Sofacy Group

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Die Sofacy Group (Advanced Persistent Threat 28 (APT28)) (auch Fancy Bear) ist eine als Hackerkollektiv auftretende Gruppierung, die darauf spezialisiert ist, prominente Ziele anzugreifen und vertrauliche Informationen zu stehlen. Die Gruppe ist seit etwa 2004[1] aktiv und wird nach Einschätzung deutscher und internationaler[2] Sicherheitskreise von den russischen Geheimdiensten FSB und GRU kontrolliert.[3] Mehrere Angriffe auf Computer der Demokraten im Zusammenhang mit der Präsidentschaftswahl in den Vereinigten Staaten 2016 ordneten die US-Geheimdienste NSA und Homeland Security unter anderem dieser Gruppe zu und machten die Regierung der Russischen Föderation dafür verantwortlich.[4]

Hintergrund[Bearbeiten | Quelltext bearbeiten]

Die überwiegende Mehrheit der IT-Sicherheitsexperten[2] und westliche Geheimdienste[2] gehen davon aus, dass die Sofacy Group dem russischen Militärgeheimdienst zuzuordnen ist. Umfang der Angriffe, die zur Verfügung stehenden Ressourcen und vor allem die Ziele deuten auf ein politisches Interesse im Sinne der russischen Regierungen hin. Unabhängige Sicherheitsexperten wiesen 2016 darauf hin, dass zwar einiges für die Zugehörigkeit der Gruppe zu russischen Geheimdiensten spreche, dies aber nicht ausreichend belegt sei.[5][6]

Die Gruppe firmiert unter mehreren Namen. Die Abkürzung „APT 28“ geht auf den Report der Sicherheitsfirma FireEye vom Februar 2013 zurück, der den Titel „APT28 – A Window Into Russia’s Cyber Espionage Operations?“ trug.[7] Andere Namen der Hackergruppe sind neben Fancy Bear auch Pawn Storm, Sed-nit und Tsar Team.[8]

Die Firma sammelte eine Reihe technischer Charakteristika in den Protokollen der Angriffe, mit denen sie APT28 identifizierte. So fanden sich in den Protokollen über sechs Jahre lang immer wieder russischsprachige Kommandozeilen.

Angriffe[Bearbeiten | Quelltext bearbeiten]

Laut FireEye, einem US-Unternehmen für Netzwerksicherheit, griff die Gruppe auch europäische Rüstungsmessen an. Dazu gehörten die EuroNaval 2014, die EUROSATORY 2014 und die Counter Terror Expo sowie die Farnborough Airshow 2014.[9] FireEye erklärte aber, in seinem Report zu APT28 nur Angriffsziele der Gruppe erwähnt zu haben, die auf eine Nähe zu Regierungsstellen schließen lassen, und andere Angriffe nicht berücksichtigt zu haben.[5] Nach Berichten von PricewaterhouseCoopers[10] und Bitdefender waren aber auch Webprovider sowie Telekommunikations- und Energieunternehmen unter den Angriffsobjekten[5].

2015 wurde nach Hinweisen einer englischen Firma auf zwei Rechnern der Linken im Bundestag Malware gefunden.[11] Eine investigative technische Analyse des IT-Sicherheitsforschers Claudio Guarnieri kam zu dem Ergebnis, dass wahrscheinlich Sofacy hinter der Schadsoftware auf Fraktionsrechnern stecke. Guarnieri schreibt, dass die Zuordnung von Malware-Angriffen niemals leicht sei, aber er im Laufe der Untersuchung Hinweise darauf gefunden habe, dass der Angreifer mit der Sofacy Group zusammenhängen könnte.

Im Frühjahr 2015 kaperte mutmaßlich Sofacy insgesamt 14 Server des Deutschen Bundestages und erbeutete Daten im Volumen von 16 Gigabyte (Cyberattacke auf den Bundestag).[12]

Im Februar 2015 verschickte APT28 im Namen der Hackergruppe „CyberCaliphate“ des Islamischen Staates (IS) Drohnachrichten an Familien amerikanischer Soldaten. Die Nachrichten lösten großes Medieninteresse und eine öffentliche Debatte über die Reichweite des IS im Internet aus. Die verdeckte Operation der russischen Hacker hatte das mutmaßliche Ziel, in der amerikanischen Gesellschaft ein Gefühl der Bedrohung durch islamistischen Terrorismus zu verstärken. Kontakte zwischen „CyberCaliphate“ und APT28 wurden zuvor dokumentiert und die beiden Gruppen gelten als eng miteinander verbunden. Im April 2015 wurde der französische Sender TV5 Monde Opfer eines Hackerangriffs, bei dem das „CyberCaliphate“-Logo auf der Webseite des Senders eingeblendet war. Im Sommer des Jahres deckten französische Ermittler von der Agence nationale de la sécurité des systèmes d’information schließlich auf, dass der Hackerangriff keinen islamistischen Hintergrund hatte, sondern von Moskau ausging.[13][14]

