DE | FR
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Blick auf den (damals im Bau befindlichen) Hauptsitz des russischen Gasmonopolisten Gazprom. Aus Putins Russland kommen einige der weltweit gefährlichsten Hackergruppen.
Blick auf den (damals im Bau befindlichen) Hauptsitz des russischen Gasmonopolisten Gazprom. Aus Putins Russland kommen einige der weltweit gefährlichsten Hackergruppen. archivBild: keystone
Analyse

Wegen dieser Elite-Hacker könnte aus dem Ukraine-Krieg ein dritter Weltkrieg werden

Abseits von Anonymous und der «IT Army of Ukraine» infiltrieren staatliche Hackergruppen aus Russland und Belarus westliche Ziele. Aber wie gefährlich sind die militärischen Cybereinheiten wirklich? Eine Einschätzung.
13.03.2022, 06:2129.03.2022, 07:24

Russlands Überfall auf den Nachbarstaat hat Hacktivisten in nie dagewesener Zahl mobilisiert. Seit dem 24. Februar häufen sich die Meldungen über «Cyberangriffe» auf russische Ziele. Anonymous hat Putin den Krieg erklärt.

Dabei handelt es sich vor allem um Aktionen mit Symbolwert, um Online-Vandalismus und «Nadelstiche», die in der Social-Media-Öffentlichkeit gefeiert werden, aber das Kriegsgeschehen nicht wahrnehmbar beeinflussen.

Um die mit Abstand gefährlichsten Gruppierungen blieb es derweil verdächtig ruhig: Während die profitorientierten russischen Ransomware-Banden nach Putins Überfall versuchten, ihre erbosten ukrainischen «Partner» im Zaum zu halten, agierten die staatlichen Elite-Hacker im Dunkeln.

Russlands Invasion war von Server-Überlastungsangriffen begleitet, sogenannten DDoS-Attacken. Der ukrainische Staatsapparat wurden zudem von heimlich eingeschleuster Malware heimgesucht. Ferngesteuerte Wiper-Programme versuchten, Festplatten in Reichweite zu löschen. Und das war‘s?

In einer Artikel-Serie gehen wir der Frage nach, wer die staatlichen Schattenkrieger sind und wie gross ihr Schadenspotenzial wirklich ist. Der erste Teil dreht sich um Russland und Belarus.

Was du über Totenköpfe wissen musst ☠️

Im Folgenden geht es um die Akteure, die abseits der Schlachtfelder im Cyberspace agieren und sich im Gegensatz zu herkömmlichen Soldaten nicht zu erkennen geben und auch keine öffentlichen Verlautbarungen à la Anonymous und Co. verbreiten. Gemeint sind die sogenannten APT-Gruppen (das Kürzel wird in der Infobox unten erklärt).

Es handelt sich um Elite-Hacker, die im Staatsauftrag handeln und machtpolitischen Interessen dienen.
Kuschelbären und böse Pandas
APT-Gruppen sind besonders gefährliche Hackergruppen, die rund um den Globus zuschlagen und dabei spezielle Angriffswerkzeuge und eigene Malware einsetzen.

Das Kürzel APT steht für Advanced Persistent Threat («fortgeschrittene andauernde Bedrohung») und bezieht sich auf aufwändig konzipierte, massgeschneiderte Cyberattacken. Meist geht es den staatlichen Auftraggebern um Spionage, Sabotage sowie Desinformation und Propaganda.

Bei ihren Hackerangriffen gehen die Angreifer sehr zielgerichtet vor und nehmen – wenn erforderlich – einen beträchtlichen Aufwand auf sich, um nach dem ersten Eindringen in einen geschützten Computer das gesamte Netzwerk des Opfers auszukundschaften, «Hintertüren» zu installieren und sich dort unbemerkt für längere Zeit einzunisten.

Öfters verwenden die Angreifer sogenannte Zero-Day-Exploits, um ihre Ziele zu erreichen. Das sind massgeschneiderte Hacking-Tools, die unbekannte IT-Schwachstellen ausnutzen, gegen die noch kein Gegenmittel existiert. Häufig ist Microsoft-Software betroffen, allen voran die Windows-Betriebssysteme sowie Office-Programme.

Die amerikanische IT-Sicherheitsfirma Mandiant begann als erste damit, den im Versteckten agierenden und namenlosen Hackergruppen zwecks Wiedererkennung eine Nummer zu geben – den Anfang machte «APT1», eine Cyberspionage-Einheit der Volksrepublik China.

