Sandworm
Sandworm, eigentlich Einheit 74455, ist die amerikanische Bezeichnung für eine Cracking-Gruppe des Russischen Militärgeheimdienstes GRU. Alternative Namen sind Telebots, Voodoo Bear und Hades. Bekannte Attacken sind der Hackerangriff auf die ukrainische Stromversorgung 2015, die Ukrainische Attacke im Jahr 2017 mit Petya oder eine Cyberattacke gegen die Olympischen Winterspiele 2018, wobei das Backend angegriffen wurde. Sitz der Einheit 74455 ist in Chimki das Novator-Bürozentrum in der Kirkow-Straße 22, auch bekannt als „Der Turm“.[1] Am 18. Oktober 2021 veröffentlichte das FBI beziehungsweise das Department of Justice Haftbefehle gegen sechs russische Bürger, die Teil von Sandstorm sein sollen: Juri Andrienko, Sergei Detistow, Pawel Frolow, Artem Otschitschenko, Petr Pliskin und Anatoli Kowalew. Pliskin und Kowalew sollen auch bei einem Crack gegen die Demokraten bei der US-Präsidentschaftswahl 2016 beteiligt gewesen sein (siehe Russische Einflussnahme auf den Wahlkampf in den Vereinigten Staaten 2016).[2] Inzwischen hat die US-Außenministerium im April 2022 ein Kopfgeld von 10 Millionen US-Dollar ausgelobt, um an weiter Informationen zur Gruppe zu erhalten.[3] Im selben Monat hatte die Einheit im Rahmen des Krieges gegen die Ukraine mehrere Angriffe auf Umspannwerke eingeleitet, die jedoch rechtzeitig vereitelt wurden.[4]
Cyclops Blink
Seit 2019 existiert die Malware Cyclops Blink, welche Sandstorm zugeschrieben wird. Sie ist ein Modulares Werkzeug und wurde vor allem dafür bekannt, dass sie die Firewalls von Watchguard befällt. Cyclops Blink verfügt über ein Botnetz und nutzt die Schwachstelle von Watchguard, um die Hardware als Comand and Control Server oder als Drohne zu missbrauchen. Die Kommunikation im Botnet wird mit TLS verschlüsselt. Die Malware kann weitere Software herunterladen, um weiter in das zu attackierende Netz einzudringen. Watchguard hat eine Anleitung veröffentlicht, um die Malware zu entfernen.[5][6]
Literatur
- Andy Greenberg: Sandworm: a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers. Knopf Doubleday, 2019, ISBN 978-0-385-54441-2.
Weblinks
- Rene Holt: Sandworm: A tale of disruption told anew. As the war rages, the APT group with a long résumé of disruptive cyberattacks enters the spotlight again. 21. März 2022, abgerufen am 28. Mai 2022 (englisch).
Einzelnachweise
- ↑ Viktor Davydov, Ivan Golunov, Denis Dmitriev: The Building That Mueller Says Housed A Russian Hacking Unit Was Built By A Nationalist Russian Politician. And the defense ministry is currently looking for people to staff it, an investigation by Meduza found. 18. Juli 2018, abgerufen am 15. Januar 2022 (englisch).
- ↑ US Indicts Sandworm, Russia’s Most Destructive Cyberwar Unit. The Department of Justice has named and charged six men for allegedly carrying out many of the most costly cyberattacks in history. 19. Oktober 2020, abgerufen am 15. Januar 2022 (englisch).
- ↑ Coen Kaat: USA setzen Millionen-Kopfgeld auf Hackerbande Sandworm aus. Wer Informationen zu den Personen hinter der Hackergruppe Sandworm liefern kann, wird reich belohnt: Die USA bieten ein Kopfgeld von bis zu 10 Millionen US-Dollar. Die Hackertruppe ist Teil des russischen Militärs. In: IT-Markt.ch. 28. April 2022, abgerufen am 28. Mai 2022.
- ↑ Patrick Beuth: Ukraine: Wie russische Hacker den Strom abdrehen wollten. In: Der Spiegel. 14. August 2022, ISSN 2195-1349 (spiegel.de [abgerufen am 15. August 2022]).
- ↑ Jakob von Lindern, Eike Kühl, Meike Laaff: Lahmlegen, sabotieren, ablenken. Die Invasion der Ukraine wird begleitet von DDoS-Attacken und Schadsoftware. Welche Rolle spielen die Cyberangriffe in Putins Plan und wie gefährden sie weitere Länder? In: Zeit Online. Zeit Online GmbH, 24. Februar 2022, abgerufen am 25. Februar 2022.
- ↑ Dirk Knop: Russische Cybergang: Cyclops-Blink-Botnet befällt WatchGuard-Firewalls. Die russisch-staatliche Cybergang Sandworm hat mit dem Cyclops-Blink-Botnet WatchGuard-Firewalls infiltriert. WatchGuard liefert Anleitungen zur Entfernung. In: Heise.de. 24. Februar 2022, abgerufen am 25. Februar 2022.