"Cyberspionage wird von einer Regierung mit Sitz in Moskau gefördert"

28. Oktober 2014, 18:29
10 Postings

Der globale Feldzug russischer Hacker

Anfang des Jahres haben Ermittler der Cyber-Sicherheitsfirma FireEye einer US-Firma einen Besuch abgestattet. Ihre Mission: Herausfinden wer und was genau in das Netzwerk der Firma eingedrungen ist, die über geheime Militärinformationen verfügt.

Sie entdeckten etwas, das sie als hochentwickelte Cyber-Waffe bezeichneten. Diese könne Entdeckungsversuchen ausweichen und zwischen vom Internet abgeschirmten Computern hin- und herspringen. Das Spionagewerkzeug war offenbar auf russischsprachigen Rechnern programmiert und zu Geschäftszeiten in Moskau erstellt worden. FireEye zog daraus folgenden Schluss: "Die Cyberspionage wurde von einer Regierung gefördert - um genau zu sein, von einer Regierung mit Sitz in Moskau." Der Bericht über den Hackerangriff wurde am Dienstag öffentlich gemacht.

Es handelt sich dabei um eine von vier aktuellen Einschätzungen durch Cyber-Sicherheitsfirmen, gestützt durch Berichte von Google und US-Geheimdiensten. Sie deuten auf Russland als Förderer einer hochentwickelten Hacker-Kampagne hin, die auf das Jahr 2007 zurückgeht.

Die angegriffenen Ziele umfassen die NATO, Regierungen russischer Nachbarländer und die amerikanischen Verteidigungs-Dienstleister Science Applications International und Academi. Letztere war früher unter dem Namen Blackwater bekannt.

Zusammengenommen liefern die Berichte Beweise für die Vermutung, die viele US-Vertreter und Ermittler bisher nur hinter vorgehaltener Hand äußerten: Moskau befehligt ein Team von Internet-Spionen.

Chinesen hacken öfter, Russen dafür besser

Die Chinesen, gegen die die US-Regierung schon vorher Vorwürfe der Cyberspionage vorgebracht hat, mögen öfter hacken, sagen US-Offizielle und Experten. Aber die Russen hackten besser.

"Ich mache mir viel größere Sorgen wegen der Russen" als wegen der Chinesen, sagte Amerikas oberster Spion James Clapper, Nationaler Geheimdienstdirektor der Vereinigten Staaten, jüngst bei einem Vortrag über Cyber-Spionage an der Universität von Texas.

Ein US-Offizieller sagte, dass die Abgrenzung krimineller russischer Hacker von Regierungs-Hackern schwierig sei. Die Regierung nutze Instrumente zur Cyber-Überwachung, die von kriminellen Gruppen entwickelt wurden, und Kriminelle nutzen Instrumente, die die Regierung entwickelt hat.

Zum Beispiel hat die US-Regierung immer noch nicht herausgefunden, ob die vielbeachtete und schwierige Infiltration eines geheimen militärischen Systems 2008 von Kriminellen oder von Regierungs-Hackern ausgeführt wurde, weil dasselbe Tool von beiden bereits genutzt wurde, wie Regierungsvertreter sagten. Auch die Infiltration der Systeme der Bank J.P. Morgan Chase war schwierig aufzuklären.

"Sie scheint kriminellen und russischen Ursprungs zu sein", sagte ein Regierungsvertreter. Ob das kriminelle Element mit der Regierung zusammenarbeite, sei aber schwierig zu beantworten. Da gebe es keine eindeutige Schlussfolgerung.

Mit der Untersuchung vertraute Personen sagten, es gebe keine Beweise, die beim Sicherheitsleck von J.P. Morgan auf die russische Regierung hindeuten. Die russische Botschaft antwortete nicht auf die Bitte um einen Kommentar.

Die Beschwerden der USA über die mutmaßlichen Spionageoperationen Moskaus kommen zu einer Zeit, da die Beziehungen zwischen dem Weißen Haus und dem Kreml infolge der Ukraine-Krise an einem Tiefpunkt angelangt sind. Obwohl einige Sicherheitsfirmen davon sprechen, dass es derzeit mehr Attacken mit Verbindungen nach Russland gebe, sagten US-Vertreter, dass es schwierig sei, die Cyber-Angriffe aus Russland zu beziffern. Es sei ein glücklicher Zufall, einen solchen Angriff aufzudecken.

Wer profitiert?

FireEye hatte seine Untersuchungsergebnisse bereits Anfang Oktober dem Wall Street Journal vorgelegt und die darauf folgenden Recherchen ergaben, dass andere Sicherheitsfirmen und die US-Regierung zu ähnlichen Schlüssen gekommen sind.

FireEye hatte seine Ergebnisse auch der US-Regierung zur Verfügung gestellt. "Wer profitiert noch davon?", fragte Laura Galante, FireEye-Managerin und ehemalige Russland-Analystin für das US-Verteidigungsministerium in dem Bericht. "Es sieht so sehr nach etwas aus, das aus Russland kommt, dass wir diese Schlussfolgerung nicht vermeiden können."

Die FireEye-Tochter Mandiant hatte sich 2013 einen Namen gemacht, als sie eine Hacker-Gruppe des chinesischen Militärs aufdeckte, die aus einem Bürogebäude in Schanghai heraus operierte. Das US-Justizministerium konnte viele der Enthüllungen von Mandiant bestätigen. Im Mai wurden sogar fünf Offiziere der Volksbefreiungsarmee wegen Diebstahls von US-Handelsgeheimnissen angeklagt. FireEye hat Mandiant im Januar für 1 Milliarde US-Dollar übernommen.

