Russlands problematische Bug-Bounty-Offensive

srcset="https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?quality=50&strip;=all 5949w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=300%2C168&quality;=50&strip;=all 300w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=768%2C432&quality;=50&strip;=all 768w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=1024%2C576&quality;=50&strip;=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=1536%2C864&quality;=50&strip;=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=2048%2C1152&quality;=50&strip;=all 2048w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=1240%2C697&quality;=50&strip;=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=150%2C84&quality;=50&strip;=all 150w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=854%2C480&quality;=50&strip;=all 854w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=640%2C360&quality;=50&strip;=all 640w, https://b2b-contenthub.com/wp-content/uploads/2024/09/Tada-Images_shutterstock_1691437744_NR.jpg?resize=444%2C250&quality;=50&strip;=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px">Große Bug-Bounty-Plattformen wie HackerOne bezahlen für Sicherheitslücken gut – nur nicht, wenn die Belohnung nach Russland gehen soll.
Tada Images | shutterstock.com



Das russische Cybersecurity-Ökosystem wurde von den internationalen Sanktionen, die seit dem Überfall der Ukraine sukzessiv gegen das Putin-Regime und seine Verbündeten verhängt werden, hart getroffen.



Der Rückzug westlicher IT-Unternehmen, die Abwanderung russischer Fachkräfte sowie die durch den Krieg veränderte Cyberbedrohungslage zwingen Moskau dazu, eigene Lösungen zu entwickeln, um sein Security-Niveau zu stärken. Dazu gehören inzwischen auch eigene Initiativen, um Schwachstellen zu erforschen – sogenannte Bug-Bounty-Programme. Dabei werden Unternehmen oder auch Einzelpersonen monetär dafür belohnt, Schwachstellen in Soft- und Hardware zu finden und zu melden.



Große Bug-Bounty-Initiativen westlicher Unternehmen oder internationale Plattformen bezahlen bereits seit März 2022 wegen der Sanktionen keine Belohnungen mehr an russische und belarussische Ethical Hacker oder Security-Unternehmen mehr aus:




Die weltweit größte Bug-Bounty-Plattform HackerOne verweigerte einem weißrussischen Ethical Hacker im März 2022 eine Bug-Bounty-Prämie in Höhe von 25.000 Dollar.



Anton Subbotin, bis Anfang 2022 der führende russische Bug-Bounty-Jäger auf HackerOne, wurden nach eigenen Angaben Belohnungen in Höhe von 50.000 Dollar verweigert – darunter wohl auch Meldungen, die er vor der russischen Invasion eingereicht hatte.



HackerOne hat darüber hinaus auch russische Unternehmen von seiner Plattform verbannt, darunter Kaspersky Lab und den E-Mail-Anbieter Mail.ru.



Die Bug-Bounty-Plattformen BugCrowd (USA, Australien) sowie Intigriti (Belgien) zahlen ebenfalls nicht mehr an russische Anwender.



Zuletzt verweigerte auch Apple im Rahmen seines Security-Bounty-Programms im Juni 2024 eine Zahlung an Kaspersky Lab, nachdem das Unternehmen vier Zero-Click-Zero-Day-Schwachstellen in iOS entdeckt hatte, die genutzt worden waren, um die iPhones von Kaspersky-Mitarbeitern und russischen Diplomaten auszuspionieren.




Russisches Bug-Bounty-Ökosystem entsteht



Bug-Bounty-Programme haben in Russland eine relativ lange Geschichte. Im Jahr 2012 startete der Suchmaschinenriese Yandex das erste große, russische Bug-Bounty-Programm. Etwa zur gleichen Zeit, als auch in den USA die ersten Initiativen in diesem Bereich aufkamen. Trotz der Pionierarbeit von Yandex (PDF) wurden Bug-Bounty-Programme jedoch traditionell nicht als etablierter Mechanismus angesehen, um die Sicherheitslage russischer Unternehmen zu optimieren.



Das lag einerseits am allgemeinen Misstrauen gegenüber Hackern seitens der russischen Regierung und kommerzieller Unternehmen. Andererseits auch daran, dass westliche Plattformen den Markt bald  dominierten. Inzwischen haben russische IT-Unternehmen das Bug-Bounty-Vakuum gefüllt. In diesem Zuge sind die bislang größten, russischen Plattformen in diesem Bereich entstanden:




Im Februar 2021 gründeten Cyber Polygon und Sinclit die Plattform Bug Bounty RU.



Im Mai 2022 startete Positive Technologies seine “Standoff 365 Bug Bounty“-Plattform.



Im August 2022 folgte die Bug Bounty-Plattform von BI.ZONE.




Im Jahr 2023 belief sich die Gesamtzahl der Nutzer dieser drei Plattformen laut Positive Technologies auf etwa 20.000. Dabei zeigt die wachsende Zahl großer Unternehmen, die sich an den russischen Bug-Bounty-Plattformen beteiligen, dass Interesse daran besteht, die eigenen Produkte und Services besser abzusichern. Dazu gehören beispielsweise:




die russische T-Bank,



das E-Commerce-Unternehmen Ozon und



die Social-Media-Plattform Vkontakte.




