neustes

Digitalkultur Ethik & Gewissen IM HERZ , , , , , , , , , ,

Die zwei Seelen der Ghost Security: Vom Anti-Terror-Hacktivismus zur Ransomware-Bande und zurück

Autor: DerSchneider

Die Grenze zwischen digitalem Widerstand und krimineller Erpressung ist fließend – das zeigt die bemerkenswerte Entwicklung der Ghost Security Group (GhostSec). Was 2015 als elitärer Ableger des Hacktivisten-Kollektivs Anonymous begann, um den Terror des „Islamischen Staates“ (ISIS) online zu bekämpfen, mündete fast ein Jahrzehnt später in eine kriminelle Ransomware-Operation. Heute versucht die Gruppe, zur ideologischen Reinheit zurückzukehren. Dieser Artikel zeichnet den Weg einer Gruppe nach, die sich zwischen den Polen von Idealismus, Staatssicherheit und Cyberkriminalität bewegt und dabei eine tiefe Zerrissenheit offenbart.

Die Geburtsstunde eines digitalen Geheimdienstes

Die Ursprünge von GhostSec liegen in den Anschlägen auf die Redaktion des französischen Satiremagazins Charlie Hebdo im Januar 2015 . Eine Gruppe technisch versierter ehemaliger Anonymous-Mitglieder erkannte, dass öffentlichkeitswirksame Hacker-Aktionen allein nicht ausreichten, um die Online-Propaganda und die Rekrutierungsnetzwerke der Dschihadisten wirksam zu bekämpfen. Sie entwickelten eine neue Taktik: Statt Webseiten zu defacen, setzten sie auf Open-Source-Intelligence (OSINT) – die systematische Überwachung von Twitter-Accounts, die Infiltration von dschihadistischen Foren und die Analyse von Telegram-Kanälen, um konkrete Bedrohungen zu identifizieren .

Diese strategische Neuausrichtung war der Grund für die offizielle Trennung von Anonymous im November 2015. Die Ghost Security Group verstand sich fortan nicht als Hacker-Kollektiv, sondern als Geheimdienst . Sie professionalisierte ihr Auftreten mit einem Corporate Branding und entwickelte ein Werkzeug, das Besucher ihrer Website dazu aufforderte, verdächtige Aktivitäten zu melden und so Teil des „intelligence gathering“ zu werden.

Die neue Taktik schien aufzugehen. Die Gruppe behauptete, bis zu 101.000 Twitter-Accounts und 5.900 Propagandavideos enttarnt zu haben . Noch bedeutsamer waren ihre Beiträge zur Verhinderung realer Anschläge: So soll GhostSec im Juli 2015 durch die Weitergabe von Informationen an das FBI einen geplanten Bombenanschlag auf einen Markt in der tunesischen Region Djerba vereitelt haben . Auch die Verhinderung eines Anschlags in Texas, bei dem Mohammed-Karikaturen gezeichnet werden sollten, wird der Gruppe zugeschrieben .

Die erste Spaltung: Der Pakt mit dem Staat

Der Erfolg und die Professionalisierung führten jedoch zu einem tiefen Riss in der Gruppe. Ein Teil der Hacker, die sich nun als „Ghost Security Group“ (GSG) bezeichneten, nahm direkten Kontakt zu US-Behörden auf. Der frühere Army-General und Ex-CIA-Chef David Petraeus bestätigte gegenüber Foreign Policy sogar eine Zusammenarbeit: „Wir begrüßen die Unterstützung“, zitierte er die Haltung der Geheimdienste . Als Mittelsmann zwischen den Hackern und dem FBI fungierte der Sicherheitsberater Michael S. Smith, der unter anderem den US-Kongress berät .

Für die ursprünglichen Anonymous-Hacker unter dem Pseudonym @TorReaper war dies ein Verrat an den eigenen Prinzipien. Sie kritisierten, dass die Informationen nicht mehr öffentlich und kostenlos geteilt, sondern „zu einer Ware“ gemacht und angeblich gegen Geld an die Regierung verkauft würden . Im November 2015 kam es zum offenen Bruch: Es gab nun zwei Teams. Das eine, die Ghost Security Group, arbeitete für die US-Regierung, war professionell und verschwiegen. Das andere, das sich den Namen GhostSec bewahrte, blieb der alten, aktivistischen Linie treu und veröffentlichte weiterhin alle Daten öffentlich .

