"The Dukes": Hacker spionieren seit sieben Jahren im Auftrag Russlands

20. September 2015, 13:42
1 Posting

Sicherheitsfirma F-Secure veröffentlicht Bericht über Aktivitäten des Kollektivs

Der Name "The Dukes" ist für Sicherheitsforscher keine Unbekannte. Hinter der Bezeichnung verbirgt sich ein Kollektiv, das manchmal auch unter der Bezeichnung "APT29" firmiert und bereits seit 2008 im Dienste der russischen Regierung stehen soll. Das schreibt das finnische Sicherheitsunternehmen F-Secure in einem Bericht über die Gruppe.

Ausgeklügeltes Vorgehen

Die erste bekannte Malware der "Herzoge" ist dabei vor fast genau sieben Jahren unter dem Namen "Pinch Duke" aufgetaucht. Es folgten 2009 "Gemini Duke" und im Jahr darauf "Cosmic Duke" und "Mini Duke". Letzteres teilte sich auf in einen Loader und einen Backdoor. Zumindest drei der bislang neun identifizierten Toolkits sind heute noch im Einsatz.

Die Hacker versuchen, weit verbreitete Sicherheitslücken auszunutzen und verstecken ihre Angriffe hinter lustigen Videos und anderen Inhalten, die möglichst vielen Nutzern interessant erscheinen sollen. Man verfügt über ausgeklügelte Infrastruktur, um übernommene Systeme fernzusteuern. Über das eigene "OnionDuke"-Werkzeug betreibt man ein Botnet, dessen hunderte Rechner größtenteils in der Mongolei und Indien stehen.

"John Kasai" aus Kärnten und "Obama bin Laden"

Außerdem betreibt man zahlreiche Webseiten. Diese verfügen teilweise über bizarre Angaben zum Registrar. Für die Verbreitung von Malware nutzte man etwa lange den Namen "John Kasai" in Verbund mit einer Kontaktadresse in Kärntens Landeshauptstadt Klagenfurt. Später wurde diese mit einem "Obama bin Laden Karzau" aus dem afghanischen Kabul ersetzt.

Die ersten Angriffe 2008 sollen sich primär gegen Ziele in Tschetschenien gerichtet haben. Seit 2009 werden auch westliche Staaten angegriffen. 2013 fokussierte man sich auch zunehmends auf die Ukraine. Eines der aktuellsten Tools, "Cosmic Duke", setzt weniger auf flächendeckende Angriffe, sondern auf gezielte Attacken auf einzelne Ziele.

Online verfügbar

Das F-Secure-Whitepaper fasst 34 Seiten und liefert auch diverse technische Details zu den Aktivitäten der "Dukes". Es kann online als PDF-Datei abgerufen werden. (gpi, 20.09.2015)

Links

F-Secure

Whitepaper (PDF)

  • Seit 2008 sollen die "Dukes" für Russland tätig sein.
    foto: f-secure

    Seit 2008 sollen die "Dukes" für Russland tätig sein.

Share if you care.