Sandworm
Sandworm, eigentlich Einheit 74455, ist die amerikanische Bezeichnung für eine Cracking-Gruppe des russischen Militärgeheimdienstes GRU. Alternative Namen sind Telebots, Voodoo Bear, Iron Viking[1] und Hades[2]. Der Sitz der Einheit 74455 ist in der russischen Stadt Chimki im Novator-Bürozentrum in der Kirow-Straße 22.[3] Leiter der Einheit ist Jewgeni Serebrjakow; erste Meldungen über ihn kamen im März 2023 auf.[4]
Aktivitäten
BearbeitenBekannte Attacken waren der Hackerangriff auf die ukrainische Stromversorgung 2015, die Attacke gegen die Ukraine im Jahr 2017 mit Petya sowie eine Cyberattacke gegen die Olympischen Winterspiele 2018, wobei das Backend angegriffen wurde.[2]
Am 18. Oktober 2021 veröffentlichte die US-Bundespolizei FBI beziehungsweise das Department of Justice Haftbefehle gegen sechs russische Bürger, die Teil von Sandworm sein sollen: Juri Andrienko, Sergei Detistow, Pawel Frolow, Artjom Otschitschenko, Pjotr Pliskin und Anatoli Kowalew. Pliskin und Kowalew sollen auch bei einem Crack gegen die Demokraten bei der US-Präsidentschaftswahl 2016 beteiligt gewesen sein (siehe Russische Einflussnahme auf den Wahlkampf in den Vereinigten Staaten 2016).[2] Inzwischen hat das US-Außenministerium im April 2022 ein Kopfgeld von 10 Millionen US-Dollar ausgelobt, auch um weitere Informationen zur Gruppe zu erhalten.[1]
Im selben Monat hatte die Einheit im Rahmen des Krieges gegen die Ukraine mehrere Angriffe auf Umspannwerke eingeleitet, die jedoch rechtzeitig vereitelt wurden.[5]
Cyclops Blink
BearbeitenSeit 2019 existiert die Malware Cyclops Blink, welche Sandworm zugeschrieben wird. Sie ist ein modulares Werkzeug und wurde vor allem dafür bekannt, dass sie die Firewalls von Watchguard befällt. Cyclops Blink verfügt über ein Botnetz und nutzt die Schwachstelle von Watchguard, um die Hardware als Command and Control Server oder als Drohne zu missbrauchen. Die Kommunikation im Botnet wird mit TLS verschlüsselt. Die Malware kann weitere Software herunterladen, um weiter in das zu attackierte Netz einzudringen. Watchguard hat eine Anleitung veröffentlicht, wie die Malware zu entfernen ist.[6][7]
AcidRain
BearbeitenSandworm entwickelte vermutlich eine Malware, welche unter dem Namen AcidRain bekannt ist. Diese Malware griff in den Anfangstagen des Ukrainekrieges das KA-Sat-9A-Modem an, welches von Viasat Inc. für Internetverbindungen über Satellit benötigt wird. Die Ukraine benutzt solche Modems als Backup. Prominentes Opfer außerhalb der Ukraine war die Firma Enercon, welche den Router von Viasat für die Fernwartung von Windenergieanlagen verwendet.[8]
Ukraine-Krieg
BearbeitenEs wird vermutet, dass sich auch Sandworm im Rahmen des Russischen Überfalls auf die Ukraine mit Cyberattacken auf die Infrastruktur des angegriffenen Landes beteiligt. Im Verlauf des Kriegs konnte folgende Schadsoftware gefunden werden: Orcshred, Soloshred, Awfulshred und CaddyWiper. Zudem wurde eine aktualisierte Fassung der Schadsoftware Industroyer entdeckt, welche schon früher bei Cyberangriffen gegen die Stromversorgung verwendet wurde.[9]
Vulkan Files
BearbeitenIm März 2023 wurden in den Medien die Vulkan Files bekannt, in denen Interna von Sandworm und der IT-Firma NTC Vulkan westlichen Medien zugespielt wurden. Es zeigte sich, dass die russische Firma als Zuträger für Sandworm arbeitet. Die IT-Firma hat u. a. eine Software namens Scan-V geschrieben. Diese Software soll in großem Ausmaß das Internet nach Schwachstellen durchsuchen. Ein anonymer Twitteraccount hatte bereits 2020 darauf hingewiesen, dass NTC Vulkan und Sandworm zusammenarbeiten. Jedoch lieferte der Account keine Belege und niemand sonst veröffentlichte damals etwas zu dieser Verbindung.[10]
Solntsepek
BearbeitenEine Gruppe Namens Solntsepek tauchte im Jahr 2023 auf und attackierte am 12. Dezember des Jahres das ukrainische Telekommunikationsunternehmen Kyivstar mit der Wirkung, dass die Kommunikation des Unternehmens für zwei Tage komplett unterbrochen war. Vermutet wird, dass die Gruppe Sandworm hinter Solntsepek steckt. Solntsepek hatte auch schon das ukrainische Luftalarmsystem erfolgreich attackiert, so dass dieses nicht mehr einsatzbereit war.[11][12]
Literatur
Bearbeiten- Andy Greenberg: Sandworm: a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers. Knopf Doubleday, 2019, ISBN 978-0-385-54441-2.
