Neue Beweise, aufgedeckt von Experten für digitale Forensik, stützen die Schlussfolgerung, dass der Cyberangriff auf das IPI im September als Vergeltung für unsere Arbeit zur Unterstützung unabhängiger Medien in Ungarn durchgeführt wurde. Diese Ergebnisse deuten darauf hin, dass sich die Kampagne gegen die unabhängigen Medien Ungarns ausweitet und auch Angriffe auf zivilgesellschaftliche Organisationen umfasst, die sich für sie einsetzen – auch über die Grenzen Ungarns hinaus.
Eine eingehende forensische Analyse, die von Qurium, einer gemeinnützigen Organisation mit Sitz in Schweden, durchgeführt wurde, bestätigte die anfängliche Einschätzung des IPI, dass der Denial-of-Service-Angriff (DDoS), der die Website des IPI im September dieses Jahres für mehrere Tage lahmlegte, mit einer Welle von Cyberangriffen auf mehr als 40 ungarische Medienseiten im vergangenen Frühjahr zusammenhing.
Insbesondere die Analyse von Protokolldaten des IPI und zwei ungarischer Nachrichtenmedien durch Qurium zeigte, dass diese Angriffe miteinander verbunden waren, und identifizierte die beteiligten Infrastrukturen. Qurium sagte, es sei “sehr wahrscheinlich”, dass die Angriffe auf andere ungarische Medien, zu denen unabhängige Nachrichtenseiten sowie unpolitische Magazine und Medien gehörten, “mit derselben Angriffsinfrastruktur durchgeführt wurden”.
Der Angriff auf die Website des IPI erfolgte nur wenige Tage nachdem das IPI einen Bericht über die Cyberangriffe auf ungarische Medien veröffentlicht hatte. Dort wurden die Angriffe als eine große neue Bedrohung für die unabhängigen Medien des Landes bezeichnet. Damals stieß das IPI-eigene IT-Team im Rahmen einer ersten Untersuchung der Protokolldaten des Angriffs auf eine Nachricht des Angreifers, der die gleiche Kennung auch in den Protokolldaten von Angriffen auf mehrere ungarische Medien hinterlassen hatte.
Die Untersuchung von Qurium zeigt, dass die DDoS-Angriffe auf ungarische Medien und IPI über ein etabliertes Netzwerk von in den USA und Europa ansässigen Dienstleistern durchgeführt wurden, die – wissentlich oder unwissentlich – die böswillige Nutzung ihrer Infrastruktur ermöglichten, um unabhängige Medien und die Zivilgesellschaft zu kommerziellen Zwecken ins Visier zu nehmen.
“Diese neue Analyse ist ein klarer Hinweis darauf, dass die Kampagne gegen unabhängige Medien in Ungarn eskaliert ist. Diese Kampagne ist nun transnational geworden – und sogar zivilgesellschaftliche Organisationen über die Grenzen Ungarns hinaus, die diese wichtigen Medien unterstützen, können ins Visier genommen werden”, sagte der stellvertretende Direktor des IPI, Scott Griffen.
Griffen fügte hinzu: “Wir müssen jedoch wiederholen, dass dieser Vorfall für IPI unsere Entschlossenheit nur gestärkt hat. Wir werden weiterhin an der Seite unabhängiger Medien in Ungarn stehen und uns nicht von Versuchen abbringen lassen, unsere Arbeit zu stören.”
“Wir sind dem Team von Qurium für seine wichtige Ermittlungsarbeit, die Licht auf das Angriffsnetzwerk sowie auf die Art der Angriffe auf IPI und ungarische Medien geworfen hat, dankbar.”
Angreifer bleibt schwer fassbar, aber komplexes Angriffsnetzwerk enthüllt
Die Forscher von Qurium waren nicht in der Lage, den oder die Akteure zu ermitteln, die letztendlich für den Anschlag auf das IPI und Medien in Ungarn verantwortlich waren. Sie konnten jedoch große Teile des Angriffsnetzwerks identifizieren. Wie in unserer ersten Analyse festgestellt, wurde der Angriff unter Verwendung von Internetdiensten durchgeführt, die von mehreren Unternehmen mit Sitz in den USA und Europa angeboten wurden. Qurium hat die Angriffsinfrastruktur genauer untersucht, um zu bestätigen, dass zumindest ein Teil des Cyberangriffs auf IPI über dasselbe Netzwerk von Proxy-Unternehmen durchgeführt wurde, das auch an Angriffen auf unabhängige Medien in Ungarn beteiligt gewesen ist.
