Die Netzwerke amerikanischer Regierungsbehörden, Bildungseinrichtungen und Unternehmen im Energiesektor werden wieder verstärkt von den Fancy Bear Hackern angegriffen. Die Gruppe hat Verbindungen zum russischen Militärgeheimdienst. Nicht auszuschließen ist, dass die Aktivitäten in irgendeiner Verbindung mit den amerikanischen Präsidentschaftswahlen stehen.

Zwischen Dezember 2018 und Mai 2020 begannen die Angriffe auf eine nicht näher bekannt gegebene Zahl von ausgewählten Zielen in den USA. Dies geht aus einer Information des FBI hervor, welche die Behörde Anfang dieses Jahres an Opfer der Angriffe übersandte. Die Ziele der 18-monatige Hacking-Kampagne waren breit gestreut. Fancy Bear, auch bekannt als APT28, führte gezielte Cyberangriffe gegen viele Zielorganisationen durch. Überwiegend wurden E-Mail und VPN-Server, Office 365 und E-Mail-Konten angegriffen.

Die Erkenntnisse aus der Veröffentlichung dieser andauernden Hackerangriffe gegen strategische Ziele in den USA ist besorgniserregend für die Amerikaner. Die zurückliegenden Aktionen der russischen Hacker sind den meisten noch gut im Gedächtnis hängen geblieben. IT-Sicherheitsexperten sind sich einig: Auf das Konto des russischen Militär-Geheimdienstes gehen viele der aggressivsten Hacking-Aktionen in der Cyber-Geschichte. Äußerst destruktive Würmer, Lahmlegung der Stromversorgung und die Manipulation der letzten US-Präsidentschaftswahlen. Auch dieses Jahr stehen wieder US-Wahlen im Kalender. Für die Experten hat es den Anschein, dass die russischen Staatshacker erneut planen, hier Chaos zu verursachen. Aber APT28 hatte, wohl im Auftrag der russischen Regierung, sogar in die internationale Anti-Doping-Agentur WADA angegriffen. Letztendlich war das mit ausschlaggebend für den Ausschluss der russischen Mannschaft von den Olympischen Spielen 2018.

Fancy Bear Hacker: Angriffsmethoden

Sicherheitsexperten lesen aus der FBI-Mitteilung heraus, dass sich die Fancy Bear Hacker Zugang zu Netzwerken mittels Spear-Phishing-E-Mails verschafft hatten. Diese waren sowohl an private als auch an berufliche E-Mail-Konten ihrer Opfer gesendet worden. Auch die Password-Spraying-Technik sei angewendet worden. Password Spraying ist eine Variante des Brute-Force-Angriffs. Bei herkömmlichen Brute-Force-Angriffen versuchen Täter, durch in sehr kurzer Zeit wiederholtes Erraten eines Passworts, Zugang zu einem einzelnen Konto zu erlangen. Mit Password-Spraying-Angriffen umgehen Angreifer die üblichen Abwehrmaßnahmen wie Kontosperrung, indem sie nur sehr wenige Kennwörter, die häufig verwendet werden und meist auch unsicher sind, auf viele Kontenzugänge „versprühet“, und damit bei einigen wenigen Konten einen Zugriff bekommen.

Das FBI alarmierte die Opfer auch über die Aktionen der ebenfalls russischen Hackergruppe Sandworm. Sandworm war dabei beobachtet worden, eine Schwachstelle in Exim-Mail-Servern auszunutzen. Sandworm und Fancy Bear Aktionen würden aber in keinem Zusammenhang stehen, hieß es.

Die Phishing-Angriffe von Fancy Bear scheinen wohl nicht bemerkt worden zu sein von den Opfern. Aufgefallen war ihnen nur, dass Unbefugte ins System eingedrungen waren. Ein Angestellter, der anonym bleiben wollte, sagte, “Sobald sie im Server waren, haben sie ganze Mailboxen gestohlen“. Bekannt ist auch nicht, wie hoch die Erfolgsquote der Angriffe war. Die Sicherheitsfirma FireEye sprach von einer Handvoll Opfer, deren Netzwerke kompromittiert worden waren. Die Hacker hätten dieselbe IP-Adresse verwendet, die APT28 aka Fancy Bear zugeordnet werden. Auch erscheine es so, dass die Hacker keine Systeme mit Malware infiziert hätten. Ziel der Angriffe war es, sich mit den gestohlenen Zugangsdaten ganz normal in den Netzwerken zu bewegen. Unauffälliges Herumschnüffeln also, um möglichst viele Informationen abzugreifen, war wohl das Ziel der Hacker.

Auch ohne Conorna, geht die erste Jahreshälfte 2020 mit Sicherheit in die Cyber-Geschichtsbücher ein als außergewöhnlich. Die Aussichten für die zweite Jahreshälfte bleiben auch spannend.

Artikel von wired.com, 24.07.2020: Russia’s GRU Hackers Hit US Government and Energy Targets

Beitragsbild: Public Domain, Creative Commons CC0, Ulrike Leone über pixabay.com