Cozy Bear

Cozy Bear oder APT29 ist eine russische Gruppe von Crackern bzw. Hackern, die im Auftrag der russischen Regierung operiert.^[1][2] Alternative Namen sind CozyCar, CozyDuke, Dark Halo, The Dukes, NOBELIUM, Office Monkeys, StellarParticle, UNC2452, YTTRIUM^[2] und Midnight Blizzard.^[3] Gesteuert wird die Gruppe laut übereinstimmenden Experteneinschätzungen vom russischen Auslandsnachrichtendienst SWR.^[1] In älteren Veröffentlichungen wurde Cozy Bear eher dem FSB zugerechnet.^[4]

Spektakulärste Aktion bislang war die Russische Einflussnahme auf den Wahlkampf in den Vereinigten Staaten 2016 zugunsten von Donald Trump.

Tätigkeiten[Bearbeiten | Quelltext bearbeiten]

Cozy Bear ist seit mindestens 2008 aktiv. Den Crackern werden eine Reihe von Cyber-Attacken zugeschrieben.

MiniDuke[Bearbeiten | Quelltext bearbeiten]

Aus den Vulkan Files und Recherchen der Threat Analysis Group (TAG) von Google ergibt sich, dass die Gruppe bereits im Jahr 2012 in eine Malware-Kampagne russischer Hacker involviert gewesen sein soll, unter Verwendung von Schadprogrammen der NTC Vulkan.^[5] Das Kaspersky Lab entdeckte am 27. Februar 2013 in 20 Ländern auf den Rechnern von Europäischen Regierungsorganisationen und Firmen den Computervirus „MiniDuke“.^[6] Die Verbindung von Software-Schmiede und Hackergruppe wurde Ende 2012 von Google entdeckt: Eine E-Mail-Adresse, die man später MiniDuke zuschreiben konnte, sandte eine Testnachricht an NTC-Vulkan. Mit solchen Testnachrichten werden Schadprogramme auf ihre Tauglichkeit getestet. Mit der Malware wurden die Rechner von zahlreichen westlichen Diplomaten, Beamten und Militärangehörige infiziert.^[7]

Mutmaßlich mit derselben Schadsoftware wurden im Jahr 2013 Attacken auf Europäische Außenministerien gestartet. Diese subversiven Angriffe wurden – unter dem Namen Operation Ghost – der Gruppe angelastet, sie erhielt in Folge auch den alternativen Namen The Dukes. Seit dem Jahr 2016 soll die Gruppe die Duke-Malware weiter entwickelt und neue hochkarätige Ziele kompromittiert haben. Die Malware-Tools PolyglotDuke, RegDuke and FatDuke waren schwerer aufzuspüren und sollen ab Mitte 2019 zum Einsatz gekommen sein. Das Unternehmen für Sicherheitssoftware ESET erstellte eine Timeline.^[8]

Weitere Hackerangriffe[Bearbeiten | Quelltext bearbeiten]

Der Crack auf das Democratic National Committee (DNC) im Jahr 2016 soll gemeinsam von den Hackergruppen APT28 und Cozy Bear (APT29) durchgeführt worden sein. Eine Malware names WellMess griff im Jahr 2018 japanische Firmen an. Nach anfänglichem Unwissen über die Identität des Angreifers konnte sie im Jahr 2020 der APT29 zugeschrieben werden, nachdem kanadische, US-amerikanische und britische Stellen Attacken auf pharmazeutische Ziele im Zuge der Covid-19-Pandemie feststellten. Eine weitere Attacke der Gruppe richtete sich gegen SolarWinds. 2021 war Cozy Bear zudem erfolgreich in das Netz der Dänischen Nationalbank eingedrungen. Die Gruppe blieb über sechs Monate in der Bank unentdeckt.^[2]

Im Jahr 2014 gelangte es Zeitungsberichten zufolge dem niederländischen Geheimdienst AIVD, bei der Gruppe Cozy Bear einzudringen. Der AIVD konnte damit die Aktivitäten verfolgen, welche die russische Einheit durchführte, und zudem auch die Sicherheitskameras der Einheit abschöpfen und so herausfinden, welche Personen hinter der Gruppe stecken. Auch konnte der Geheimdienst mitverfolgen, wie die Gruppe das DNC angriff, er übergab einige Unterlagen dem NSA und dem FBI. Von den Niederlanden wurden die genannten Tätigkeiten nicht bestätigt.^[9]

Im Januar 2024 griff Midnight Blizzard nach Angaben von Microsoft auf einen „sehr kleinen Prozentsatz“ von E-Mail-Konten von Microsoft-Mitarbeitern zu, darunter laut Microsoft Mitglieder des Führungsteams und Mitarbeiter aus den Bereichen Cybersicherheit, Recht und anderen Bereichen.^[3]

Im März 2024 versuchte Cozy Bear laut Analyse der IT-Sicherheitsfirma Mandiant mehrere deutsche Parteien mit Schadsoftware anzugreifen. CDU-Mitglieder erhielten gefälschte E-mails, die mit Schadsoftware verbunden waren.^[1]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b c} Gefährlicher E-Mail-Anhang: Kreml-Hacker greifen deutsche Parteien an. In: Der Spiegel. 22. März 2024, ISSN 2195-1349 (spiegel.de [abgerufen am 22. März 2024]). 
2. ↑ ^{a b c} APT Profile: Cozy Bear / APT29. 17. März 2023, abgerufen am 2. April 2023 (englisch). 
3. ↑ ^{a b} Russische Gruppe hackt Microsoft. In: Der Spiegel. 20. Januar 2024, ISSN 2195-1349 (spiegel.de [abgerufen am 20. Januar 2024]). 
4. ↑ Josh Meyer: Cozy Bear Explained: What You Need to Know About the Russian Hacks. The attacks, and what could happen next, are keeping U.S. intelligence officials awake at night. 15. September 2016, abgerufen am 2. April 2023 (englisch). 
5. ↑ Der Standard: Das sind die Hacking-Tools, die russische Geheimdienste laut den Vulkan-Files bestellen,1. April 2023
6. ↑ Spiegel Online: Neuer Computervirus: MiniDuke spioniert Europas Regierungen aus vom 27. Februar 2013
7. ↑ Der Spiegel: Sandwurm und Schlange, N. 14, 1. April 2023, S. 80f
8. ↑ ESET: Operation Ghost: The Dukes Malware‑Update, abgerufen am 6. April 2023
9. ↑ Joshua Ball: Russian Hacker Group Cozy Bear Was Hacked By Dutch Intelligence Service. The Netherlands’ AIVD gave the FBI critical evidence of the Russian government’s involvement in the 2016 hacking of the U.S. Democratic National Committee. In: Global Security Review. 10. Juni 2019, abgerufen am 5. April 2023 (englisch).