Sandworm
Sandworm, eigentlich Einheit 74455, ist die amerikanische Bezeichnung für eine Cracking-Gruppe des Russischen Militärgeheimdienstes GRU. Alternative Namen sind Telebots, Voodoo Bear und Hades. Bekannte Attacken sind der Hackerangriff auf die ukrainische Stromversorgung 2015, die Ukrainische Attacke im Jahr 2017 mit Petya oder eine Cyberattacke gegen die Olympischen Winterspiele 2018, wobei das Backend angegriffen wurde. Sitz der Einheit 74455 ist in Chimki das Novator-Bürozentrum in der Kirkow-Straße 22, auch bekannt als „Der Turm“.[1] Am 18. Oktober 2021 veröffentlichte das FBI beziehungsweise das Department of Justice Haftbefehle gegen sechs russische Bürger, die Teil von Sandstorm sein sollen: Juri Andrienko, Sergei Detistow, Pawel Frolow, Artem Otschitschenko, Petr Pliskin und Anatoli Kowalew. Pliskin und Kowalew sollen auch bei einem Crack gegen die Demokraten bei der US-Präsidentschaftswahl 2016 beteiligt gewesen sein (siehe Russische Einflussnahme auf den Wahlkampf in den Vereinigten Staaten 2016).[2]
Cyclops Blink
Seit 2019 existiertet die Malware Cyclops Blink welches Sandstorm zugeschrieben wird. Sie ist ein Modulares Werkzeug und wurde vor allem dafür bekannt, dass sie die Firewalls von Watchguard befällt. Cyclops Blink hat ein Botnetz dahinter und nutzt die Schwachstelle von Watchguard um die Hardware als Comand and Control Server oder als Drohne zu missbrauchen. Die Kommunikation im Botnet wird mit TLS verschlüsselt. Die Malware kann weitere Software herunterladen um sich weiter in das zu attackierend Netz einzudringen. Watchguard hat eine Anleitung veröffentlicht um die Malware zu entfernen.[3][4]
Literatur
- Andy Greenberg: Sandworm: a new era of cyberwar and the hunt for the Kremlin's most dangerous hackers. Knopf Doubleday, 2019, ISBN 978-0-385-54441-2.
Einzelnachweise
- Viktor Davydov, Ivan Golunov, Denis Dmitriev: The Building That Mueller Says Housed A Russian Hacking Unit Was Built By A Nationalist Russian Politician. And the defense ministry is currently looking for people to staff it, an investigation by Meduza found. 18. Juli 2018, abgerufen am 15. Januar 2022 (englisch).
- US Indicts Sandworm, Russia’s Most Destructive Cyberwar Unit. The Department of Justice has named and charged six men for allegedly carrying out many of the most costly cyberattacks in history. 19. Oktober 2020, abgerufen am 15. Januar 2022 (englisch).
- Jakob von Lindern, Eike Kühl, Meike Laaff: Lahmlegen, sabotieren, ablenken. Die Invasion der Ukraine wird begleitet von DDoS-Attacken und Schadsoftware. Welche Rolle spielen die Cyberangriffe in Putins Plan und wie gefährden sie weitere Länder? In: Zeit Online. Zeit Online GmbH, 24. Februar 2022, abgerufen am 25. Februar 2022.
- Dirk Knop: Russische Cybergang: Cyclops-Blink-Botnet befällt WatchGuard-Firewalls. Die russisch-staatliche Cybergang Sandworm hat mit dem Cyclops-Blink-Botnet WatchGuard-Firewalls infiltriert. WatchGuard liefert Anleitungen zur Entfernung. In: Heise.de. 24. Februar 2022, abgerufen am 25. Februar 2022.