Weblinks
Bearbeiten- Rene Holt: Sandworm: A tale of disruption told anew. As the war rages, the APT group with a long résumé of disruptive cyberattacks enters the spotlight again. 21. März 2022, abgerufen am 28. Mai 2022 (englisch).
Einzelnachweise
Bearbeiten- ↑ a b Coen Kaat: USA setzen Millionen-Kopfgeld auf Hackerbande Sandworm aus. Wer Informationen zu den Personen hinter der Hackergruppe Sandworm liefern kann, wird reich belohnt: Die USA bieten ein Kopfgeld von bis zu 10 Millionen US-Dollar. Die Hackertruppe ist Teil des russischen Militärs. In: IT-Markt.ch. 28. April 2022, abgerufen am 28. Mai 2022.
- ↑ a b c Andy Greenberg: US Indicts Sandworm, Russia’s Most Destructive Cyberwar Unit. The Department of Justice has named and charged six men for allegedly carrying out many of the most costly cyberattacks in history. 19. Oktober 2020, abgerufen am 15. Januar 2022 (englisch).
- ↑ Viktor Davydov, Ivan Golunov, Denis Dmitriev: The Building That Mueller Says Housed A Russian Hacking Unit Was Built By A Nationalist Russian Politician. And the defense ministry is currently looking for people to staff it, an investigation by Meduza found. 18. Juli 2018, abgerufen am 15. Januar 2022 (englisch).
- ↑ Hakan Tanriverdi, Carina Huppertz: Die paranoide Weltsicht des russischen Staatshackers Serebrjakow. Er leitet Sandworm, eine der gefährlichsten Hackergruppen der Welt: Jewgeni Serebrjakow. Wie dieser Mann denkt, hat er in einer Masterarbeit auf mehr als 90 Seiten ausgeführt. 27. Juni 2023, abgerufen am 27. Juni 2023.
- ↑ Patrick Beuth: Ukraine: Wie russische Hacker den Strom abdrehen wollten. In: Der Spiegel. 14. August 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 15. August 2022]).
- ↑ Jakob von Lindern, Eike Kühl, Meike Laaff: Lahmlegen, sabotieren, ablenken. Die Invasion der Ukraine wird begleitet von DDoS-Attacken und Schadsoftware. Welche Rolle spielen die Cyberangriffe in Putins Plan und wie gefährden sie weitere Länder? In: Zeit Online. Zeit Online GmbH, 24. Februar 2022, abgerufen am 25. Februar 2022.
- ↑ Dirk Knop: Russische Cybergang: Cyclops-Blink-Botnet befällt WatchGuard-Firewalls. Die russisch-staatliche Cybergang Sandworm hat mit dem Cyclops-Blink-Botnet WatchGuard-Firewalls infiltriert. WatchGuard liefert Anleitungen zur Entfernung. In: Heise.de. 24. Februar 2022, abgerufen am 25. Februar 2022.
- ↑ Kai Biermann, Eva Wolfangel: Angriff im Rücken der ukrainischen Armee. Russlands Hacker haben im Krieg gezeigt, wozu sie willens und fähig sind. Auch wenn sie militärisch kaum eine Rolle spielen, sind sie gefährlich – auch für den Westen. In: Zeit Online. Zeit Online GmbH, 23. Februar 2023, abgerufen am 25. Februar 2023.
- ↑ Barbara Steinbrenner: Russische Sandworm-Gruppe wieder aktiv: Hackerangriffe auf ukrainische Stromanlagen. Spezialisten der Cybersecurity-Firma Eset vermuten mit hoher Sicherheit die APT-Gruppe Sandworm hinter den neuesten Attacken. 12. April 2022, abgerufen am 30. März 2023.
- ↑ Sophia Baumann, Hannes Munzinger, Hakan Tanriverdi: Die Sandworm-Spur: Vulkans Verbindung zu Russlands berüchtigten Hackern. Sandworm, die Einheit des Militärgeheimdiensts GRU, attackiert seit Jahren vor allem die Ukraine. Die Vulkan-Files zeigen: offenbar erhalten sie Hilfe aus der Privatwirtschaft. In: Der Standart. 30. März 2023, abgerufen am 30. März 2023.
- ↑ Zwei Tage Blackout: Russische Hacker bekennen sich zu Angriff auf Kyivstar. "Solntsepek" dürfte über enge Verbindungen zur berüchtigten Sandworm-Gruppe des russischen Militärs verfügen oder schlicht eine Tarnung für diese sein. 14. Dezember 2023, abgerufen am 15. Dezember 2023.
- ↑ Andy Greenberg: Hacker Group Linked to Russian Military Claims Credit for Cyberattack on Ukrainian Telecom. A hacker group calling itself Solntsepek—previously linked to Russia’s notorious Sandworm hackers—says it carried out a disruptive breach of Kyivstar, a major Ukrainian mobile and internet provider. 13. Dezember 2023, abgerufen am 15. Dezember 2023 (englisch).
Koordinaten: 55° 53′ 3,4″ N, 37° 27′ 18,8″ O