Ein weiteres bekanntes Schema zur Bezeichnung von staatlichen und staatsnahen Hackern stammt von der Firma Crowdstrike: Dabei erhält jede Gruppe den Namen eines für das Herkunftsland typischen Tieres (z.B. Panda für China, Bär für Russland) sowie einen leicht zu merkenden Begriff, der meist willkürlich auf eine Besonderheit der Gruppe deutet – wie etwa «Wicked Panda» oder «Cozy Bear».

Die IT-Sicherheitsfachleute von Microsoft wiederum verwenden chemische Elemente als Namensgeber, so bezeichnen sie etwa APT25 aus China als «Nickel».

Was die Gefährlichkeit der in dieser Artikel-Serie vorgestellten Hackergruppen betrifft, vergebe ich bei der Beurteilung Totenköpfe. ☠️ Je mehr, desto gefährlicher. Dabei handelt es sich um eine persönliche Einschätzung, die auf bekannten Attacken und gesicherten Informationen von IT-Sicherheitsunternehmen und renommierten Analysten basiert.

Anfang März gab es Malware-Attacken auf europäische Behörden, wobei gezielt Verantwortliche angegriffen wurden, die sich um Hilfsleistungen kümmerten für Kriegsflüchtlinge.
Anfang März gab es Malware-Attacken auf europäische Behörden, wobei gezielt Verantwortliche angegriffen wurden, die sich um Hilfsleistungen kümmerten für Kriegsflüchtlinge.screenshot: twitter

Einzelne APT-Gruppen besitzen mit grösster Wahrscheinlichkeit Cyberwaffen, deren Einsatz ganze Länder ins Elend stürzen können. Wegen des damit verbundenen Risikos eines eskalierenden kriegerischen Konflikts bis hin zu einem Atomwaffen-Einsatz habe ich diese gefährlichsten Akteure zusätzlich mit dem Radioaktivitäts-Symbol ☢️ gekennzeichnet.

Ein anderes Worst-Case-Szenario ist, dass Cyberwaffen in falsche Hände fallen. Dem US-Geheimdienst NSA, einem der mächtigsten Player, ist dies schon mehrfach passiert.

Schliesslich ist daran zu erinnern, dass die verheerendsten Cyber-Attacken der Vergangenheit nie mit absoluter Sicherheit einem Land zugeordnet werden konnten. Die Spezialisten sprechen von einem «Attributionsproblem».

Nach internationalem Recht müssen sich Staaten zu erkennen geben, wenn sie kriegerisch angreifen. Das gilt allerdings nicht für den Cyberspace, wo sich auch die USA und ihre Verbündeten alle Optionen offen halten wollen.

Tatsächlich ist es so, dass viele Cyberangriffe unter falscher Flagge geführt werden – was zu falschen Schuldzuweisungen mit potenziell verheerenden Folgen führen kann.

IT-Forensiker wissen: Je ausgefeilter ein Angriff, desto schwieriger ist es, ihn einem Aggressor zuzuordnen. Die für die Angriffe verantwortlichen IT-Spezialisten bleiben anonym. Höchst selten kommt es zu einer Anklage.

Cozy Bear 🇷🇺

Gefährdungspotenzial: 💀 💀 💀

Auch bekannt als APT29, The Dukes, Nobelium
Mutmassliche Operationsbasis: Russland
Aktiv seit: 2008 (mindestens)
Spezialität: Cyberspionage-Operationen.
Angriffsziele: Die Ziele von APT29 sind hauptsächlich Nato-Verbündete.

Das Hauptziel von Cozy Bear ist es, Nato-Verbündete auszuspionieren, also militärische «Aufklärung» zu betreiben. Die Gruppe hat in der Vergangenheit auch die Nachbarn Russlands attackiert, darunter China, die Ukraine, Usbekistan und andere transkaukasische Nationen.

Die Spear-Phishing-Angriffe von Cozy Duke gelten als dermassen ausgeklügelt, dass es sogar gelingt, Personen mit regelmässigen Cybersicherheitsschulungen zu täuschen – wie Regierungsmitarbeiter und Softwareingenieure.

Einmal eingedrungen, verstehen es die Hacker perfekt, sich für lange Zeit im fremden IT-System einzunisten.