Diese Spaltung lässt sich in einer einfachen Tabelle verdeutlichen:

MerkmalGhost Security Group (GSG – „offizieller Arm“)GhostSec („dunkler Arm“)
StrategieGeheimdienstliche Zusammenarbeit mit FBI/BehördenÖffentlicher Hacktivismus
InformationspolitikKonspirativ, nicht öffentlich, über ContractorÖffentliche Veröffentlichung aller Daten
MotivationEffektive Terrorbekämpfung, teils gegen BezahlungIdeologische Prinzipien, Transparenz
KritikVerrat am Hacker-EthosIneffektivität, Gefahr von Falschinformationen

Die radikale Abkehr: Vom Aktivisten zum Ransomware-Warlord

Während der offizielle Arm der Ghost Security Group später in eine legitime Firma überging (siehe unten), schlug der ursprüngliche GhostSec-Arm einen anderen, dunkleren Weg ein. Die Gruppe, die sich einst als „Wachhund“ gegen den Terrorismus sah, begann, ihre Fähigkeiten zunehmend für politische und schließlich finanzielle Zwecke einzusetzen. Sie beteiligte sich an Kampagnen wie #OpNigeria, um Korruption aufzudecken , und startete Angriffe auf Israel .

Der entscheidende Wendepunkt kam im Jahr 2023. Um ihre aufwändigen Operationen – wie Angriffe auf Industriesysteme – zu finanzieren, begann GhostSec mit finanziell motivierter Cyberkriminalität . Im Juli 2023 schloss sich die Gruppe mit der Ransomware-Bande Stormous zusammen, um gemeinsam Angriffe auf Kuba zu starten . Im Oktober 2023 ging GhostSec noch einen Schritt weiter und launchte ihr eigenes Ransomware-as-a-Service (RaaS) -Programm namens GhostLocker .

Der Anführer der Gruppe, der unter dem Pseudonym Sebastian Dante Alexander auftritt, rechtfertigte diesen Schritt in einem Interview mit dem Podcast Click Here von Recorded Future: Er sagte, die Gruppe habe die finanziellen Mittel für Video-Service-Provider und Hacking-Tools benötigt . GhostLocker sei nur ein Mittel zum Zweck gewesen, um die eigentliche Arbeit weiterzufinanzieren. Alexander beteuerte, dass es strenge Regeln gegeben habe: Keine Angriffe auf Krankenhäuser oder Bildungseinrichtungen. Verstöße der Affiliates hätten zum Ausschluss aus dem Programm geführt .

Die Zahlen und Ziele dieser Operationen waren beträchtlich. GhostLocker-Angriffe wurden gegen eine Vielzahl von Einrichtungen in aller Welt geführt, darunter:

  • Kritische Infrastruktur: Israels Verteidigungsministerium, Kanadische Energieversorger, Indonesiens nationale Eisenbahngesellschaft .
  • Finanzsektor und Industrie: Ein Finanzunternehmen in Bengaluru (5 Millionen Datensätze erbeutet), produzierende Unternehmen in Südafrika und China .
  • Staatsbetriebe und Bildung: Bildungsministerium in Vietnam, Universität in Indien, staatliche Telekommunikationsunternehmen in Usbekistan und der Türkei .

Die „offizielle Firma“: Ghost Security in Austin, Texas

Parallel zu diesen kriminellen Aktivitäten entstand im Jahr 2022 in Austin, Texas, ein Unternehmen namens Ghost Security . Dieses Startup präsentiert sich als legitimes Cybersicherheitsunternehmen, das „kontextuell relevante Sicherheitseinblicke“ für moderne Anwendungen bietet . Es hat eine Finanzierung von 15 Millionen US-Dollar von Risikokapitalgebern wie 468 Capital, DNX Ventures und Munich Re Ventures erhalten und beschäftigt 26 Mitarbeiter .

Laut öffentlich zugänglichen Quellen gibt es keine direkte Verbindung zwischen dieser offiziellen Firma und den Hacker-Aktivitäten der ursprünglichen GhostSec-Gruppe. Die Gründung der Firma stellt jedoch einen interessanten Kontrapunkt dar: Während der kriminelle Arm in Ransomware-Erpressung abrutschte, entstand ein legaler, wirtschaftlich erfolgreicher Arm, der das professionelle und seriöse Image der ursprünglichen Idee pflegt. Die Gruppe selbst hat auf ihrem Blog betont, dass sie nicht mehr Teil von Anonymous sei, sondern eine eigenständige Gruppe .

Die Reue und die Rückkehr zum Hacktivismus

Im Mai 2024 verkündete Sebastian Dante Alexander überraschend das Ende der kriminellen Aktivitäten. GhostSec gab bekannt, sich von GhostLocker zu trennen – die Verantwortung für das RaaS-Programm wurde an den Partner Stormous übergeben . Die Gruppe erklärte, durch die Einnahmen aus den Ransomware-Angriffen nun ausreichend finanziert zu sein, um sich wieder auf den reinen Hacktivismus konzentrieren zu können .

