Wenige Stunden nach dem Einmarsch Russlands in die Ukraine beeilte sich Nikita Knysh, sich dem Widerstand anzuschließen.
Er ging zum Kharkiv-Büro seines alten Arbeitgebers, des Sicherheitsdienstes der Ukraine (SBU), und bat um einen Einsatz.
Aber die Stadt, nur 30 km von der russischen Grenze entfernt, war im Chaos. Der 30-jährige IT-Experte, ein ehemaliger Hacker, ging mit leeren Händen zurück und erkannte, dass er seine eigene Mission erstellen musste.
Er brachte die Mitarbeiter seiner Cybersicherheitsfirma HackControl und eine Reihe von Computergeräten in den Keller einer Brieftaschenfabrik. Als die russische Armee Charkiw angriff, begann Knyshs Team, Russland zu hacken.
Moskaus Invasion in der Ukraine löste einen beispiellosen Cyberkrieg aus, mit Legionen von Hackern auf beiden Seiten. Dutzende von der Regierung unterstützte Gruppen nutzten den Tumult, um ihre Gegner ins Visier zu nehmen, ebenso wie kriminelle Banden, die sich hinter dem Lärm versteckten, um Ransomware-Überfälle durchzuführen.
Die IT-Branche der Vorkriegszeit in der Ukraine mit 300.000 Fachleuten, die in der Cybersicherheit oder in ausgelagerten Backoffices arbeiten, erwies sich im ersten großen Cyberkrieg der Welt als entscheidender Talentpool.
Sechs Monate nach Beginn des Konflikts kursieren Geschichten über die Hacks, die sie russischen Unternehmen und der russischen Regierung zugefügt haben, im Internet. Aber mit anonymen Gruppen, die sich überschneidende Anerkennung für „Pwning“ – Online-Slang für „Besitzen“ – Russlands beanspruchen, ist es oft unmöglich, Wahrheit von Prahlerei zu trennen.
Nicht alle Behauptungen von Knysh können überprüft werden, aber die Financial Times sprach mit Regierungsbeamten und anderen Hackern, die für ihn bürgten und Fotos, Videos und Protokolldateien überprüften, die einige seiner Behauptungen untermauerten.
Seine Geschichte ist eine Geschichte talentierter Programmierer, die gezwungen sind, sich an die Wirren des Krieges anzupassen. Es beinhaltet die Rekrutierung von Kriminellen auf niedriger Ebene in Scharen von Programmierern, Schreckgespenster vor gefälschten Bomben, die groß angelegte Infiltration von mit dem Internet verbundenen Überwachungskameras zur Überwachung von russisch besetzten Gebieten und das Einfangen russischer Soldaten, um ihre Stützpunkte preiszugeben.
Aber zuerst brauchte die Gruppe mit dem Spitznamen Hackyourmom eine eigene Basis. Die Brieftaschenfabrik war gut für die erste Woche, als Knysh einen alten Trick aus seinen SBU-Tagen entstaubte – sich als Administrator in äußerst beliebte Telegram-Kanäle an Orten wie dem besetzten Donezk einzuschleichen, um pro-ukrainische Nachrichten zu verbreiten.
„Aber Charkiw wurde immer noch angegriffen – wir mussten uns bewegen“, sagte er. Sie evakuierten nach Westen, in eine billige Herberge in der Region Winnyzja, weit weg vom russischen Vormarsch. Knysh hatte es vor Monaten gemietet, besorgt, dass der Krieg kommen würde, und ein kleines Projekt daraus gemacht. „Das war nicht Plan B, das war Plan C.“
Knysh bat einen alten Mentor um einen Gefallen, Vsevolod Kozhemyako, Geschäftsführer der Getreidefirma Agrotrade und einer der reichsten Männer der Ukraine.