Die Gruppe nutzt selbstentwickelte Schadprogramme, wie etwa «Toolkits», um Netzwerke zu infiltrieren und Daten unbemerkt auszuschleusen. Bekannte Beispiele sind:

  • «CozyDuke»: Das ist ein ganzes Set von Hackerwerkzeugen, das laut IT-Sicherheitsexperten ab 2011 entwickelt wurde, um hochrangige Ziele auszuspionieren.
  • «SeaDuke»: Das ist ein 2014 identifizierter Trojaner, der Teil der umfangreichen «Duke»-Malware-Familie ist. Die Opfer werden normalerweise zuerst mit CozyDuke infiziert, um festzustellen, ob sich Datendiebstahl lohnt.
  • «HAMMERTOSS»: Das ist ein Schadprogramm, das Twitter, GitHub und Cloud-Speicherdienste verwendet, um Befehle der Angreifer weiterzuleiten und Daten aus kompromittierten Netzwerken zu extrahieren.
  • «WellMess»: Das ist ein Remote Access Trojaner (RAT), der es den Angreifern ermöglicht, sich unerkannt in fremden Netzwerken zu bewegen. Er wurde erstmals 2018 bei Angriffen auf japanische Firmen identifiziert. 2020 wurde die Malware mit Russlands APT29 in Verbindung gebracht, als die USA, Grossbritannien und Kanada angaben, russische Hacker hätten sie bei Angriffen auf akademische und pharmazeutische Forschungsinstitute eingesetzt, die an der Entwicklung von Covid-Impfstoffen beteiligt waren.

Wer steckt dahinter?

Cozy Bear gehört laut US-amerikanischen Sicherheitsexperten zum russischen Auslandsgeheimdienst (SWR), und dieser wiederum steht eigentlich in Konkurrenz zum Militärgeheimdienst GRU und dem Inlandsgeheimdienst FSB.

Gelegentlich kooperiert die Gruppe mit einer anderen russischen Cyberspionage-Gruppe namens Fancy Bear. Diese gehört laut Beobachtern zum russischen Militärgeheimdienst GRU, dem gefährlichsten Akteur aufseiten Russlands.

SandWorm / Fancy Bear 🇷🇺

screenshot: iSight / securityaffairs.co

Gefährdungspotenzial: 💀 💀 💀 ☢️

Auch bekannt als Voodoo Bear
Mutmassliche Operationsbasis: Russland
Aktiv seit: 2009 (mindestens)
Spezialität: Cyber-Sabotage, Angriffe auf «Kritische Infrastrukturen», wie etwa die Stromversorgung eines Landes.

Während die USA mit Stuxnet eine Cyberwaffe entwickelten, die Atomwaffen-Zentrifugen zerstören konnte, ist auch Sandworm in der Lage, mit eigener Schadsoftware immensen Schaden in der physischen Welt anzurichten.

Gemäss Einschätzung renommierter IT-Sicherheitsfirmen steckt eine russische Cybermilitäreinheit dahinter. Sie soll dem Militärnachrichtendienst GRU unterstehen.

Ihren Namen erhielt die Hackergruppe, weil Forscher der IT-Sicherheitsfirma iSight Partners im Malware-Code Hinweise auf die Science-Fiction-Romanreihe «Dune» entdeckten.

John Hultquist, Vizepräsident der renommierten US-Cybersicherheitsfirma Mandiant Threat Intelligence, kam am 24. Februar zu einer beunruhigenden Einschätzung:

«Angesichts der Krise in der Ukraine sind wir sehr besorgt über diesen Akteur, der alle anderen, die wir verfolgen, in Bezug auf die von ihm durchgeführten aggressiven Cyberangriffe und Informations-Operationen übertroffen hat.»
quelle: theguardian.com

Erst kürzlich hat Sandworm mit einer Schadsoftware namens Cyclops Blink («Blinzelnder Zyklop») für Schlagzeilen gesorgt. Diese zielt auf WatchGuard-Router in der Ukraine ab und verwandelt Netzwerkgeräte in «Zombies», die für eigene kriegerische Zwecke missbraucht werden können.

Die Gruppe soll auch für die NotPetya-Malware verantwortlich sein, die 2017 zunächst Windows-Rechner in der Ukraine befiel, sich rasend schnell verbreitete und weltweit Schäden in zweistelliger Milliardenhöhe verursachte.