In dem Interview betonte Alexander, dass die Ideologie der Gruppe nie gewechselt habe und man die Cyberkriminalität nur aus finanzieller Notwendigkeit begangen habe. Er zeigte sogar Verständnis für die Täter: „Ich traf viele verschiedene Leute, und es half mir zu verstehen, dass Cyberkriminalität für viele dieser Leute keine Wahl war“ . Diese Aussage steht im krassen Gegensatz zur Haltung einer Gruppe, die sich einst als moralische Instanz gegen den Terrorismus sah. Die „Rückkehr“ wird durch ein Projekt namens NewBlood untermauert, ein Ausbildungsprogramm für neue Hacktivisten, das laut Alexander Grundlagen der Betriebssicherheit (OpSec) und fortgeschrittene Hacking-Fähigkeiten vermitteln soll .

Ob diese Rückkehr zum Idealismus von Dauer ist oder nur ein weiteres Kapitel in der wechselvollen Geschichte der GhostSec-Gruppe darstellt, bleibt ungewiss. Die Gruppe hat bereits angekündigt, ihre Aktivitäten gegen Israel und mexikanische Kartelle fortsetzen zu wollen .

Fazit und Ausblick

Die Geschichte der Ghost Security Group ist ein exemplarisches Lehrstück über die Ambivalenz von Hacktivismus im 21. Jahrhundert. Sie zeigt, wie eine Gruppe, die aus einem moralisch hochstehenden, aber illegalen Kampf gegen den Terrorismus entstand, in eine Kollaboration mit dem Staat und schließlich in die Welt der Cyberkriminalität abrutschte. Die Entwicklung von der Terrorbekämpfung (#OpISIS) über die Ransomware-Erpressung (GhostLocker) bis hin zum Ausbildungsprogramm (NewBlood) illustriert einen Kreislauf aus Ideologie, finanzieller Notwendigkeit und dem ständigen Kampf um Legitimität.

Die Frage, ob eine solche „Rückkehr“ zum reinen Hacktivismus nach einer Phase der Cyberkriminalität glaubwürdig ist, muss kritisch gesehen werden. Die Einnahmen aus den Ransomware-Angriffen haben die Gruppe finanziell gestärkt, aber ihren Ruf nachhaltig beschädigt. Die Gruppe selbst zeigt mit dem NewBlood-Projekt, dass sie eine neue Generation von Hacktivisten heranziehen möchte – was sie jedoch in einer moralischen Grauzone verankert.

Die parallele Existenz der legalen Firma „Ghost Security“ in Texas und des kriminellen Arms „GhostSec“ zeigt, dass es die „Ghost Security Group“ als monolithischen Block nicht (mehr) gibt. Sie ist zu einem Phänomen geworden, das sich in verschiedene Facetten aufgespalten hat: eine professionelle, wirtschaftlich erfolgreiche Firma, ein kriminelles Relikt und ein ideologisch getriebener, aber ethisch fragwürdiger Hardcore-Aktivismus. Die Zukunft wird zeigen, welcher dieser drei Geister den anderen überleben wird.

Quellen

  1. Grokipedia: Eintrag zu Ghost Security. https://grokipedia.com/page/Ghost_Security 
  2. The Record from Recorded Future News: „Road to redemption: GhostSec’s hacktivists went to the dark side. Now they want to come back.“ Interview mit Sebastian Dante Alexander. https://therecord.media/ghostsec-hacktivism-cybercrime-interview-click-here-podcast 
  3. Parsers VC: Firmenprofil von Ghost Security. https://parsers.vc/startup/ghost.security/ 
  4. VICE (Motherboard): „Hacker liefern im Kampf gegen den IS Daten ans FBI“. https://www.vice.com/de/article/ex-anonymous-hacker-liefern-im-kampf-gegen-den-is-daten-ans-fbi-555/ 
  5. Rapid7 Blog: „Exploring the Convergence from Hacktivism to Cybercrime“. https://www.rapid7.com/blog/post/2025/06/03/from-ideology-to-financial-gain-exploring-the-convergence-from-hacktivism-to-cybercrime/ 
  6. Medium (GhostSec Blog): „OpNigeria Part 1“. https://ghostsec420.medium.com/opnigeria-983b17d9c2bc 
  7. PitchBook: Unternehmensprofil von Ghost Security. https://pitchbook.com/profiles/company/501497-38 
  8. Daily Security Review: „GhostSec – From Hacktivist to Ransomware Warlord“. https://dailysecurityreview.com/resources/threat-actors-resources/ghostsec-from-hacktivist-to-ransomware-warlord/ 
  9. SC Media: „GhostSec looking to refocus on hacktivism“. https://www.scworld.com/brief/ghostsec-looking-to-refocus-on-hacktivism 
Schlagwort

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst