Während Familien in ganz Frankreich sich auf die Feiertage 2025 vorbereiteten, wurde eine andere Art von "Paket" an die Zentrale von La Poste geliefert. Nur wenige Tage vor Weihnachten, am 22. Dezember, wurde der nationale Post- und Bankengigant von einem massiven Cyberangriff getroffen. Dieser Angriff bewirkte mehr als nur den Absturz einer Website. Er nutzte tatsächlich das geschäftigste Logistikfenster des Jahres für einen geopolitischen Vorteil aus.

Am 22. Dezember veröffentlichte die Organisation auf ihrer Website eine kurze Mitteilung mit den Worten „Notre site est indisponible“ oder unsere Seite ist nicht verfügbar. Es wurde hinzugefügt, dass die Teams von La Poste alles tun, um die Situation schnell zu lösen.

Darüber hinaus veröffentlichte La Poste auf ihrer Facebook-Seite eine weitere Mitteilung, die besagte: „Ein schwerwiegender Netzwerkvorfall stört derzeit alle unsere Informationssysteme.“

Die Mitteilung erklärte, dass die Website laposte.fr derzeit nicht verfügbar sei, ebenso wie der sichere Dokumentenspeicherdienst Digiposte, der digitale Identitätsdienst von La Poste und die La Poste-App.

Die Mitteilung warnte auch davor, dass einige Postfilialen möglicherweise einen gewissen Grad an Degradierung des Service erfahren könnten. Es wurde jedoch festgestellt, dass Schaltertransaktionen weiterhin möglich seien.

La Poste betreibt auch eine Bank, Banque Postale, die ebenfalls Schwierigkeiten hat.

Die pro-russische Hacktivisten-Gruppe NoName057(16), die den Angriff für sich beanspruchte, ist ein bekannter Bedrohungsakteur, der sich auf NATO- und ukrainische Cyber-Assets konzentriert. Das Timing des Angriffs und die Wahl von La Poste bieten viele Hinweise auf die Motive hinter dem Angriff, und das Timing ist kein Zufall. Stattdessen soll es als Erinnerungsverweis gegen Jahresende dienen, welchen Störwert solche von Nationalstaaten unterstützten Gruppen haben können. 

In unserem heutigen Blogbeitrag werfen wir einen Blick auf den Angriff, die Verdächtigen und was dies für die Zukunft der hybriden Kriegsführung bedeutet.

Aber bevor wir weitermachen, vergessen Sie nicht, unseren vorherigen Blog über „Was wir über die Nissan-Red Hat-Verletzung wissen“ hier anzuschauen.

Tauchen wir ein.

Die Waffe der Wahl

Der Angriff wurde von Shieldworkz-Forschern als ein Distributed Denial of Service (DDoS) identifiziert. Im Gegensatz zu einem Ransomware-Angriff, der Daten gegen eine Gebühr stiehlt, ist ein DDoS-Angriff darauf ausgelegt, ein System mit purem Volumen zu überfordern. Dies ist oft eine bevorzugte Methode für Hacktivisten-Gruppen, die eine Botschaft hinterlassen möchten, ohne Lösegeld zu verlangen oder Verhandlungen mit den Hintermännern eines Cyberangriffs einzugehen. Manchmal werden solche Angriffe auch genutzt, um:

·       Die Verteidigungen einer Organisation zu testen

·       Mögliche Fenster für Datenexfiltration zu identifizieren

·       Die Kompetenzen von Mitarbeitern zu überprüfen

·       Die Vorfallreaktionsfähigkeit einer Organisation zu bewerten

All dies wird getan, um die Grundlage für genauere und gezieltere Angriffe in der Zukunft zu schaffen.

Was am 22. Dezember geschah, bestand darin, dass die Hacker durch das Überfluten der DNS (Domain Name System)-Server von La Poste mit unrechtmäßigem Datenverkehr effektiv „die Vordertür“ zu den digitalen Diensten der Firma schlossen.

• Die Auswirkungen: Während physische Briefe in Bezug auf die Lieferung nicht beeinträchtigt wurden, wurde das digitale Gehirn, das die Operationen leitet, effektiv gelähmt.

• Die Opfer: Die Paketverfolgung ging offline, die La Banque Postale-App (zur Zeit, als dieses Stück geschrieben wurde, diente sie fast 11 Millionen Menschen) wurde stillgelegt, und der Digiposte-Dokumentensafe wurde unzugänglich.

