Cyberattacke gegen Bulgarien: Sabotage als Tarnung für Spionage?

Die russische Hackergruppe Killnet hat Webseiten von Institutionen des EU- und NATO-Mitgliedsstaats Bulgarien angegriffen. Geht es um NATO-Daten?

Es begann am Samstag, 15.10.2022: Zuerst war die Homepage von Bulgariens Staatspräsident Rumen Radew nicht mehr aufrufbar. Wenig später folgten die Webseiten zahlreicher Ministerien. Wie die Präsidialverwaltung und das Ministerium für Digitale Verwaltung später mitteilten, war eine einzige, gezielte Cyberattacke für den Ausfall verantwortlich. Das Problem sei bis zum Nachmittag desselben Tages behoben worden, seitdem würden alle Seiten der Institutionen Bulgariens wieder problemlos funktionieren.

Tags darauf übernahm die russische Hackergruppe "Killnet" in ihrem Kanal auf dem Messengerdienst Telegram die Verantwortung - mit einer persönlichen Botschaft an den bulgarischen Generalstaatsanwalt Iwan Geschew.

Erst vergangene Woche hatten Regierung und Geheimdienste in Russland versucht, eine Verbindung zwischen der Explosion auf der Krim-Brücke am 8.10.2022 und dem EU- und NATO-Mitgliedsland Bulgarien herzustellen. Dies entpuppte sich jedoch schnell als offensichtliche Propagandaaktion. Mit dem neuen Cyberangriff dreht Moskau nun offenbar abermals an der Eskalationsspirale.

"Killnet ist eine hochgradig aggressive Gruppe von Hackern mit Verbindungen zum russischen Geheimdienst FSB", erklärt Ruslan Trad, Sicherheitsexperte des Atlantic Council, im Gespräch mit der DW. Sie habe sich nach dem russischen Angriff auf die Ukraine am 24. Februar 2022 formiert und befinde sich im selbst erklärten "Krieg" gegen Regierungen, die Kiew unterstützen. "Ihre Spezialität sind sogenannte DoS und DDoS-Attacken", so Trad weiter, "Cyberangriffe, bei denen Systeme und Webseiten durch eine Unmenge von Anfragen überflutet werden, bis sie zusammenbrechen." Ähnliche Attacken habe Killnet 2022 bereits in den USA, Norwegen, Litauen und vielen weiteren Staaten verübt.

Klassischerweise werde diese Art der Cyberattacken genutzt, "um Macht zu demonstrieren, Angst zu verbreiten - oder für Erpressung", sagt Ruslan Trad. "Doch in diesem Fall habe ich keine Zweifel, dass es um mehr geht: So wie ich es sehe, hat der Angriff noch gar nicht aufgehört - und es geht nicht darum, Regierungsseiten zu blockieren, sondern in IT-Systeme einzudringen und an die Daten dort zu kommen." Somit wäre die Killnet-Attacke gegen Bulgarien ein Versuch von Cyberspionage, der hinter einem Sabotage-Angriff versteckt wurde.