Sehenswerte Doku:

In der Online-Mediathek des deutschen TV-Senders ZDF ist eine sehenswerte Doku unter dem Titel <a target="_blank" rel="nofollow" href="https://www.zdf.de/dokumentation/zdfinfo-doku/schattenwelten-auf-den-schlachtfeldern-der-zukunft-100.html">Schattenwelten: Auf den Schlachtfeldern der Zukunft</a> verfügbar.
In der Online-Mediathek des deutschen TV-Senders ZDF ist eine sehenswerte Doku unter dem Titel Schattenwelten: Auf den Schlachtfeldern der Zukunft verfügbar.screenshot: zdf

Aus Sandworms Entwicklungsabteilung kamen zudem die Schadprogramme «BlackEnergy 3» und «Industroyer», mit denen 2015/2016 ukrainische Industrieunternehmen gehackt und die Stromversorgung lahmgelegt wurde. Unabhängige Fachleute gehen davon aus, dass die Ukraine nur das Versuchslabor war für die digitalen Saboteure. Sie könnten genauso gut auch Industrie-Anlagen in Westeuropa oder den USA attackieren und Blackouts verursachen.

Und damit sind wir wieder beim oben erwähnten Attributionsproblem: Sandworm soll eng mit einer anderen russischen Cyber-Militäreinheit namens Fancy Bear kooperieren, auch Sednit und Sofacy Group genannt. Oder APT28.

screenshot: crowdstrike.com

Nach Einschätzung westlicher Geheimdienste handelt es sich auch hier um eine als Hackerkollektiv auftretende Einheit, die dem russischen Militärgeheimdienst GRU angehört.

Sie soll seit mindestens 2007 aktiv sein und griff in der Vergangenheit gezielt Aussen- und Verteidigungsministerien in der Europäischen Union an. Als die russische Armee während des Kaukasuskrieges 2018 auf georgisches Gebiet vorrückte, richtete sie ebenfalls beträchtlichen Schaden an.

Oder sind Sandworm und Fancy Bear nur zwei Namen für die gleiche Einheit? Dieser These ging der US-Journalist Andy Greenberg nach und recherchierte während Jahren über die Hintergründe russischer Elite-Hacker.

Sein vorläufiges Fazit: Sicher sei, dass der russische Militärgeheimdienst GRU bei allen verheerenden Cyberangriffen auf die Ukraine und den Westen eine zentrale Rolle spielte.

screenshot: watson

Dem GRU werden auch die Hacker von Fancy Bear zugeschrieben, die sich in die US-Präsidentschaftswahlen 2016 einmischten und Donald Trump mit zum Sieg verhalfen.

Der GRU, so scheine es, sei auch der Drahtzieher der ersten von Hackern verursachten Stromausfälle sowie der zerstörerischsten Cyberwaffe, die jemals eingesetzt wurde.

Gemeint ist damit nicht Stuxnet, sondern NotPetya. Das ungeheure Schadenspotenzial dieser Windows-Malware war auf Zero-Day-Exploits zurückzuführen, die dem US-Geheimdienst NSA gestohlen und von unbekannten, mutmasslich russischen Hackern im Internet veröffentlicht worden waren.

Zum Risiko, dass wegen einer solchen Cyberwaffe die Welt aus den Fugen geraten könnte, schreibt Greenberg:

«Die Physik des Cyberspace unterscheidet sich völlig von allen anderen Kriegsgebieten. In dieser Physik, so erinnert uns NotPetya, ist Entfernung keine Verteidigung. Jeder Barbar steht bereits an jedem Tor. Und das Netz von Verstrickungen in diesem Äther, das die Welt in den letzten fünfundzwanzig Jahren geeint und erhoben hat, kann sie an einem Sommertag innerhalb weniger Stunden zum Einsturz bringen.»
quelle: andy greenberg, «sandworm»

Weitere Elite-Hacker aus Russland 🇷🇺

Gefahrenpotenzial: 💀 💀 💀

  • Energetic Bear (auch Dragonfly und Berserk Bear genannt) gilt als älteste bekannte Cyberspionage-Gruppe Russlands. Sie ist seit mindestens 2005 aktiv und nahm vor allem US-Firmen aus dem Energiesektor ins Visier. Sie wird mit dem russischen FSB (ehemals KGB) in Verbindung gebracht, allerdings sei unklar, ob die Gruppe direkt für den Geheimdienst arbeite oder als Auftragnehmerin agiere.
screenshot: thecyberthrone.in
  • Gamaredon (auch Armagedon, Primitive Bear und Actinium genannt): Diese Gruppe wird dem russischen Inlandsgeheimdienst (FSB) zugerechnet. Sie wurde im Juni 2013 aktiv, wenige Monate bevor Russland die Halbinsel Krim gewaltsam von der Ukraine annektierte. Sie soll für tausende Angriffe auf ukrainische Rechner verantwortlich sein.
  • Turla (auch Venomous Bear und Krypton genannt) ist seit mindestens 2014 aktiv und zielte mit Angriffen auf Diplomaten und Regierungsorganisationen sowie Privatunternehmen im Nahen Osten, in Asien, Europa, Nord- und Südamerika und im ehemaligen Sowjetblock ab. Die Liste der bisher bekannten Opfer ist lang und umfasst auch das Pentagon und die Schweizer Rüstungsfirma Ruag.

