Es begann am Samstag, 15.10.2022: Zuerst war die Homepage von Bulgariens Staatspräsident Rumen Radew nicht mehr aufrufbar. Wenig später folgten die Webseiten zahlreicher Ministerien. Wie die Präsidialverwaltung und das Ministerium für Digitale Verwaltung später mitteilten, war eine einzige, gezielte Cyberattacke für den Ausfall verantwortlich. Das Problem sei bis zum Nachmittag desselben Tages behoben worden, seitdem würden alle Seiten der Institutionen Bulgariens wieder problemlos funktionieren.

Tags darauf übernahm die russische Hackergruppe "Killnet" in ihrem Kanal auf dem Messengerdienst Telegram die Verantwortung - mit einer persönlichen Botschaft an den bulgarischen Generalstaatsanwalt Iwan Geschew.

8.10.2022: Brand auf der Brücke zwischen Russland und der besetzten ukrainischen Halbinsel Krim nach der Explosion

Erst vergangene Woche hatten Regierung und Geheimdienste in Russland versucht, eine Verbindung zwischen der Explosion auf der Krim-Brücke am 8.10.2022 und dem EU- und NATO-Mitgliedsland Bulgarien herzustellen. Dies entpuppte sich jedoch schnell als offensichtliche Propagandaaktion. Mit dem neuen Cyberangriff dreht Moskau nun offenbar abermals an der Eskalationsspirale.

Wer ist "Killnet"?

"Killnet ist eine hochgradig aggressive Gruppe von Hackern mit Verbindungen zum russischen Geheimdienst FSB", erklärt Ruslan Trad, Sicherheitsexperte des Atlantic Council, im Gespräch mit der DW. Sie habe sich nach dem russischen Angriff auf die Ukraine am 24. Februar 2022 formiert und befinde sich im selbst erklärten "Krieg" gegen Regierungen, die Kiew unterstützen. "Ihre Spezialität sind sogenannte DoS und DDoS-Attacken", so Trad weiter, "Cyberangriffe, bei denen Systeme und Webseiten durch eine Unmenge von Anfragen überflutet werden, bis sie zusammenbrechen." Ähnliche Attacken habe Killnet 2022 bereits in den USA, Norwegen, Litauen und vielen weiteren Staaten verübt.

Ruslan Trad ist Sicherheitsexperte des Atlantic Council

Klassischerweise werde diese Art der Cyberattacken genutzt, "um Macht zu demonstrieren, Angst zu verbreiten - oder für Erpressung", sagt Ruslan Trad. "Doch in diesem Fall habe ich keine Zweifel, dass es um mehr geht: So wie ich es sehe, hat der Angriff noch gar nicht aufgehört - und es geht nicht darum, Regierungsseiten zu blockieren, sondern in IT-Systeme einzudringen und an die Daten dort zu kommen." Somit wäre die Killnet-Attacke gegen Bulgarien ein Versuch von Cyberspionage, der hinter einem Sabotage-Angriff versteckt wurde.

Angriffsziel NATO?

"Der Generalstaatsanwalt und das Verteidigungsministerium haben nur Stunden nach dem Angriff gesagt, es seien keine Daten gestohlen worden. Doch es ist noch viel zu früh, um das sicher sagen zu können", meint Trad. "Als NATO- und EU-Mitglied sind bulgarische Stellen an gemeinsame Systeme zum Informationsaustausch angeschlossen." In der Hackerszene sei bekannt, dass die bulgarische IT-Infrastruktur viele Schwachstellen habe. "Meiner Meinung nach versucht Russland gerade, über Bulgarien einen Durchbruch in die NATO-Systeme zu erzielen", so Trad. Moskau scheine momentan zu allem bereit, um an kriegswichtige Informationen zu kommen.

Bulgarische Soldaten beim NATO-Manöver "Platinum Lion 15-2", das im April 2015 gemeinsam mit US-Truppen durchgeführt wurde

Warum ist Russland so fest entschlossen, gerade Bulgarien so massiv unter Druck zu setzen? Zum einen könnte sich nach den Wahlen vom Oktober 2022 erstmals eine parlamentarische Mehrheit für die Lieferung schwerer Waffen aus Bulgarien in die Ukraine finden. Ein entsprechender Antrag wird in den kommenden zwei Wochen im Parlament erwartet. Präsident Radew und die von ihm ernannte Übergangsregierung lehnen Waffenlieferungen an die Ukraine strikt ab.

Sofia bleibt zögerlich

Übergangsverteidigungsminister Dimitar Stojanow, vormals Radews Staatssekretär, erteilte am Tag nach dem Cyberangriff (16.10.2022) dem ukrainischen Gesuch um Waffenlieferungen eine klare Absage. Seine Begründung: Bulgarien hätte keine "überflüssigen Waffen", die man abgeben könnte. Tags darauf wies auch Radew selbst Kiews Wunsch scharf zurück.

Auch an anderen Stellen ist die Haltung der bulgarischen Übergangsregierung zur russischen Aggression und Moskauer Einmischungsversuchen zögerlich. Vergangene Woche vermied es Sofia, Moskaus Anschuldigungen zur Explosion auf der Krim-Brücke klar zurückzuweisen. Dies wiederholt sich nun beim aktuellen Cyberangriff: Generalstaatsanwalt Geschew sprach lediglich davon, dass der Angriff aus der russischen Stadt Magnitogorsk im Ural käme - vermied jedoch jede klare Zuweisung oder Verurteilung.

Am Sonntagnachmittag (16.10.2022) erklärte der Leiter der zuständigen Ermittlungsbehörde, Borislaw Sarafow, man habe den Urheber des Angriffs identifiziert und dieser säße in Russland. Auch er vermied jedoch jede Anschuldigung an die Adresse des russischen Staats.