Ihm ging es nicht um Geld, sondern um einen von Elon Musks Starlinks, Satelliten, die der reichste Mann der Welt zu Tausenden herübergeschickt hatte, um den ukrainischen Behörden freien Zugang zum Internet zu verschaffen. „Er hat gefragt, also habe ich ihm eine besorgt“, sagte Kozhemyako, der selbst Waffen gesammelt und ein Freiwilligenbataillon zur Bewachung von Charkiw gebildet hatte. „Ich habe nicht gefragt, was er damit gemacht hat, aber so wie ich ihn kenne, war es wahrscheinlich etwas Gutes.“
In Vinnytsia huckepackte seine bunt zusammengewürfelte Crew von bis zu 30 Leuten auf den sorgfältig abgeschirmten Internetzugang des Starlink. „Wir sind in gewisser Weise wie eine Familie geworden“, sagte Teammitglied Maxim, der darum bat, mit seinem Vornamen identifiziert zu werden. „Ich hätte nie gedacht, dass ich an vorderster Front eines Cyberkriegs stehen würde, aber so war es.“
Knysh erkannte schnell, dass er mehr erfahrene Leute brauchte, als in das Hostel passen würden. Er erinnerte sich an eine Gruppe hochrangiger ukrainischer Hacker, die Firmengeheimnisse stahlen, die er während seiner Zeit bei der SBU aufgespürt hatte.
Er rekrutierte Dutzende, um ihm gestohlene Kreditkartendatenbanken zu schicken, die er eintauschte, um einen Telegrammkanal von Low-Level-Hackern mit einer einzigen Anweisung zu erstellen – Flüge nach Russland mit gefälschten Bombendrohungen zu überfluten.
Dutzende Flüge verspäteten sich oder wurden annulliert, darunter einige von Air Serbia, an den Daten, für die er die FT-Protokolle zeigte. Der serbische Präsident Aleksandar Vučić machte den ukrainischen Geheimdienst für die Falschmeldungen verantwortlich.
Um dem angeschlagenen ukrainischen Militär gezielter helfen zu können, wandte sich Hackyourmom einem noch aufwändigeren Projekt zu: Sie hackten Tausende von Sicherheits- und Verkehrskameras in Weißrussland und Teilen der Ukraine, die von Russland besetzt waren.
Um die Informationen zu filtern, schrieb das Team einen Code für maschinelles Lernen, der ihnen half, militärische Bewegungen vom normalen Verkehr zu trennen, und sie leiteten die Informationen über ein öffentliches Portal an das Militär weiter.
In einem Beispiel, das der FT mit Fotos und Orten beschrieben wurde, identifizierten sie einen abgelegenen russischen Stützpunkt in der Nähe des besetzten Melitopols in der Südukraine. Dann brachten sie Soldaten mit gefälschten Profilen attraktiver Frauen auf Facebook und russischen Social-Media-Websites dazu, Fotos zu senden, die sie geolokalisierten und mit dem ukrainischen Militär teilten. „Die Russen wollen immer ficken“, sagte Knysh. „Sie senden [a] Viel Scheiße für ‚Mädchen‘, um zu beweisen, dass sie Kriegerinnen sind.“
Ein paar Tage später sahen sie im Fernsehen, wie die Basis von ukrainischer Artillerie gesprengt wurde. „Mein erster Gedanke war – ich bin effektiv, ich kann meinem Land helfen“, sagte Maxim, obwohl die ukrainischen Behörden es ablehnten, die Rolle von Hackern bei dem Angriff zu erörtern. „Dann wurde mir klar, dass ich mehr davon will – ich möchte immer wieder mehr Basen finden.“
Knysh behauptete, sein Team habe an anderen Hacks teilgenommen, von der Trickserei russischer Fernsehsender, Nachrichtenclips über ukrainische zivile Opfer abzuspielen; die Verbindung von Heimroutern in besetzten Gebieten zu großen Bot-Netzwerken, die russische Websites lahmlegten; und sogar das Hacken und Durchsickern der Datenbanken russischer Militärunternehmen.
Die Gruppe in der Herberge löste sich im Frühsommer physisch auf, als klar wurde, dass das russische Militär im Osten und Süden der Ukraine zurückgehalten wurde.
Die Mitglieder haben begonnen, aus der Ferne zu arbeiten, einschließlich der Veröffentlichung komplexer Leitfäden online für Ziele, die Knysh nicht diskutieren wollte.
Sie behalten immer noch die Kameras im Auge, die sie gehackt haben, und teilen mit der FT ein aktuelles Bild eines russischen Marineschiffs in einem Hafen in Sewastopol, das seit 2014 von Russland besetzt ist.
„Für mich fühlte sich das wie ein Kampf an“, sagte Knysh. „Ohne Geld, ohne brillante Software und sogar ohne brillante Hacks – Sie können Betrüger, das dunkle Netz, gegen Ihren Feind einsetzen. Im Moment spielen russische Gesetze keine Rolle – was wir haben, ist die Erfahrung, im ersten Cyberkrieg zu sein.“