Kam bis zum Mauerfall viel Böses aus Russland, so hat sich dies mindestens im IT-Bereich nicht gross geändert. Zumindest glaubt dies die Security-Firma Intsights aus den USA in ihrem Report "The Dark Side of Russia". "Es gibt keine andere Hacker-Gemeinschaft, die eine solche Bandbreite an Wissen, Ressourcen und Arbeitskräften vorweisen kann", hält der Bericht fest.

Dabei will der Report auch die nationale russische Gesetzgebung sowie Überwachungs- und Zensuraktivitäten unter "Cybercrime" aufgeführt haben. Diesem Überwachungsstaat zu trotzen scheinen laut Report viele russische Kriminelle, auch wenn der laufende Aufbau des "unabhängigen russischen Internets" namens Runet die Überwachung und Verhaftung russischer Hacker und Hehler erleichtern dürfte.

Und weil diese nicht blöd sind und das Konzept der Deep Packet Inspection (DPI) kennen, reagieren sie auch, heisst es im Bericht: "Im Allgemeinen werden diejenigen, die sich mit Aktivitäten im Darknet beschäftigen, mehr Zeit und Gedanken in den Aufbau von Proxies und die Anonymisierung ihrer Infrastrukturen investieren müssen. Sie werden auch gründlichere Nachforschungen über die VPN-Unternehmen anstellen müssen, ob sie die russischen Gesetze einhalten – oder nicht – und ob sie Informationen an Regierungsbehörden weitergeben. Im Internet gibt es Diskussionen über mögliche Wege zur Umgehung der neuen Überwachungsmöglichkeiten der russischen Regierung oder alternative Methoden der Vernetzung, aber in dieser Hinsicht hat sich bisher nur wenig entwickelt."

Aber der Report von Intsights erklärt ausführlicher, was sich im Untergrund und in den russischen Hackerforen tut. "Der Einstieg in den russischen Hacking-Untergrund ist relativ einfach": Die meisten Foren seien über das normale Web zugänglich, können gegoogelt werden, haben eine offene Registrierung und manchmal sogar einen "Anfänger"-Abschnitt mit verschiedenen einführenden Artikeln und FAQs. "Einige Foren mit besserer Reputation sind exklusiver und erlauben den Zugang nur für User, die entweder bezahlt haben, die in anderen Foren etabliert sind, nachweisliche Erfahrungen und Kenntnisse in Hacking-Disziplinen haben oder für die sich respektable Forumsmitglieder verbürgen."

Wer sich ins russische Darknet hineinwagt, beziehungsweise erstmal hineinkommt, der muss nicht nur den Aufnahmeprozess überstehen und technisch versiert sein, sondern muss laut dem Autor des Reports den richtigen Wortschatz beherrschen, um zu verstehen, worüber gechattet wird. Weil die Hacker schlecht Englisch sprechen, hätten sie Fachworte "russifiziert". So sei ein "Sployt" ein "Exploit". Mit "Kript" sei "Encryption" (Verschlüsselung) gemeint und mit "Kiloger" ein Keylogger.

Der neueste Malware-Trend bei russischen Hackern umfasst die Verwendung von Trojanern mit versteckten ("hidden") Virtual-Network-Computing- (VNC) (hVNC) und versteckten RDP-Modulen. Das hVNC-Modul biete Angreifern eine direkte, versteckte Verbindung zum infizierten Computer, während dieser laufe. "Mit dieser Technik kann der Angreifer einen authentischen digitalen Fingerabdruck des Opfers erhalten, z.B. Cookies, gespeicherte Sitzungen oder IP-Adressen. All dies wird mit den gestohlenen Anmeldedaten verknüpft, was es dem Angreifer ermöglicht, Betrug zu begehen oder persönliche Daten über den Rechner des Opfers zu stehlen." Russische Hacker sollen den kommerziellen Verkauf von Metadaten und persönlichen Daten zur Identifizierung ihrer Opfer auf Schwarzmärkten erfolgreich als Businessmodell etabliert haben.

Und die PR für solche Schwarzmärkte geschehe via legale Kanäle: So hätten Russen den Schwarzmarkt "Hydra" mit 1740 illegalen Shops "für einen kurzen Zeitraum in Youtube-Anzeigen beworben".

Die Werbung ist offenbar auch nötig, der Wettbewerb unter den russischen Schwarzmärkten sei hoch kompetitiv, ob es um Drogen, Kreditkartenbetrug, Bulletproof Hosting, Stellenausschreibungen für Hacker oder um Admin-Credentials gehe.

Speziell bemerkenswert sei der Handel mit Dossiers mit persönlichen Daten von Beamten und Firmenmitarbeitenden aus GUS-Staaten. "Die erstellten Dossiers sind sehr gründlich und sehr detailliert. Sie umfassen Passdaten und -geschichte, bekannte Adressen, Familien- und Verwandtschaftsverhältnisse, Listen von Bekannten oder anderen Angehörigen, offizielle und inoffizielle Beschäftigungsnachweise, Immobilien oder persönliches Eigentum, Bankkonten, kriminelle und schuldhafte Vorgeschichte sowie Bewegungen innerhalb der Grenze oder über die Grenze hinaus. Die mobilen Daten umfassen registrierte Nummern, Anruf- und Nachrichten-History, Geolokalisierung und die Aktivitätszeiten der mobilen Geräte." Daneben würden unterschiedliche Dokumente, teilweise gefälscht, teilweise original zum Verkauf angeboten, darunter Pässe, Geburts- und Sterbeurkunden und Universitätsdiplome.

Solch umfassende Dossiers seien in keinem andern Land auf dem Schwarzmarkt zu finden. Und wie jedes Business verfolgen auch russische Kriminelle eine Wachstumsstrategie. So schreibt der Autor: "Die russischen Cyberkriminellen sind im Laufe der Jahre neuen Nutzern gegenüber aufgeschlossener geworden und haben erkannt, dass sie ihre Assets besser monetarisieren können, indem sie ihre Käuferbasis vergrössern."

Die Aussagen untermauert der Autor des 18-seitigen Reports mit einzelnen Screenshots. Er sei auf das russische Darknet spezialisiert, so Intsights.