Killnet ist eine pro-russische Hackergruppe, die durch ihre Angriffe auf Regierungsinstitutionen in verschiedenen Ländern auf sich aufmerksam gemacht hat. Die Gruppe, die vermutlich um März 2022 herum entstanden ist, hat sich in der Cyberkriegsführung während der russischen Invasion in der Ukraine hervorgetan.
Die Taktiken von Killnet
Killnet unterscheidet sich radikal von den Hackern, die für russische Geheimdienste arbeiten, wie etwa Fancy Bear und Sandworm. Jene Gruppen sind durch Hacks des Demokratischen Nationalkomitees der USA und den Einsatz der verheerenden Ransomware NotPetya bekannt wurden, Killnet gleicht aber eher einem wütenden Online-Mob, bewaffnet mit einfachen Cyberangriffswerkzeugen und -taktiken.
Killnet hat sich durch die Durchführung von Distributed Denial of Service (DDoS)-Angriffen und das „Defacing“ von Websites, auf denen sie pro-russische Nachrichten posten, einen Namen gemacht. Die Gruppe trat erstmals im Januar als Cyberkriminalitäts-Hack-for-Hire-Anbieter auf, aber als russische Panzer Ende Februar in die Ukraine einmarschierten, wurde die Gruppe schnell sehr lautstark in ihrer Unterstützung für Russlands Offensive.
Gezielte Angriffe und Reaktionen
Killnet hat in der Vegangenheit mehr als 10 westliche Länder ins Visier genommen, darunter Lettland, Litauen, Norwegen, Italien, die USA und zuletzt Estland. Einer der bekanntesten Angriffe der Gruppe war im Mai 2022 gegen den Eurovision Song Contest. Russland wurde von der Teilnahme am Wettbewerb ausgeschlossen, woraufhin die Hackergruppe einen DDoS-Angriff versuchte. Die italienische Polizei konnte den Angriff abwehren, aber das Land erlitt Vergeltungsschläge gegen seine Senats- und Nationalen Gesundheitsinstituts-Websites.
Killnet behauptet, mit der russischen Regierung zusammenarbeiten zu wollen, aber bisher gibt es keine Anzeichen dafür, dass sie unter direkter Kontrolle staatlicher Stellen steht.
Die Drahtzieher
Der Gründer und Leiter von Killnet ist laut Flashpoint bekannt als „Killmilk“, der offenbar seit Oktober 2021 ein aktives Mitglied des Forums RuTor ist. Nach eigenen Angaben ist er seit seinem vierzehnten Lebensjahr in verschiedene cyberkriminelle Machenschaften verwickelt. Killmilk behauptet, dass er 2019 damit begann, Angriffe auf ausländische Websites zu starten, aber aufgrund von Kryptowährungsverlusten finanzielle Rückschläge erlitt. Im November 2021 begann Killmilk, DDoS-Dienste mit einer Intensität von 200 GB pro Sekunde anzubieten.
Offiziell schied Killmilk Ende Juli 2022 aus der Gruppe aus. Er unterhält aber wohl weiterhin enge Verbindungen zu Killnet, tauscht häufig Nachrichten aus und gibt als Gründer weiterhin Ratschläge. Im August 2022 wurde der neue Anführer von Killnet als „BlackSide“ identifiziert. BlackSide wurde als Administrator eines russischen Hackerforums vorgestellt, wahrscheinlich das mittelgroße Best Hack Forum. Es wird behauptet, dass BlackSide Erfahrung mit Kryptojacking und Ransomware-Operationen hat.
Im Februar 2023 gibt es jedoch keine nachprüfbaren Beweise, die auf eine nennenswerte Verbesserung der Fähigkeiten der Gruppe hindeuten. Auch über den Grad der Raffinesse der Gruppe lässt sich nichts sagen, obwohl sie behauptet, mehrere erfolgreiche Angriffe zur Datenexfiltration durchgeführt zu haben. Der Gründer der Gruppe, Killmilk, scheint die Aktivitäten von Killnet weiterhin zu kontrollieren und zu steuern.
Killnet und die globale Cyber-Sicherheit
Cybersicherheitsexperten beschreiben die Gruppe eher als „Ärgernis“ denn als Bedrohung. Die meisten Länder, die Ziel ihrer Angriffe waren, konnten diese abwehren oder sich leicht davon erholen. Ein Forschungspapier beschreibt, dass die Rolle von Hacktivistengemeinschaften im Ukraine-Krieg „gering“ war und fügte hinzu, dass „anstatt kritische Infrastrukturen anzugreifen, es Massenangriffe gegen zufällige Websites innerhalb von ‚.ru‘ und ‚.ua‘ gab. Wir finden keine Beweise für hochkarätige Aktionen.“
Killnets Erfolg liegt jedoch nicht in seiner Raffinesse oder Fähigkeit, Netzwerke zu hacken, zu infiltrieren und lahmzulegen. Die Gruppe hat sich durch lautstarke und PR-wirksame Siegesansprüche bemerkbar gemacht, wenn es ihr gelang, Dienste zu blockieren – mit geschickter PR, die auffällige Ankündigungsvideos, Memes und Wasserzeichenbilder umfasst, die in sozialen Medien geteilt und von Nachrichtenagenturen berichtet werden. Die Aufmerksamkeit, die das Kollektiv erregt, hat es ihr ermöglicht, eine große soziale Fangemeinde und ein Cluster gleichgesinnter Hacktivistengruppen zu schaffen, die gemeinsame Ziele verfolgen. Zu den prominenten Mitgliedern dieser Gruppe gehören Anonymous Russia, Anonymous Sudan, Infinity Hackers Group, BEAR.IT.ARMY, Akur Group, Passion Group, SARD und National Hackers of Russia.