Die obige Grafik veranschaulicht das Geflecht von Akteuren, die an den Cyberangriffen beteiligt waren. Es zeigt, wie verschiedene Unternehmen eingebunden werden, um die verschiedenen Teile der Infrastruktur aufzubauen, die für diese Angriffe benötigt werden. Der forensische Bericht enthüllt, wie ein bestimmter Proxy-Anbieter, der mehrere IP-Leasing-Dienste und Hosting-Anbieter nutzte, letztendlich vom Angreifer für die DDoS-Angriffe genutzt wurde. Er zeigt auch, wie schwierig es ist, die Person oder die Personen ausfindig zu machen, die letztendlich für die Anordnung des Angriffs verantwortlich sind, da so viele verschiedene Ebenen beteiligt sind.
Die Untersuchung von Qurium ergab, dass ein Unternehmen namens White Proxies (auch bekannt als White Solutions) eine zentrale Rolle bei dem Angriff spielte. Die Eigentümer des Unternehmens sind nicht bekannt. Als das Unternehmen von Qurium kontaktiert wurde, sagte es, dass es Mechanismen implementieren würde, um zu verhindern, dass sich die Ereignisse wiederholen. Als Qurium nach einem Ansprechpartner oder Informationen über den rechtlichen Status des Unternehmens fragte, stellte es dann aber die Kommunikation ein.
Ein weiteres Unternehmen, das an den Angriffen beteiligt war, ist A1 Network Exchange, ein Hosting-Anbieter, der IP-Netzwerke an Proxy-Anbieter vermietet. Der Eigentümer von A1 Network ist Shakib Khan, der auch mit anderen Unternehmen verbunden ist, die ähnliche Dienste anbieten, wie Etherdark Ltd, Intexon Ltd und HostCram LLC, ein in Wyoming (USA) registriertes Unternehmen. Die Ermittler von Qurium wandten sich an Khan, um von ihm Informationen darüber zu erhalten, wer sein Mandant ist, aber er weigerte sich, diese Informationen preiszugeben.
“Proxy-Anbieter wie White Proxies und die Unternehmen, die direkt oder indirekt von dieser Art von Diensten profitieren, sollten mehr tun, um sicherzustellen, dass ihre Dienste nicht für kriminelle Aktivitäten genutzt werden”, sagte Tord Lundström, forensischer Ermittler bei Qurium. “Es ist zu einfach für diese Unternehmen, sich der Verantwortung zu entziehen – und das muss sich ändern.”
Digitale Angriffe auf Journalisten, Zivilgesellschaft auf dem Vormarsch
Digitale Angriffe stellen eine wachsende Bedrohung für Journalisten, Medien und zivilgesellschaftliche Organisationen auf der ganzen Welt dar und sind Teil einer breiter angelegten Kampagne von Einzelpersonen und Regierungen, um Kritiker zum Schweigen zu bringen. Diese Angriffe erfolgen in Form von Online-Belästigung und -Drohungen, gezielter Überwachung, Hacking und Cyberangriffen – einschließlich Denial-of-Service-Angriffen wie demjenigen, der sich gegen das IPI und ungarische Medien richtete. Sie zielen darauf ab, Journalisten und Kritiker innerhalb und außerhalb der Landesgrenzen zum Schweigen zu bringen und zu zensieren. Journalisten, die über Korruption, Kriminalität und Krieg berichten, sind oft Ziele.
Wie der Bericht von Qurium zeigt, gibt es eine aufstrebende illegale DDoS-for-Hire-Industrie von Akteuren und Unternehmen, die ihre Dienste anbieten, um verschiedene Arten von Angriffen durchzuführen. DDoS-Angriffe sind relativ billig. Sie können wenige hundert Dollar kosten, sind einfach auszuführen und außergewöhnlich schwer zu verfolgen. Dies hat DDoS-Angriffe zu einer beliebten Wahl für Cyberkriminelle gemacht – einigen Schätzungen zufolge sind DDoS-Angriffe allein im Jahr 2023 um 40 Prozent gestiegen und richten sich gegen eine immer breitere Palette von Zielen, darunter Banken, Schulen und Krankenhäuser.
Nach Informationen des IPI haben sich die DDoS-Angriffe auf ungarische Medien in den letzten Monaten verlangsamt, wurden aber nicht gestoppt. Sowohl Media1 als auch Telex haben kleine Angriffe mit Hilfe robusterer Sicherheitstools abwehren können, die über Cloudflare´s Project Galileo angeboten werden, das Cybersicherheitstools für gefährdete Unternehmen bereitstellt.