1. Zum Inhalt springen
  2. Zur Hauptnavigation springen
  3. Zu weiteren Angeboten der DW springen
PolitikEuropa

Bulgarien: Was steckt hinter der Cyberattacke?

Christopher Nehring
18. Oktober 2022

Die russische Hackergruppe Killnet hat Webseiten von Institutionen des EU- und NATO-Mitgliedsstaats Bulgarien angegriffen. Geht es um NATO-Daten?

https://p.dw.com/p/4IKpB
Screenshot des KILLNET-Telegram-Post vom 16. Oktober 2022
"F*** DICH Generalstaatsanwalt der Republik Bulgarien - Iwan Geschew" Screenshot des Telegram-Posts der Hackergruppe Killnet vom 16.10.2022Bild: Telegram

Es begann am Samstag, 15. Oktober 2022: Zuerst war die Homepage von Bulgariens Staatspräsident Rumen Radew nicht mehr aufrufbar. Wenig später folgten die Webseiten zahlreicher Ministerien. Wie die Präsidialverwaltung und das Ministerium für Digitale Verwaltung später mitteilten, war eine einzige, gezielte Cyberattacke für den Ausfall verantwortlich. Das Problem sei bis zum Nachmittag desselben Tages behoben worden, seitdem würden alle Seiten der Institutionen Bulgariens wieder problemlos funktionieren.

Tags darauf übernahm die russische Hackergruppe "Killnet" in ihrem Kanal auf dem Messengerdienst Telegram die Verantwortung - mit einer persönlichen Botschaft an den bulgarischen Generalstaatsanwalt Iwan Geschew.

Ansicht auf die Kertsch-Brücke, wo es brennt
8.10.2022: Brand auf der Brücke zwischen Russland und der besetzten ukrainischen Halbinsel Krim nach der ExplosionBild: Moya Feodosiya/Tass/IMAGO

Erst vergangene Woche hatten Regierung und Geheimdienste in Russland versucht, eine Verbindung zwischen der Explosion auf der Krim-Brücke am 8. Oktober 2022 und dem EU- und NATO-Mitgliedsland Bulgarien herzustellen. Dies entpuppte sich jedoch schnell als offensichtliche Propagandaaktion. Mit dem neuen Cyberangriff dreht Moskau nun offenbar abermals an der Eskalationsspirale.

Wer ist "Killnet"?

"Killnet ist eine hochgradig aggressive Gruppe von Hackern mit Verbindungen zum russischen Geheimdienst FSB", erklärt Ruslan Trad, Sicherheitsexperte des Atlantic Council, im Gespräch mit der DW. Sie habe sich nach dem russischen Angriff auf die Ukraine am 24. Februar 2022 formiert und befinde sich im selbst erklärten "Krieg" gegen Regierungen, die Kiew unterstützen. "Ihre Spezialität sind sogenannte DoS und DDoS-Attacken", so Trad weiter, "Cyberangriffe, bei denen Systeme und Webseiten durch eine Unmenge von Anfragen überflutet werden, bis sie zusammenbrechen." Ähnliche Attacken habe Killnet 2022 bereits in den USA, Norwegen, Litauen und vielen weiteren Staaten verübt.

Ruslan Trad
Ruslan Trad ist Sicherheitsexperte des Atlantic CouncilBild: Ruslan Trad

Klassischerweise werde diese Art der Cyberattacken genutzt, "um Macht zu demonstrieren, Angst zu verbreiten - oder für Erpressung", sagt Ruslan Trad. "Doch in diesem Fall habe ich keine Zweifel, dass es um mehr geht: So wie ich es sehe, hat der Angriff noch gar nicht aufgehört - und es geht nicht darum, Regierungsseiten zu blockieren, sondern in IT-Systeme einzudringen und an die Daten dort zu kommen." Somit wäre die Killnet-Attacke gegen Bulgarien ein Versuch von Cyberspionage, der hinter einem Sabotage-Angriff versteckt wurde.

Angriffsziel NATO?

"Der Generalstaatsanwalt und das Verteidigungsministerium haben nur Stunden nach dem Angriff gesagt, es seien keine Daten gestohlen worden. Doch es ist noch viel zu früh, um das sicher sagen zu können", meint Trad. "Als NATO- und EU-Mitglied sind bulgarische Stellen an gemeinsame Systeme zum Informationsaustausch angeschlossen." In der Hackerszene sei bekannt, dass die bulgarische IT-Infrastruktur viele Schwachstellen habe. "Meiner Meinung nach versucht Russland gerade, über Bulgarien einen Durchbruch in die NATO-Systeme zu erzielen", so Trad. Moskau scheine momentan zu allem bereit, um an kriegswichtige Informationen zu kommen.

Soldaten auf einer Wiese
Bulgarische Soldaten beim NATO-Manöver "Platinum Lion 15-2", das im April 2015 gemeinsam mit US-Truppen durchgeführt wurdeBild: Reuters/S. Nenov

Warum ist Russland so fest entschlossen, gerade Bulgarien so massiv unter Druck zu setzen? Zum einen könnte sich nach den Wahlen vom Oktober 2022 erstmals eine parlamentarische Mehrheit für die Lieferung schwerer Waffen aus Bulgarien in die Ukraine finden. Ein entsprechender Antrag wird in den kommenden zwei Wochen im Parlament erwartet. Präsident Radew und die von ihm ernannte Übergangsregierung lehnen Waffenlieferungen an die Ukraine strikt ab.

Sofia bleibt zögerlich

Übergangsverteidigungsminister Dimitar Stojanow, vormals Radews Staatssekretär, erteilte am Tag nach dem Cyberangriff dem ukrainischen Gesuch um Waffenlieferungen eine klare Absage. Seine Begründung: Bulgarien hätte keine "überflüssigen Waffen", die man abgeben könnte. Tags darauf wies auch Radew selbst Kiews Wunsch scharf zurück.

Auch an anderen Stellen ist die Haltung der bulgarischen Übergangsregierung zur russischen Aggression und Moskauer Einmischungsversuchen zögerlich. Vergangene Woche vermied es Sofia, Moskaus Anschuldigungen zur Explosion auf der Krim-Brücke klar zurückzuweisen. Dies wiederholt sich nun beim aktuellen Cyberangriff: Generalstaatsanwalt Geschew sprach lediglich davon, dass der Angriff aus der russischen Stadt Magnitogorsk im Ural käme - vermied jedoch jede klare Zuweisung oder Verurteilung.

Am Sonntagnachmittag erklärte der Leiter der zuständigen Ermittlungsbehörde, Borislaw Sarafow, man habe den Urheber des Angriffs identifiziert und dieser säße in Russland. Auch er vermied jedoch jede Anschuldigung an die Adresse des russischen Staats.