Angriff über USB-Sticks

Im Fall der russischsprachigen Hacker haben die Ermittler innerhalb und außerhalb der Regierung ihre Informationen miteinander verglichen und sind sich nun sicher, dieselbe Gruppe zu jagen. Sie tauften das von FireEye beschriebene Spionage-Tool "Sofacy".

Die Ermittler von FireEye sagten, sie hätten mit allem, aber nicht mit so etwas gerechnet, als sie von der US-Firma mit der Überprüfung des Netzwerks beauftragt wurden. Die Firma, deren Namen die Ermittler nicht nennen wollten, hatte sensible Daten verloren. Aber es gab keine digitalen Fingerabdrücke, wie sie chinesische Hacker oft hinterlassen, sagen die Ermittler. Stattdessen war auf der Schadsoftware nur Müll zu finden.

Die Schadsoftware ist mit Abwehrmechanismen ausgestattet, die die Ermittler daran hindern sollen, ihre Funktionsweise herauszufinden. Die gestohlenen Daten wurden zur Tarnung so verschlüsselt und exportiert, dass der Vorgang dem E-Mail-Verkehr des Opfers ähnelte. FireEye-Analysten kamen zu dem Schluss, dass die dafür verantwortliche Hacker-Gruppe mindestens seit 2007 aktiv ist und ihre Hacking-Instrumente stetig modernisiert hat. Die Autoren der Schadsoftware haben diese außerdem so programmiert, dass sie bei Bedarf auch Daten von Rechnern sammeln kann, die gar nicht mit dem Internet verbunden sind, indem sie sich etwa über USB-Sticks weiterverbreitet.

Regierungen trennen Computer mit hochgradig sensiblen Daten oft vom Internet ab, um sich gegen Cyber-Spione zu schützen. Aber Regierungsspione in den USA und anderswo haben bereits in der Vergangenheit USB-Laufwerke genutzt, um diese Sicherheitsvorkehrung zu umgehen. Die russischen Hacker nutzten diese Methode etwa beim Eindringen in die Systeme des US-Verteidigungsministerium 2008, sagten US-Offizielle. Das seien hochmoderne Waffen, sagte FireEye-Managerin Galante.

Hacken zu Bürozeiten

Die Autoren der Schadsoftware Sofacy haben an dem Code offenbar immer zwischen 8 Uhr morgens und 6 Uhr abends Moskauer und Sankt Petersburger Zeit gearbeitet – wie Analysten, die an ihrem Schreibtisch zu Bürozeiten arbeiten, sagte Galante. Die meisten der dazu verwendeten Computer hätten russische Spracheinstellungen genutzt, fanden die Ermittler von FireEye und Google heraus.

Sehr aussagekräftig ist laut den Ermittlern, die Tatsache, dass die Hacker die Schadsoftware fast ausschließlich in Zielobjekten verbreitet haben, die von Interesse für Russland sein dürften: Regierungsnetzwerke im Kaukasus und Osteuropa, US-Verteidigungs-Dienstleister und die Nato. FireEye hat etwa eine gut gemachte Phishing-Mail an einen georgischen Journalisten entdeckt, die vorgab, von einem Redakteur des libertären Magazins "Reason" zu stammen.

In einem weitere Phishing-Angriff fand die Sicherheitsfirma Trend Micro heraus, dass die Hacker-Gruppe falsche Webseiten erstellt hat, die Mitarbeiter bei Academi dazu bringen sollten, ihre beruflichen Kontaktdaten weiterzugeben, wie der für Cyber-Sicherheit zuständige Manager Tom Kellermann berichtete. Eine dieser Seiten, die leicht falsch geschriebene academl.com, wurde nur wenige Wochen erstellt, nachdem die russische Regierung eine Firma mit Verbindungen zu Academi beschuldigt hatte, Söldner in die Ukraine zu entsenden, um die dortige Regierung zu unterstützen.

Academi hat jegliche Beteiligung in der Ukraine von sich gewiesen. Eine Sprecherin wollte keinen weiteren Kommentar dazu abgeben.

Trend Micro sagte, die Hacker-Gruppe habe ähnliche Techniken bei der Firma Science Applications International (SAIC) angewendet. Eine Sprecherin von SAIC sagte, die Firma scheine Ziel eines Hackerangriffs über falsche Webseiten geworden zu sein. Der Angriff sei aber abgewehrt worden.

Fancy Bear und Tsar Team

Zwei andere Cyber-Sicherheitsfirmen mit engen Verbindungen zu Bundesstrafverfolgungsbehörden der USA, Crowdstrike und iSight Partners, betitelten die Hacker hinter der Sofacy-Schadsoftware mit "Fancy Bear" und "Tsar Team". Manager der beiden Unternehmen sagten, die Namen spielten auf Russland an.

Die Google-Ermittler nennen Russland nicht explizit in ihrem Memorandum an die Heimatschutzbehörde. Stattdessen bezeichneten sie die Hacker in dem 41 Seiten dicken Dokument, in das das Wall Street Journal Einblick hatte, als "hochentwickelte, staatlich unterstützte Gruppe" und notierten, dass die Computer, auf denen die Cyber-Waffen entwickelt wurden, auf russische Spracheinstellungen verwendete. Ein Google-Sprecher bestätigte die Existenz und den Inhalt des Dokuments. (DANNY YADRON und
SIOBHAN GORMAN, WSJ.de/derStandard.at, 28.10. 2014)

Share if you care.