Zum Schluss kommen wir zu einer APT-Gruppe, die von Sicherheitsexperten nicht Russland selbst, sondern dem Putin-Verbündeten Weissrussland zugerechnet wird.

Ghostwriter 🇧🇾/🇷🇺

screenshot: prevailion.com

Gefahrenpotenzial: 💀💀

Auch bekannt als UNC1151 und TA445
Mutmassliche Operationsbasis: Belarus
aktiv seit: 2017 (mindestens)
Spezialität: Cyber-Spionage mittels «Spear-Phishing», Desinformations-Kampagnen gegen westliche Staaten, Anti-Nato-Operationen in Osteuropa.

Wie die IT-Sicherheitsfirma Proofpoint kürzlich warnte, versuchen prorussische Hacker die europäischen Rettungsversuche für Flüchtlinge aus der Ukraine zu stören.

Die Vorgehensweise lasse auf die weissrussische Hackergruppe schliessen. Ihr war es offenbar gelungen, den E-Mail-Account eines Mitglieds der ukrainischen Streitkräfte zu hacken und darüber Nachrichten mit einer präparierten Excel-Datei zu verschicken. Ziel: Behörden in Europa.

Die Gruppe ziele mit ihren Desinformations-Operationen darauf ab, eine Anti-Flüchtlings-Stimmung in den europäischen Ländern zu schüren und die Spannungen zwischen den Nato-Mitgliedern zu verschärfen, warnen die Fachleute.

«Proofpoint geht davon aus, dass angesichts des anhaltenden Krieges zwischen Russland und der Ukraine Aktionen von Stellvertretern wie TA445 weiterhin auf europäische Regierungen abzielen werden, um Informationen über die Flüchtlingsbewegungen aus der Ukraine und über Themen zu sammeln, die für die russische Regierung von Bedeutung sind.»
quelle: proofpoint.com

Was ist mit den Amerikanern?

Die Schattenkrieger des US-Geheimdienstes NSA und andere prowestliche APT-Gruppen werden in einem weiteren Artikel vorgestellt. Demnächst bei watson. 😉

Quellen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Die bösartigsten Computer-Attacken aller Zeiten

1 / 16
Die bösartigsten Computer-Attacken aller Zeiten
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Russische Hacker beeinflussen politische Debatten

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

77 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
lvsc.
13.03.2022 08:10registriert Februar 2015
Als Politikwissenschaftlerin bin auch ich über einen möglichen Dritten Welkrieg besorgt. Trotzem finde ich, dass man, wenn man einen Artikel über dieses Thema macht, schon den genauen Zusammenhang zwischen den Cyberangriffen und dem Ausbruch des Weltkrieges erklären sollte. Die dazu verwendeten Emojis finde ich ehrlich gesagt auch ein wenig unpassend.
22810
Melden
Zum Kommentar
avatar
Haarspalter
13.03.2022 07:09registriert Oktober 2020
Na dann verlängere ich wohl besser mein Passwort gelegentlich um weitere 2-3 Sonderzeichen!
1125
Melden
Zum Kommentar
avatar
Dopeless_Roemantick
13.03.2022 07:51registriert September 2021
Ist schon interessant zu sehen, von wo und welchen Formaten "Skeptiker" ihre Informationen beziehen, aber keine Ahnung haben, wie ein Quellcode aussieht und was ein GUI ist, aber ihren Quellen zu 100% vertrauen.
Was hinzukommt, ist, dass sogar einige Duckduckgo benutzen um nicht von "Big Brother" getrackt zu werden, aber YT schauen und überall cookies akzeptieren!
934
Melden
Zum Kommentar
77
Dyson hat (heimlich) Haushaltsroboter mit mechanischen Händen entwickelt 😱
Was gruselig klingt, soll die Hausarbeit revolutionieren: Der britische Hersteller will bis 2030 Maschinen auf den Markt bringen, die abwaschen und selbstständig Zimmer aufräumen.

Der bisher vor allem für seine Staubsauger bekannte britische Hersteller Dyson will sein Geschäft auf Roboter für den Haushalt ausweiten. Die Maschinen sollen autonom Hausarbeiten und andere Aufgaben erledigen können.

Zur Story