Vermeintlich ukrainische DDoS-App kommt eigentlich aus Russland

Der russische Angriffskrieg auf die Ukraine findet schon längst nicht mehr nur in der analogen Welt statt. Mit einem dreisten trojanischen Pferd versuchte die russische Hackergruppe Turla nun, Ukrainer mit Malware in die Falle zu locken. Dazu nutzte sie die App CyberAzov, die behauptete, eine DDoS-Attacke gegen russische Websites auszuführen. Damit sollte jeder die Möglichkeit bekommen, sich per Smartphone gegen Russlands Aggressionen zur Wehr zu setzen. Die Threat Analysis Group (TAG) von Google deckte den Schwindel jedoch auf.

Die App kursierte in Messenger-Gruppen

Mit ihrem Namen spielt die App CyberAzov auf das ukrainische Azow-Regiment an, welches dafür bekannt ist, mit aller Härte gegen Russland vorzugehen. Der Name mag einige Nutzer abschrecken, doch hätte er durchaus auch das Vertrauen von Menschen wecken können, die sich dem Kampf gegen „die russische Aggression“ anschließen wollen.

Zwar schaffte es die App nicht in den offiziellen Google App Store, aber kursierte sie stattdessen in entsprechenden Messenger-Gruppen, um gezielt Opfer anzusprechen. Der dort verschickte Link verwies auf eine Domain, welche von Turla gehostet wird. Laut Einschätzung von Googles TAG wurde die App vermutlich nur auf sehr wenigen Geräten letztlich installiert.

So wollte CyberAzov anti-russische Nutzer locken

Für Menschen, die sich nicht aktiv am Krieg beteiligen, stellt die Installation einer kleinen App, mit der man vermeintlich seinen Beitrag leisten kann, eine geringe Hemmschwelle dar. Im Beschreibungstext der App, welchen Google als Screenshot teilte, heißt es: „Wir sind eine Gemeinschaft von freien Menschen auf der ganzen Welt, die gegen die russische Aggression kämpfen. Wir rekrutieren motivierte Menschen, die bereit sind, uns zu helfen. Wir haben eine Android-Anwendung entwickelt, die die Internetinfrastruktur Russlands angreift. Im Moment ist die Liste der Ziele vorgegeben.“

Zu den vermeintlichen Zielen der Attacke gehören neben der Website des Kreml unter anderem die Seiten des russischen Telekommunikationsunternehmens Megafon sowie des russischen Staatssenders RT. Diese sollten nun per App ganz einfach mit einer DDoS-Attacke angegriffen werden.

Was ist eine DDoS-Attacke?

Die Abkürzung DDoS steht für „Distributed Denial of Service“. Bei einem solchen Cyberangriff soll ein bestimmtes Ziel durch eine Vielzahl von Zugriffen absichtlich überlastet werden. Das Phänomen kennen Laien beispielsweise von bestimmten Verkaufsevents: Zu viele Menschen möchten gleichzeitig auf eine Website zugreifen und der Server bricht zusammen. 

Die CyberAzov-App sandte auf Initiieren des Nutzers jedoch nur einen einzelnen Zugriff an die betreffenden Websites aus. Ein weiteres Indiz dafür, dass ihr eigentliches Ziel nicht im DDoS-Angriff lag. 

Wie Google weiterhin herausfand, war die CyberAzov-App dabei wahrscheinlich direkt inspiriert von einer ähnlichen App namens StopWar. Diese versuchte bereits im März dieses Jahres, russische Websites lahmzulegen. Auch wenn unklar ist, wer genau hinter der StopWar-App steckt, deutet laut Google alles darauf hin, dass diese tatsächlich von pro-ukrainischen Entwicklern stammt.