Ransomware-Angriff von Cyber-Partisanen auf das weißrussische Eisenbahnsystem

Last updated 12. März 2023

Weißrussische Aktivisten haben aus Protest gegen die Bewegung russischer Truppen durch das Land einen Ransomware-Angriff auf das weißrussische Eisenbahnsystem gestartet. Die Cyber-Aktivisten drohen, das Eisenbahnsystem des Landes lahmzulegen, indem sie Züge stören, die russische Militärtruppen durch Weißrussland für einen möglichen Angriff auf die Ukraine transportieren.

Die belarussischen Cyber-Partisanen gingen am Montag zu Twitter und sagten, sie hätten die Eisenbahnsysteme entführt, nachdem Präsident Lukaschenko russischen Truppen erlaubt hatte, durch das Land zu ziehen. Die Gruppe hat einige Forderungen im Austausch für die Verschlüsselungsschlüssel aufgelistet.

Die Gruppe twitterte:

„Auf Befehl des Terroristen Lukaschenko erlaubt die #Weißrussische Eisenbahn den Besatzungstruppen, unser Land zu betreten. Wir haben einige der Server, Datenbanken und Workstations von BR verschlüsselt, um den Betrieb zu stören. Automatisierungs- und Sicherheitssysteme wurden NICHT beeinträchtigt, um Notsituationen zu vermeiden."

Die Gruppe verlangt, dass sie die Verschlüsselungsschlüssel zurückgibt, wenn die Regierung 50 politische Gefangene freilässt, die medizinische Hilfe benötigen. Eine weitere Bedingung ist, die Präsenz russischer Truppen im Land zu stoppen.

Die Aktivisten sagten, dass sie keine drastischen Schritte unternommen haben, um das gesamte Eisenbahnsystem lahmzulegen, aber sie „könnten das in Zukunft tun, wenn wir sicher sind, dass dadurch keine unschuldigen Menschen verletzt werden”.

Das belarussische Verteidigungsministerium sagte am Montag, dass russische Truppen für gemeinsame Militärübungen in das Land kommen. Sie sagten auch, dass Russland im Rahmen der Übung auch Su-35-Kämpfer mit S-400-Bataillonen und einem Luftverteidigungssystem entsendet. Laut US-Beamten ist dies jedoch alles Teil einer möglichen russischen Invasion in der Ukraine.

Die Sprecherin der Aktivistengruppe, Yuliana Shemetovets, sagte, ihr Ziel sei es, die Bewegung der russischen Truppen durch Weißrussland und den möglichen Angriff auf die Ukraine zu stören.

„Wir wollen keine russischen Soldaten in Belarus, da dies die Souveränität des Landes gefährdet und es der Gefahr einer Besetzung aussetzt. Es zieht Weißrussland auch in einen Krieg mit der Ukraine. Und wahrscheinlich müssten belarussische Soldaten daran teilnehmen und für diesen sinnlosen Krieg sterben”, sagt Shemetovets.

Shemetovets sagte, dass sie alle Backups zerstört und mehrere Datenbanken angegriffen haben, darunter ASSledd, SAP, pass.rw.by, IRC und mehr. Sicherheitssysteme wurden nicht angegriffen, um Notsituationen zu vermeiden. Ihr Hauptziel war es, Güterzüge mit russischer Militärausrüstung ins Visier zu nehmen, aber auch die Fahrkartensysteme und der Fahrplan waren betroffen. Die Railway-Website war jedoch am Montag wieder online.

Die Cyber-Partisanen sagten, dass „solange Lukaschenkos Diktaturregime bestehen bleibt, die KP ihre Arbeit fortsetzen werden”. Seit den Protesten gegen den belarussischen Präsidenten im Jahr 2020 haben Aktivisten online Dokumente über weit verbreitete Korruption veröffentlicht.

Laut MIT sind die Cyber-Partisanen 25 anonyme ehemalige IT-Mitarbeiter aus Weißrussland, die es geschafft haben, in den letzten Jahren beeindruckende Angriffe gegen die Regierung durchzuführen. Sie haben auch Zugang zu vertraulichen Informationen wie Passdatenbanken, geheimen Akten belarussischer KGB-Spione, Polizeidatenbanken und CCTV-Netzwerken erhalten .

„Da es für die Menschen sehr gefährlich geworden ist, offen gegen das Regime zu protestieren, sind wir jetzt die einzige handlungsfähige Truppe in Belarus. Wir zeigen echte Ergebnisse unserer Arbeit, indem wir Regierungsinstitutionen hacken und angreifen und physische Eingriffe durchführen”, sagte ein Mitglied der Gruppe, die mit dem Buchstaben Ж (Zh) gekennzeichnet ist.

Um zu bestätigen, dass sie Zugriff auf die aktuelle Datenbank haben, schickte Zh einem Guardian-Korrespondenten seine Reiseaufzeichnungen in und aus Weißrussland, die bis ins Jahr 2016 zurückreichen. Die Daten würden ihnen helfen, russische Spione zu identifizieren, die Weißrussland durchqueren, zusammen mit Reisedetails von Lukaschenko und seinem engen Kreis .

Zh sagte auch: „Wir wissen jetzt mehr über sein Vermögen, seine Liebhaber und geheime kriminelle Machenschaften.” Die Regierung ist angesichts dieser Angriffe erschüttert, als Lukaschenko seinen Ministerien sagte: „Wenn Sie nicht … Informationen auf Ihren Computern schützen können, dann verwenden Sie wieder Papier … schreiben Sie von Hand und legen Sie es auf Ihren Schreibtisch.”

Zh schrieb weiter: „Wir machen uns Sorgen um unsere Sicherheit und, um ehrlich zu sein, um unser Leben. Die belarussische Regierung versucht, uns zu infiltrieren, hat es aber bisher nicht geschafft.”

Die Regierung hat keine offizielle Erklärung zur Situation veröffentlicht, aber die Belarusian Railways hat das Problem anerkannt und erklärt, dass ihre Dienste vorübergehend nicht verfügbar sind.

Ransomware-Experten haben noch nie erlebt, dass Ransomware auf diese Weise verwendet wird. Brett Callow, Threat Analyst bei Emsisoft, sagte: „Ransomware ist ein effektives Werkzeug, um Aktivisten dabei zu helfen, ihre Ziele zu erreichen.” Es wurde einfacher gemacht, da vorgefertigte Ransomware online verfügbar ist.

Allan Liska von Recorded Future sagte: „Ransomware hat sich von der Verschlüsselung einzelner Computer zu ganzen Netzwerken entwickelt, und die Art der geforderten Erpressung hat sich weiterentwickelt.”

In Anbetracht der aktuellen Spannungen zwischen Russland und der Ukraine hat das Heimatschutzministerium auch amerikanische Kommunalverwaltungen vor möglichen Cyberangriffen russischer Stellvertreter gewarnt, falls sich die USA und die NATO in den möglichen Angriff auf die Ukraine einmischen sollten.