Der Übeltäter: NoName057(16)

Die pro-russische Hacktivisten-Gruppe NoName057(16) hat die Verantwortung für den Vorfall bereits übernommen. Diese Gruppe ist zu einem beharrlichen Dorn im Auge der NATO-Nationen und ihrer Alliierten geworden. Kurz nach der Invasion der Ukraine 2022 aufgetaucht, spezialisieren sie sich auf „Propaganda durch Störung“.

Indem sie La Poste ins Visier nehmen, versucht die Gruppe nicht nur Daten zu erlangen, sondern auch Sichtbarkeit und Aufmerksamkeit in Russland und außerhalb zu gewinnen. Ihr Ziel ist es, ein Gefühl der digitalen Unsicherheit in den westlichen Gesellschaften zu schaffen und Frankreich für seine anhaltende militärische und politische Unterstützung der Ukraine zu bestrafen.

Es sei daran erinnert, dass zwischen dem 14. und 17. Juli eine internationale Gemeinschaftsaktion, bekannt als Operation Eastwood und koordiniert von Europol und Eurojust, gestartet wurde, um das mit NoName057(16) verbundene Cyberkriminalitätsnetzwerk zu bekämpfen. Strafverfolgungs- und Justizbehörden aus Tschechien, Frankreich, Finnland, Deutschland, Italien, Litauen, Polen, Spanien, Schweden, der Schweiz, den Niederlanden und den Vereinigten Staaten führten zeitgleiche Maßnahmen in verschiedenen Rechtsgebieten gegen Cyberkriminelle und Infrastruktur, die dem pro-russischen Cyberkriminalitätsnetzwerk angehören, durch. Die Untersuchung wurde auch von ENISA sowie Nationen wie Belgien, Kanada, Estland, Dänemark, Lettland, Rumänien und der Ukraine unterstützt. Auch private Parteien wie ShadowServer und abuse.ch halfen, indem sie die technische Seite der Operation unterstützten.

Diese Kampagne führte zur Störung einer von der Gruppe zusammengetragenen Angriffs-Infrastruktur. Dazu gehörten über hundert Computersysteme und Netzwerke weltweit. Ein wesentlicher Teil der zentralen Serverinfrastruktur der Gruppe wurde offline genommen. Darüber hinaus erließ Deutschland sechs Haftbefehle gegen Straftäter, die auf russischem Boden lebten. Zwei dieser Personen wurden beschuldigt, die Hauptanstifter verantwortlich für die Aktivitäten von "NoName057(16)" zu sein. Diese Personen könnten die Betreuer der eigentlichen Hacktivisten oder Koordinatoren gewesen sein. Auf jeden Fall waren dies die sprichwörtlich großen Fische.   

Insgesamt erließen die nationalen Behörden im Juli sieben Haftbefehle, die unter anderem gegen sechs russische Staatsangehörige wegen ihrer Beteiligung an den Operationen von NoName057(16) richteten. Alle Verdächtigen sind seither international gesucht und in einigen Fällen wurden ihre Identitäten an die Medien weitergegeben, um die Bürger zur Meldung der Aktivitäten dieser Kriminellen zu bewegen. Profile von fünf NoName057(16)-Cyberkriminellen wurden auch auf der EU Most Wanted-Webseite veröffentlicht.

Die nationalen Behörden wandten sich seitdem an viele Personen, die als Unterstützer dieses Cyberkriminalitätsnetzwerks im Untergrund vermutet werden. Die Nachrichten wurden über eine beliebte Messaging-App verschickt, um den Empfänger über die offiziellen Maßnahmen zu informieren, die die kriminelle Haftung, die sie für ihre Aktionen gemäß den nationalen Gesetzen tragen, hervorheben.

Dann wurde von Europol berichtet, dass Personen, die für NoName057(16) handeln, hauptsächlich russischsprachige Sympathisanten sind, die automatisierte Tools verwenden, um Distributed-Denial-of-Service (DDoS)-Angriffe durchzuführen. Ohne formale Führung oder ausgeprägte technische Fähigkeiten zu operieren, werden sie von Ideologien und Belohnungen motiviert.

Trotz dieser Operation scheint es, dass NoName057(16) wiederbelebt wurde und jetzt in einem Zustand ist, in dem es Operationen durchführen kann. Wie kam das zustande? Wir haben hierfür ebenfalls eine Theorie. Ich werde diesen Punkt gegen Ende enthüllen. 

