Der Online-Service InformNapalm Community berichtete am 24. Januar 2022, eine Gruppe mit dem Namen Cyber Partisans habe sich im russischen Nachrichtendienst Telegram zu dem Anschlag bekannt. Dort war zu lesen: „Im Rahmen der Cyber-Kampagne „Peklo“ (übersetzt: Hölle, die Redaktion) haben wir einen Großteil der Server, Datenbanken und Workstations des BelŽD verschlüsselt, um den Betrieb der Eisenbahn zu verlangsamen und zu stören. Die Backups wurden vernichtet. Dutzende von Datenbanken wurden Cyberangriffen unterzogen, darunter AS-Sledd, AS-USOGDP, SAP, AC-Pred, pass.rw.by, uprava, IRC usw. Automatisierungs- und Sicherheitssysteme wurden bewusst NICHT von einem Cyberangriff betroffen, um Notsituationen zu vermeiden.“
Backups wurden gelöscht…
Im Kurznachrichtendienst Twitter schrieb die Gruppe am gleichen Tag: „Cyber-Partisans@cpartisans: Wir haben Verschlüsselungscodes und sind bereit, die Systeme der Belarussischen Eisenbahn wieder in den Normalmodus zu versetzen. Unsere Konditionen: – Freilassung der 50 politischen Gefangenen, die am dringendsten medizinische Hilfe benötigen. – Verhinderung der Präsenz russischer Truppen auf dem Territorium von #Belarus.“ Hauptziel sei es, das Regime des belorussischen Machthabers Lukaschenko zu stürzen, „die Souveränität zu bewahren und einen demokratischen Staat mit Rechtsstaatlichkeit, unabhängigen Institutionen und dem Schutz der Menschenrechte aufzubauen.“
Tatsächlich scheinen die durch die „Hack-tivisten“ veröffentlichten Screenshots zu bestätigen, dass sie sich bei der Anfertigung der Bilder in offiziellen Rechnern der Belarussischen Staatsbahn befanden. Auf einem Screenshot wird gezeigt, dass ein Speicher mit einem Backup gerade zu 28 Prozent formatiert wird – die Daten werden also gelöscht. Screenshots der offiziellen Webseite der BelŽD tragen die Mitteilung, dass „aus technischen Gründen“ Referenz-Webressourcen der Staatsbahn „und Dienste für die Ausgabe elektronischer Reisedokumente zeitweilig nicht verfügbar sind“.
… und die „analogen“ Ticket-Kassen haben mehr Arbeit
Ein Screenshot unserer Redaktion vom heutigen Tag zeigt auf derselben Webseite folgenden Eintrag: „Aus technischen Gründen ist die Rückgabe elektronischer Reisedokumente, die bis zum 24. 1.2022 auf den Web-Ressourcen der Belarussischen Eisenbahn verarbeitet wurden, nicht zugänglich. Für die Rückgabe von Reisedokumenten bitten wir, sich an die Fahrkarten-Kassen zu wenden. Wir entschuldigen uns für die zugefügten Unannehmlichkeiten.“
Offenbar konnte die BelŽD also tatsächlich keine Daten über Vorgänge vor dem 24. Januar mehr wiederherstellen. Und die durch die Hacker verschlüsselten Datenpakete sind nicht verfügbar, weil die belarussische Führung nicht auf die politischen Forderungen der Hacker eingeht. Die „Cyber Partisans“ werden einer als „Solidarität“ firmierenden Bewegung politischer Dissidenten zugerechnet, die eine demokratische Regierung für Belarus fordert. Nach mehreren Angriffen auf verschiedene Regierungsrechner wurde die Gruppe im November 2021 durch die offizielle Staatsführung als „Terroristen“ bezeichnet. Doch die Gruppe verhielt sich gegenüber der Belarussischen Staatsbahn als „Gentlemen-Hacker“ und griff nicht in die Bahntechnik ein. So dürfte der dauerhafte Schaden gering sein.
Vielleicht hat sich auch die Belarussische Staatsbahn inzwischen einen „digitalen Ruck“ gegeben? Unter den Dokumenten, die die Hacker veröffentlichten, befindet sich ein Dienst-Befehl des Transportministeriums, die Leiter des konstruktions-technischen Zentrums und des Zentrums für Schutz der Informationen der Staatsbahn sollten „den unabdingbaren Anschluss und die Arbeitsfähigkeit der Kanäle der Datenübertragung durch das einheitliche Republiknetz der Datenübertragung“ zwischen der Staatsbahn und dem Generalstaab der Armee gewährleisten. Zwar stammt dieser Befehl Nummer 201NZ vom 11. März 2021, und Grundlage ist ein Befehl Nummer 155HZ vom 13. Februar 2015. Doch dann war offenbar in dieser Hinsicht nicht viel passiert.
„Gentlemen-Hacker“ als David gegen Goliath
Juan Andrés Guerrero-Saade, ein leitender Bedrohungsforscher bei der Sicherheitsfirma SentinelOne, unterstreicht: „Das ist eine interessante Wendung in der Ransomware-Erzählung. Bislang betrachteten wir Ransomware als ein finanzielles Problem für Unternehmen und nicht als Werkzeug für den Underdog in einem revolutionären Kampf.“
Tatsächlich nutzten bislang Cyberkriminelle Hackerangriffe mit Verschlüsselung von Daten, um Geldzahlungen zu erpressen. Staatlichen Geheimdiensten zugeschriebene Hackergruppen attackierten offizielle Server anderer Staaten mit dem Ziel des Datendiebstahls oder der Sabotage. Doch Hacker-Angriffe zur Erpressung demokratischer Forderungen, das ist eine Novität.
Westliche Sicherheitsbehörden weisen zugleich darauf hin, dass wegen der militärischen Aktivitäten Russlands in der Ukraine auch von größerer Gefahr durch russische Cyberangriffe auf westliche Infrastruktur auszugehen ist. Das könnte auch Unternehmen aus der Transportbranche betreffen. Deshalb sei jetzt besondere Vorsicht im Umgang mit den eigenen Daten angebracht.
Hermann Schmidtendorf, Chefredakteur