2016 gelang es dem Hacker Guccifer 2.0, in Computersysteme der Demokratischen Partei einzudringen und Daten des bevorstehenden Präsidentschaftswahlkampfes in den Vereinigten Staaten 2016 in seinen Besitz zu bringen. Aus diesem Datensatz wurden mehrere Male Informationen der Enthüllungsplattform Wikileaks zugespielt. Hinter den Angriffen stand nach der Meinung von Sicherheitsfirmen eine Hackergruppe, die von verschiedenen Sicherheitsexperten verschiedene Namen, darunter auch Sofacy, erhielt. Die Sicherheitsfirmen gingen von einem aus Russland gesteuerten Angriff aus, diese Einschätzung machten sich das amerikanische Heimatschutzministerium und der Director of National Intelligence – der dem Zusammenschluss aller US-Nachrichtendienste vorsteht – zu eigen und beschuldigten die Spitzen der russischen Regierung, für die Angriffe verantwortlich zu sein[15]. Russland wies die Vorwürfe zurück.[4] Auch Julian Assange wies in einer Stellungnahme die „an Senator McCarthy erinnernden“[16] Vorwürfe einer Zusammenarbeit mit Russland zurück. Wikileaks habe die Informationen veröffentlicht, weil sie für die Meinungsbildung in den USA wichtig gewesen seien und sei dabei durch das First Amendment gedeckt. Vergleichbare Informationen über Interna anderer Präsidentschaftskandidaten habe Wikileaks nicht gehabt.[17]

Ob Guccifer 2.0 aber tatsächlich vom russischen Geheimdienst gegen die demokratische Partei der USA eingesetzt wurde oder ob eine unbekannte Gruppe oder Person charakteristische Teile der bekannten Programmierung für den Angriff benutzt hat, lässt sich nach Einschätzung von Beobachtern bislang nicht zweifelsfrei beweisen.[6]

Die Fancybearsoftware, die beim Angriff auf die Demokratische Partei benutzt wurde, wurde nach Angaben der Firma CrowdStrike in abgewandelter Form auf mobilen Geräten mit Android-System gefunden, die von Personal der Ukrainischen Armee im Krieg in der Ukraine seit 2014 benutzt wurden. Um die Geräte zu infizieren, boten die Angreifer in Internetforen auf Ukrainisch eine App an, die die Feuerleistung ukrainischer Artillerie erleichtern sollte. Diese manipulierte Version des ukrainischen Originalprogramms gab zwar vor, authentisch zu funktionieren, brachte aber keinerlei militärische Vorteile und erlaubte es den Angreifern, die Standortdaten und Kommunikation der entsprechenden Benutzer auszulesen, die so unwissentlich die Stellungen der ukrainischen Artillerie verrieten.[18]

Angriffszeitraum Betroffene Art des Angriffs Wirkung / Hintergrund Zuordnende Person / Einrichtung
2008 Mehrere Ministerien Georgiens Kaukasuskrieg, russische Streitkräfte waren am 8. August 2008 auf georgisches Territorium vorgerückt u. a. netzpolitik.org[19]
2009 Kavkaz Center Dschihadistsiches Zentrum in Tschetschenien FireEye
2014 Verteidigungsministerien der Länder Bulgarien, Polen, Ungarn und Albanien. Systematische Infiltrierung Datenabfluss Die Zeit
2015–2016 Dänisches Verteidigungsministerium und

Dänisches Aussenministerium

Hack von Email-Kommunikation und Servern angeblich keine klassifizierten Informationen abgeflossen Zentrum für Cybersicherheit des Dänischen Parlaments[20]
2015 Deutscher Bundestag Angriff und Hack von Abgeordneten-Rechnern Datenabfluss von Email-Kommunikation und Dokumenten in unbekanntem Umfang, Angriff u. a. auf Mitglieder des Parlamentarisches Kontrollgremium für die Geheimdienste und MdBs mit Russlandbezug Bundesverfassungsschutz[21]
2016 Ukrainische Streitkräfte im Einsatz Fake-App Попр-Д30.apk Der ukrainische Artillerieoffizier Yaroslav Sherstuk entwickelte für ukrainische Soldaten eine App, um die Zielerfassung für die weit verbreitete sowjetische D-30 Haubitze im Ukrainekonflikt zu beschleunigen. Die Sofacy Group entwickelte und lancierte eine nachgebaute App, die Zieldaten und Position des Geschützes an die russische Seite abfließen lässt.[22][18] Crowd Strike Security Group
2016 Democratic National Convention