Warum gerade jetzt? Die strategische Zeitplanung

In der Welt der Cyberkriegsführung ist Timing (mehr oder weniger immer) alles.

• Logistischer Stress: La Poste sortiert und liefert täglich über 2 Millionen Artikel im Vorfeld von Weihnachten. Indem sie Tracking und Online-Zahlungen deaktivierten, zwangen die Hacker eine Rückkehr zur manuellen Bearbeitung, was zu einem massiven Engpass führte. Außerdem führte dies dazu, dass La Poste die Dienste zusätzlicher Mitarbeiter in Anspruch nahm, um den Stress zu bewältigen.  

• Psychologische Wirkung: Durch die Ausrichtung auf einen Dienst, der so „heimisch“ und essentiell wie die Post während der Feiertage ist, wird die öffentliche Frustration maximiert. Es verwandelt einen technischen Fehler in eine nationale Diskussion am Esstisch.

• Erinnerung zum Jahreswechsel: Während die Operation zur Eliminierung der Gruppe im Juli durchgeführt wurde, wollte NoName057(16) eine Botschaft an das Gesetzesdurchsetzungssystem der EU übermitteln, dass sie sehr wohl existiert und bereit ist, sich auf weitere Störungen einzulassen.  

Der breitere Kontext: Eine „Welle“ von Angriffen

Dieser Vorfall war sicherlich kein Einzelfall. Er beendete einen Monat eskalierender geopolitischer und digitaler Spannungen in Frankreich:

• Das Innenministerium: Ein separater Einbruch hat kürzlich sensible Dateien kompromittiert.

• Maritime Sicherheit: Ein Fernzugriff-Malware wurde kürzlich auf einer Passagierfähre entdeckt.

• Öffentliche Dienste: France Travail (die Arbeitsagentur) war wiederholten Versuchen ausgesetzt, auf Bürgerdaten zuzugreifen.

Geopolitisch hat die harte Haltung der französischen Regierung gegenüber der Ukraine Frankreich ins Visier von russischen Cyberkriminellen und ihren staatlich unterstützten Drahtziehern gebracht. Frankreich arbeitet auch aktiv daran, mehr Sicherheitsgarantien für die Ukraine zu gewähren.

Der französische Geheimdienst DGSI hat offiziell die Untersuchung übernommen, was signalisiert, dass der Staat dies als eine Frage der nationalen Sicherheit ansieht, nicht als einfaches IT-Versagen eines Unternehmens.

Zuletzt mag man sich fragen, wie NoName057(16) sich so schnell neu formieren konnte. Die Antwort ist einfacher, als Sie sich vorstellen können. Staatlich unterstützte Akteure halten eine stetige Pipeline von Ressourcen und Leuten aufrecht, um im Falle einer Störung weiterhin Operationen durchzuführen. Diese Ressourcen sind an Orten wie Nordkorea und Iran verteilt, wo sie vor jeglicher Form rechtlicher Maßnahmen immun sind. Sobald die Bedrohungsakteur-Playbooks ausgereift sind und die TTPs gerahmt sind, spielt es keine Rolle mehr, von wo aus die Gruppe operiert oder welche Art von Maßnahmen sie ausgesetzt ist. Der Hacktivist oder Bedrohungsakteur kann innerhalb sehr kurzer Zeit unter einer neuen Identität oder mit neuen Mitgliedern wieder präsent sein.

Ein solcher Ansatz sichert die Kontinuität der Operationen und das Lernen für den Bedrohungsakteur und seinen Handlanger. 

Die Quintessenz

Der Angriff auf La Poste im Jahr 2025 beweist, dass Hacker keine Feiertage feiern oder in schwachen Arbeitszeiten pausieren. Er beweist auch, dass die kritische Infrastruktur weiterhin ein leichtes Ziel für Cyber-Kriminelle bleibt, die auf Störung aus sind. Da wir uns 2026 nähern, besteht die Herausforderung für Nationen wie Frankreich und die EU darin, „digitale Redundanz“ aufzubauen und sicherzustellen, dass, wenn die Cloud dunkel wird, das Land weiterhin funktioniert.

Interessiert an einem individuellen Briefing über NoName057(16)? Sprechen Sie mit unserem Experten.

Probieren Sie unsere NDR-Lösung für die Sicherheit von OT hier aus.

Für alles andere lassen Sie es uns hier wissen.

Daten zu Operation Eastwood stammen von Europol

Das verwendete Bild dient nur zu repräsentativen Zwecken.