Das FBI hat eine von russischen Elitespionen gegen westliche Behörden und Unternehmen eingesetzte Hacking-Software sabotiert und lahmgelegt. Es handelt sich um die berüchtigte Snake-Malware, ein Toolkit für Cyberspionage, die von der Hackergruppe Turla des russischen Geheimdienstes FSB seit fast zwei Jahrzehnten betrieben wird. Dies teilten hochrangige Vertreter der US-Strafverfolgungsbehörden am Dienstag mit.
Die Beseitigung der Schadsoftware war Teil der sogenannten «Operation Medusa», die einem der führenden russischen Cyberspionage-Programme den Todesstoss versetzen soll. «Wir schätzen dies als ihr wichtigstes Spionagewerkzeug ein», sagte einer der Behördenvertreter. Man hoffe, dass der Schlag die Spionagegruppe Turla «vom virtuellen Schlachtfeld auslöschen» werde.
Turla gilt weithin als eine der raffiniertesten Hackergruppen. Ein FBI-Vertreter sagte, die Gruppe sei seit zwei Jahrzehnten gegen eine Vielzahl von Zielen in der NATO, bei US-Regierungsstellen und Technologieunternehmen aktiv. Die laut den USA vom russischen Inlandsgeheimdienst FSB gesteuerte Gruppe agierte jahrelang im Verborgenen.
Gerichtsdokumenten zufolge haben das FBI und Geheimdienste in den USA, Grossbritannien, Kanada, Australien und Neuseeland die russische Snake-Malware und ihre Funktionsweise seit mindestens acht Jahren untersucht, seit sie 2015 in den Netzwerken mehrerer US-Organisationen gefunden worden war. Konkret analysierten die Cyberexperten, wie die gut getarnte Schadsoftware verschlüsselt nach Hause telefoniert und wie die Hackergruppe die Daten unbemerkt von infizierten Computersystemen herunterlädt.
US-Beamte bezeichneten Snake als das «fortschrittlichste Cyberspionage-Tool» des FSB. Es könne nebst Windows auch Linux und macOS infiltrieren. Russlands Inlandsgeheimdienst habe die Malware genutzt, um sensible Informationen von hochrangigen Zielen wie Regierungsnetzwerken, Forschungseinrichtungen und Journalisten zu erbeuten.
Sobald sich Snake auf einem Computersystem eingenistet hat, lädt das Programm weitere Software-Module nach, die es den Hackern erlauben, unbemerkt über verschlüsselte Verbindungen vertrauliche Daten zu exfiltrieren.
Die mit Snake infizierten Computersysteme wurden nicht nur zum Sammeln von Daten missbraucht, sondern dienten auch unfreiwillig als Proxyserver respektive Botnet, mit dem der Datenverkehr anderer Snake-Angriffe verborgen wurde.
Das geschickte und behutsame Vorgehen der Hacker machte die Cyberangriffe jahrelang weitestgehend unsichtbar. Doch als die Ermittler der Gruppe 2015 auf die Schliche kamen, gelang es nicht nur, weitere mit Snake infizierte Systeme zu enttarnen. Es war gar möglich, «das Hauptoperationszentrum der Malware ausfindig zu machen», wie der auf Cybersecurity spezialisierte News-Dienst Risky Biz News berichtet. Demnach konnte Snake mit einer FSB-Einrichtung in Ryazan, einer Stadt 200 Kilometer südöstlich von Moskau, in Verbindung gebracht werden.
Dem FBI und seinen Partnern gelang es nun, die Infrastruktur der Hacker mit einer eigenen Software lahmzulegen. Das FBI stützte sich dabei auf bestehende Durchsuchungsbefehle, um aus der Ferne auf das russische Schadprogramm in den Netzwerken der Opfer in den USA zuzugreifen und seine Verbindungen zu den Hackern in Russland zu trennen.
Ein hochrangiger FBI-Beamter sagte gegenüber Reuters, das Tool des FBI sei ausschliesslich zum Ausschalten des russischen Spionageprogramms konzipiert worden. Es tue dies, ohne auf die persönlichen Daten des Opfers zuzugreifen.
Nach Angaben der Behörden wurde die Malware auf Systemen in mehr als 50 Ländern gefunden. Obwohl das FBI Snake lahmgelegt hat und nun Behörden in anderen Ländern informiert werden, wie Snake entfernt werden kann, bleibt das Risiko für infizierte Computersysteme hoch. Das FBI warnt, dass die Hacker fast immer einen Keylogger auf infizierten Systemen einsetzen und mit den erbeuteten Zugangsdaten zurückkehren können, sofern die entsprechenden Passwörter nicht geändert wurden.
Von Russland lag zunächst keine Stellungnahme vor. Die Führung in Moskau bestreitet regelmässig, in Cyberspionage verstrickt zu sein.
Manpower wird in Russland wohl knapper - weil viele IT-Leute das Land verlassen haben.
Geld wird wohl auch eher knapper - da Putin ja viel davon in das Kriegswesen investieren will.
Das ist vermutlich sogar die Wahrheit. Von denen sitzt bestimmt keiner vor den PCs 😄