Die russische Hackergruppe Turla hat offenbar mit einer Android-App versucht, Teilnehmende an DDoS-Attacken gegen russische Infrastruktur zu enttarnen. Die Malware habe den Anschein erweckt, solche Lastattacken gegen Internetseiten durchzuführen und damit suggeriert, die IT-Armee der Ukraine zu unterstützen. Stattdessen habe sie lediglich melden sollen, wer solch eine Anwendung installiert. Das hat die Threat Analysis Group von Google herausgefunden und hält die wohl staatlich finanzierte Hacking-Gang Turla für verantwortlich. Das Vorgehen zeige einmal mehr, dass die Angriffe fortwährend weiterentwickelt würden und immer wieder geprüft werde, was erfolgreich ist.

Zahl der Installationen "winzig"

Die Threat Analysis Group ist bei Google für Cybersicherheit zuständig und hat die Erkenntnisse in einem Blogeintrag zusammengefasst. Die Android-Malware wurde demnach über eine eigene Internetseite verteilt, die den Anschein erweckt habe, in Verbindung mit dem sogenannten Regiment Asow zu stehen. Diese Einheit mit einer auch rechtsextremen Vorgeschichte stand beim Kampf um die ukrainische Hafenstadt Mariupol lange im Fokus. Auf der Seite des angeblichen "Cyber-Asow" sei behauptet worden, dass die App automatisch DoS-Angriffe (Denial of Service) gegen russische Internetseiten durchführen könnte. In Wirklichkeit habe sie nur jeweils eine einzelne Anfrage verschickt. Weil die App nicht über Googles Play Store verfügbar war, habe sie keine großen Auswirkungen gehabt, die Zahl der Installationen war "winzig".

Die Google-Gruppe erläutert noch, dass sie eine weitere App entdeckt haben, die ähnlich habe funktionieren sollen. Die Stopwar.apk sei ebenfalls nur über eine Website verbreitet worden und hätte tatsächlich viele Anfragen an Internetseiten gesendet. Bei Google geht man davon aus, dass sie tatsächlich aus der Ukraine heraus entwickelt worden sei und als Vorbild für die Turla-Malware gedient habe. Die Ukraine hatte unmittelbar nach Beginn des russischen Angriffskriegs eine eigene "IT-Armee" ins Leben gerufen. Bei dieser Rekrutierung von Freiwilligen aus aller Welt war es primär darum gegangen, DDoS-Angriffe auf russische und belarussische Internetseiten zu organisieren. Der Fund der Android-App von Turla zeigt nun, wie Russland offenbar versucht hat, Teilnehmende zu identifizieren und dagegen vorzugehen.

(mho)