.
"Das Schicksal von Aeroflot kann jedes Unternehmen oder jede Organisation treffen, die auf dem Gebiet der Russischen Föderation oder der Republik Belarus für die Kreml-Diktatur arbeitet", warnt die Gruppe.