Cyberangriffe auf russische Schlüsselindustrien: „Black Owl“ sorgt für Aufsehen in der digitalen Unterwelt

24. Juni 2025

Eine bislang wenig bekannte pro-ukrainische Hacktivistengruppe mit dem Namen „Black Owl“ – auch bekannt unter Aliasnamen wie BO Team, Lifting Zmiy und Hoody Hyena – hat sich im Jahr 2025 als ernstzunehmender Akteur im Cyberkonflikt mit Russland etabliert. Die Gruppe gerät zunehmend in den Fokus internationaler Sicherheitsexperten, nachdem sie für eine Reihe gezielter Angriffe auf russische Regierungsbehörden sowie auf Unternehmen der Technologie-, Telekommunikations- und Fertigungsbranche verantwortlich gemacht wird.

Gezielte Angriffe mit politischer Botschaft – und finanziellem Kalkül

Erste öffentliche Hinweise auf die Aktivitäten der Gruppe tauchten Anfang 2024 in einem Telegram-Kanal auf, wo die Hacktivisten ihre Ziele offen kommunizierten. Seitdem setzt Black Owl auf eine ausgeklügelte Angriffsstrategie, die laut Kaspersky Lab vor allem auf Systeme innerhalb Russlands abzielt. Die forensischen Spuren – sogenannte Indikatoren für Kompromittierung (IOCs) – deuten auf eine geografisch fokussierte Kampagne hin, die Zerstörung und finanzielle Erpressung miteinander kombiniert.

Der Weg ins System: Phishing, Backdoors und Social Engineering

Die Angriffskette beginnt meist mit präzise ausgeführten Spear-Phishing-Kampagnen. Täuschend echte E-Mails, oft getarnt als Geschäftskorrespondenz aus der Automatisierungs- oder Energiebranche, verleiten Empfänger dazu, manipulierte Anhänge zu öffnen. Damit wird Schadsoftware wie DarkGate, Remcos oder Broken Door ins System eingeschleust.

Einmal eingenistet, kommen spezialisierte Werkzeuge wie SDelete zur Datenlöschung und Babuk-Ransomware zur Verschlüsselung der Systeme zum Einsatz. Die Forderungen nach Lösegeld folgen oft unmittelbar – und mit hoher technischer Raffinesse.

Technische Raffinesse und langfristige Infiltration

Black Owl nutzt sogenannte „Living-off-the-Land“-Techniken, bei denen legitime Systemtools wie PowerShell oder wmic.exe für schädliche Zwecke zweckentfremdet werden. Individuell entwickelte Loader wie „av_scan.exe“ starten dabei gezielt destruktive Programme. Zusätzlich sichern sich die Angreifer durch persistente Mechanismen – etwa geplante Aufgaben, die als harmlose Systemupdates wie „MicrosoftEdgeUpdate“ erscheinen – einen langfristigen Zugang zu den kompromittierten Netzwerken.

Auch Credential Dumping und der Diebstahl von Active Directory-Datenbanken gehören zum Repertoire. Mit Tools wie HandleKatz und ntdsutil verschaffen sich die Angreifer privilegierte Zugänge und bewegen sich über RDP- oder SSH-Verbindungen seitlich durch die Netzwerke – oft unbemerkt über Monate hinweg.

Strategische Zerstörung statt schneller Beute

Im Gegensatz zu vielen anderen Hacktivistengruppen verfolgt Black Owl keinen kurzfristigen „Hit-and-Run“-Ansatz. Ihre Operationen sind langfristig angelegt und zielen darauf ab, maximale Störungen zu verursachen – bei gleichzeitigem finanziellen Profit. So löschen die Angreifer gezielt Sicherungskopien und Schattenvolumes über Tools wie vssadmin.exe, um die Wiederherstellung betroffener Systeme nahezu unmöglich zu machen.

Zwischen Propaganda und Profit

Die Motive der Gruppe sind offenbar zweigleisig: Einerseits bekennen sich die Mitglieder offen zur pro-ukrainischen Sache im Kontext des anhaltenden russisch-ukrainischen Konflikts, andererseits verfolgen sie ein kommerzielles Interesse durch gezielte Erpressung. Ihre öffentliche Kommunikation in sozialen Medien dient dabei nicht nur der Propaganda, sondern auch der psychologischen Kriegsführung.

Laut Kaspersky agiert Black Owl weitgehend unabhängig – ohne erkennbare Koordination mit anderen pro-ukrainischen Hackerclustern. Ihre eigenentwickelten Tools und Methoden heben sie deutlich von anderen Gruppen ab und machen sie zu einem besonders gefährlichen Akteur im aktuellen Cyberraum.

Experten raten zur Wachsamkeit

Sicherheitsexperten rufen Unternehmen dazu auf, ihre Schutzmaßnahmen dringend zu verstärken. Dazu zählen regelmäßige Software-Updates, systematische Backups sowie umfassende Endpoint-Protection-Lösungen. Angesichts der zunehmenden Professionalität von Gruppen wie Black Owl ist eine proaktive Sicherheitsstrategie wichtiger denn je.

Infobox: BO Team – Autonomer Akteur im Cyberkonflikt

• Name & Aliase: BO Team (auch: Black Owl, Lifting Zmiy, Hoody Hyena)

• Ausrichtung: Pro-ukrainisch, aktiv gegen russische Ziele

• Zielbranchen: Regierung, Technologie, Telekommunikation, Fertigung

• Taktiken:

  • Spear-Phishing & Social Engineering

  • Backdoors: BrokenDoor, Remcos, DarkGate

  • Ransomware & Datenvernichtung

  • Living-off-the-Land-Techniken (z. B. PowerShell, wmic.exe)

• Besonderheiten:

  • Hohes Maß an Autonomie

  • Keine technischen Hinweise auf Kooperation mit anderen Hacktivistengruppen

  • Einsatz eigenentwickelter Werkzeuge

  • Langfristige Infiltrationen über Wochen oder Monate

• Interaktionen:

  • Vereinzelte Kontakte über Telegram, z. B. zur Gruppe 4BID

  • Keine nachgewiesene Koordination oder Tool-Sharing

• Bewertung (Kaspersky):

  • Ernstzunehmende Bedrohung durch unkonventionelle Methoden

  • Abgrenzung von klassischen Hacktivisten durch strategisches Vorgehen

 

Bericht der Gruppe über den Angriff

Informationen über die Domain, von der Phishing-E-Mails an das Kaspersky Thread Intelligence Portal gesendet wurden

Ein Köderdokument, das ein Anschreiben simuliert

Fehlermeldung

Grafiken / Quelle – Kaspersky Lab

---