Demokratische Partei der USA

Hackeraffäre zwischen den USA und Russland Durch einen Hack der Kommunikationsinfrastruktur der Demokratischen Partei und lancierte Falschmeldungen kam es zu einer Störung des Präsidentschaftswahlkampfes in den USA 2016. Ende 2016 teilte die Nachrichtendienstgemeinschaft der Vereinigten Staaten mit, Russland habe eine Operation mit dem Grizzly Steppe durchgeführt. FBI u. a.
2017 Datennetz der Bundesverwaltung – Informationsverbund Berlin-Bonn Schadsoftware Noch nicht abzusehen[23] Bund

Methoden[Bearbeiten | Quelltext bearbeiten]

Sofacy ist dafür bekannt, häufig Phishing-Angriffe zu nutzen. Dies bringt die Angegriffenen dazu, ihre Anmeldedaten in einen realistisch aussehenden Nachbau interner Systeme wie Webmailer einzugeben. Diese Technik wurde beispielsweise in den berühmten Attacken gegen das georgische Innenministerium eingesetzt, die den Kämpfen in Georgien im Kaukasuskrieg 2008 vorausgingen.[19]

Das Bundesministerium für digitale Infrastruktur warnte im März 2016 vor zahlreichen Internetadressen, die zur Verbreitung von Schadsoftware von der Sofacy Group eingerichtet worden seien.[3]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Die russische Angriffskampagne APT 28 – aktuelle Entwicklungen. Bundesamt für Verfassungsschutz, abgerufen am 28. Februar 2018.
  2. a b c Was Sie über den Hackerangriff auf das Regierungsnetz wissen müssen, Jannis Brühl und Hakan Tanriverdi, sueddeutsche.de, 1. März 2018
  3. a b Frank Jansen: Verfassungsschutz warnt vor Internetattacken aus Russland. In: Der Tagesspiegel, 12. März 2016.
  4. a b US officially accuses Russia of hacking DNC and interfering with election, Spencer Ackerman, Sam Thielman, The Guardian, 8. Oktober 2016
  5. a b c The DNC Breach and the Hijacking of Common Sense, Jeffrey Carr, medium.com, 19. Juni 2016
  6. a b Here’s the Public Evidence Russia Hacked the DNC — It’s Not Enough, Sam Biddle, The Intercept, 14. Dezember 2016
  7. FireEye, Inc. | APT28: A Window Into Russia's Cyber Espionage Operations? Abgerufen am 17. Mai 2017 (englisch).
  8. Die russische Angriffskampagne APT 28 – aktuelle Entwicklungen. Bundesamt für Verfassungsschutz, abgerufen am 16. Mai 2018.
  9. APT28 Russian hackers exploited two zero-day flaws in the wildSecurity Affairs
  10. Cyber Threat Operations: Tactical Intelligence Bulletin / Sofacy Phishing In: PriceWaterhouseCoopers, 22. Oktober 2014 (PDF, englisch).
  11. Fabian A. Scherschel: Bundestags-Hack: Angriff mit gängigen Methoden und Open-Source-Tools. In: heise online, 7. März 2016.
  12. Sonja Álvarez, Frank Jansen: Was passiert ist, wer dahinter steckt, was Kunden tun können. In: Der Tagesspiegel. 28. November 2016.
  13. Russian hackers posed as IS to threaten military wives. In: Associated Press, 8. Mai 2018.
  14. Russische Hacker geben sich als IS aus - und bedrohen Familien von US-Soldaten. In: Yahoo Nachrichten, 8. Mai 2018.
  15. Joint Statement from the Department of Homeland Security and Office of the Director of National Intelligence on Election Security, Office of the Director of National Intelligence, 7. Oktober 2016, Wortlaut des Statements
  16. Assange Statement on the US Election, Wikileaks, 8. November 2016
  17. Statement by Julian Assange on U.S. Presidential Election, Julian Assange, Newsweek, 8. November 2016
  18. a b Dustin Volz: "Russian hackers tracked Ukrainian artillery units using Android implant: report" Reuters vom 22. September 2016
  19. a b Digitaler Angriff auf den Bundestag: Investigativer Bericht zum Hack der IT-Infrastruktur der Linksfraktion – netzpolitik.org
  20. Neil Macfarquhar: Denmark Says ‘Key Elements’ of Russian Government Hacked Defense Ministry. In: The New York Times. 24. April 2017, ISSN 0362-4331 (nytimes.com [abgerufen am 15. Mai 2017]).
  21. Patrick Beuth, Kai Biermann, Martin Klingst, Holger Stark: Bundestags-Hack: Merkel und der schicke Bär. In: Die Zeit. 11. Mai 2017, ISSN 0044-2070 (zeit.de [abgerufen am 15. Mai 2017]).
  22. Join Our Team, Revolutionize Cyber Security with CrowdStrike. (crowdstrike.com [abgerufen am 15. Mai 2017]).
  23. Sicherheitskreise : Russische Hacker dringen in deutsches Regierungsnetz ein. Abgerufen am 28. Februar 2018 (deutsch).