Auch die Prämien müssen sich dabei vor westlichen Pendants nicht verstecken – im Gegenteil. Positive Technologies bezahlt für Schwachstellen bis zu 60 Millionen Rubel (ca. 605.000 Euro; 670.000 Dollar). Die Auszahlungsstruktur ist dabei mit der von HackerOne und anderen westlichen Plattformen vergleichbar. Insbesondere Standoff 365 und BI.ZONE bemühen sich dabei auch explizit um Bug-Bounty-Jäger aus Asien, Afrika und dem Nahen Osten, um in anderen, regionalen Bug-Bounty-Märkten Fuß zu fassen.



Auch die russische Regierung profitiert von dem Bug-Bounty-Ökosystem, das derzeit etabliert wird. Eine Handvoll russischer Regierungsinstitutionen macht bereits mit den Plattformen Standoff 365 und BI.ZONE gemeinsame Sache: Im Februar 2023 meldete das Ministerium für digitale Entwicklung zehn seiner E-Government-Systeme, darunter „Gosuslugi“, das Portal für staatliche Services in der russischen Föderation, bei beiden Bug Bounty-Plattformen an. Nach Angaben des Ministeriums haben sich bereits mehr als 16.000 Personen registriert, bislang seien mehr als 100 Sicherheitslücken aufgespürt worden.



Diese föderalen Bemühungen strahlen auch auf die russischen Kommunen aus: Im Dezember 2023 startete die Stadtverwaltung Moskau ihr eigenes Bug-Bounty-Programm auf Standoff 365, gefolgt vom Gebiet Rostow im selben Monat. Im Mai 2024 öffnete schließlich auch Jakutien seine Services für die Bug-Jagd. Im Gegensatz zu den Programmen, die von privaten Unternehmen aufgelegt werden, stehen die staatlich initiierten ausschließlich den Bürgern der russischen Föderation offen.



Die Folgen für die Cybersicherheit



Bemerkenswert ist dabei insbesondere, dass die skizzierten Entwicklungen sich in einem Umfeld rechtlicher Unsicherheiten abgespielt haben: Das russische Strafrecht unterscheidet nämlich bislang nicht zwischen Cyberkriminalität und Ethical respektive White Hat Hacking. Der unrechtmäßige Zugriff auf Computer ist in den Artikeln 272 und 273 des russischen Strafgesetzbuchs unter Strafe gestellt und kann mit bis zu sieben Jahren Gefängnis bestraft werden.



Im Dezember 2023 wurde allerdings ein Gesetzentwurf zur Legalisierung von Ethical Hacking eingereicht, der im Mai 2024 schließlich auch von der Duma gebilligt wurde und nun nochmals überarbeitet werden muss. Im Falle einer Verabschiedung würde sich das Gesetz nahtlos in die umfassendere Initiative der russischen Regierung einfügen, um die Cybersicherheitslage zu verbessern. Dazu zählen etwa:




eine Meldepflicht für Cybervorfälle,



höhere Geldstrafen für Datenschutzverletzungen,



ein Verbot westlicher Software in kritischen Infrastrukturen sowie



die mögliche Etablierung einer nationalen Cybersicherheitsbehörde nach dem Vorbild der US-amerikanischen CISA.




Russische Bug-Bounty-Plattformen werden in den nächsten Jahren mit hoher Wahrscheinlichkeit ein erhebliches Wachstum verzeichnen. Sie bieten eine Alternative zu westlichen Plattformen wie HackerOne – allerdings nicht nur für russische White-Hat-Hacker, sondern auch für alle anderen Vulnerability Researcher, die in Ländern ansässig sind, die aktuell oder in Zukunft mit Finanzsanktionen belegt werden könnten.



Aus westlicher Sicht könnte das ungeahnte und problematische Folgen nach sich ziehen: Russische Hacker könnten die in westlichen Produkten gefundenen Schwachstellen in erster Linie an russische Plattformen wie „Operation Zero“ verkaufen – statt ihre Erkenntnisse „gratis“ an westliche Bug-Bounty-Plattformen zu melden.



Die verkaufen ihre Informationen wiederum an russische Strafverfolgungsbehörden und Geheimdienste weiter. Das könnte dazu führen, dass Spionagekampagnen auf westliche Länder künftig noch verstärkt werden. Die politischen Entscheidungsträger des Westens täten deshalb gut daran, das aufblühende, russische Bug-Bounty-Ökosystem im Auge zu behalten. (fm)



Sie wollen weitere interessante Beiträge zu diversen Themen aus der IT-Welt lesen? Unsere kostenlosen Newsletter liefern Ihnen alles, was IT-Profis wissen sollten – direkt in Ihre Inbox!