Seitdem die als GRU bekannte russische Militärbehörde als Hacker, die die US-Wahlen 2016 ins Visier genommen haben, erstmals ins Rampenlicht gerückt ist, wird sie zunehmend als Urheber eines Großteils des dreisten digitalen Verhaltens des Kremls bekannt. Es ist für alles verantwortlich, angefangen von dem ersten von Hackern ausgelösten Stromausfall bis hin zu NotPetya, dem schlimmsten Cyberangriff in der Geschichte, der einen Schaden von 10 Milliarden US-Dollar angerichtet hat.
In den letzten Jahren haben Sicherheitsforscher auch ein Netz von Beweisen gefunden, von denen einige bis jetzt unveröffentlicht geblieben sind, das die Gruppe definitiv mit anderen, mysteriöseren Ereignissen verbindet. Dazu gehören die Verletzung von zwei US-amerikanischen Wahlausschüssen im Jahr 2016, der Cyberangriff auf die Olympischen Winterspiele 2018 und das Hacken der französischen Wahlen im Jahr 2017. Diese Fingerabdrücke verbinden einen Großteil dieses globalen Chaos nicht nur mit der GRU, sondern auch mit der EU zu einer einzigen Gruppe von Hackern innerhalb der Agentur als Sandworm bekannt.
"Diese Gruppe hat die Aufgabe, das aggressivste Verhalten in Russland und möglicherweise das aggressivste in Russland zu zeigen", sagt John Hultquist, Direktor für Geheimdienstanalysen bei der Sicherheitsfirma FireEye, dessen Team Sandworm im Herbst 2008 entdeckte und benannte 2014. "Dieses Verhalten scheint die Bandbreite von Wahlstörungen bis hin zu technischen Störungen des Stromnetzes zu überschreiten. Ich kann mir keine andere Gruppe vorstellen, die behaupten kann, nicht nur so viele dreiste Taten ausprobiert zu haben, sondern sie tatsächlich durchgezogen zu haben."
Ich habe auch die eskalierenden Angriffe von Sandworm in den letzten drei Jahren verfolgt und seine Geschichte in einem Buch, Sandworm, erzählt, das letzte Woche veröffentlicht wurde. Während dieser Berichterstattung haben Sicherheitsforscher von Unternehmen wie FireEye und ESET entscheidende forensische Verbindungen geteilt, die die Hacking-Vorfälle der Gruppe zu einer einzigen, zusammenhängenden und sich entwickelnden Reihe von Vorgängen zusammenfassen.
Die französische Verbindung
Russlands GRU wird seit langem verdächtigt, für die Verletzung verantwortlich zu sein, die 9 Gigabyte an E-Mails aus der Kampagne des französischen Präsidentschaftskandidaten Emmanuel Macron kurz vor den französischen Wahlen Anfang Mai 2017 durchgesickert ist - fast ein Jahr nach der Durchführung einer ähnlichen Kampagne gegen den Demokraten Ausschuss und die Clinton-Kampagne in den USA. Jetzt verbindet ein neuer Datenpunkt der Sicherheitsfirma FireEye diese Operation direkt mit Sandworm, und zwar mit der NotPetya-Malware, die die Ukraine nur einen Monat nach den französischen Wahlen treffen und sich weltweit verbreiten würde.
"Bei diesen Jungs geht es wirklich um die Auswirkungen. Es geht um Sabotage und Störung."
Robert Lipovsky, ESET
Dieser Link begann mit einem Hacking-Tool, das das Cybersicherheitsunternehmen ESET erstmals 2016 entdeckte. Dieses Backdoor-Programm wurde in der Programmiersprache Visual Basic Scripting geschrieben, die Sandworm im Anonymitätsnetzwerk Tor verwendet hatte und das als einer der freiwilligen Computer im Tor-Netzwerk fungierte prallt verschlüsselte Verbindungen auf der ganzen Welt. In diesem Fall scheinen die Hacker diesen Tor-Relay-Trick verwendet zu haben, um die Verbindung von ihrem Command-and-Control-Server zu dem Computer, auf dem sie ihn verwaltet haben, zu unterbrechen.
FireEye-Analyst Michael Matonis sagte, er habe etwas Ungewöhnliches in der Konfiguration der bulgarischen Tor-Staffel bemerkt. Er lehnte es ab, Details mitzuteilen, aus Angst, die Hacker auf die Probe zu stellen. Es ermöglichte FireEye jedoch, eine Sammlung von 20 anderen Tor-Knoten zu finden, die anscheinend alle im Jahr 2017 von derselben Person oder Gruppe erstellt wurden.
Matonis begann, DNS-Einträge, eine Art Telefonbuch für das Internet, zu überprüfen, um festzustellen, welche Domänen unter den IP-Adressen dieser Tor-Knoten gehostet wurden, und googelte dann diese Domänen, um nach anderen Verbindungen zu suchen. Die Suche nach einer der ersten Domains, die er sah - ein scheinbarer, von Google gefälschter Phishing-Link - ergab ein aussagekräftiges Ergebnis. Es erschien in einer der E-Mails, die von den Hackern, die die Macron-Kampagne verletzt hatten, gestohlen und durchgesickert waren.
In ihrer Eile, die E-Mails der Macron-Kampagne zu verbreiten, schien sich die GRU nicht einmal die Mühe gemacht zu haben, den Phishing-Link zu entfernen, den sie sich selbst per E-Mail an ihre Ziele geschickt hatten. Indem sie diesen Phishing-Link in der Menge der gestohlenen E-Mails durchsickerten, legten sie Beweise dafür offen, dass Sandworm die französischen Wahlen von derselben Infrastruktur aus anvisiert hatte, die er später für den NotPetya-Angriff verwenden würde.
Olympischer Zerstörer, Wählerrolle Voyeur
FireEye setzte eine ähnliche Technik ein, um einem der verwirrendsten Cyberangriffe in der Geschichte auf den Grund zu gehen:Der WIRED-Leitfaden für Cyberwar
Die Bedrohung durch den Cyberkrieg droht in der Zukunft: Eine neue Dimension von Konflikten, die dazu fähig ist, Grenzen zu überschreiten und das Kriegschaos zu Zivilisten zu teleportieren, die Tausende von Kilometern hinter ihrer Front stehen.
Von Andy Greenberg
Trotz einer Vielzahl von Codefragmenten, mit denen der Angriff nordkoreanisch oder chinesisch aussehen soll, konnte FireEye ein Phishing-Dokument, das bei den Olympischen Spielen verwendet wurde, mit einer Sammlung anderer Phishing-Dokumente in VirusTotal, einem Malware-Repository, abgleichen. Alle infizierten Anhänge in dieser Gruppierung wurden mit demselben öffentlichen Tool, dem Malicious Macro Generator, erstellt, und auch die Metadaten der Dateien hatten Benutzernamen gemeinsam. Andere Dokumente in der Sammlung schienen auf Ukrainer abzuzielen, darunter LGBT-Aktivisten sowie das Spiez-Labor in der Schweiz, das den Angriff chemischer Waffen auf den GRU-Überläufer Sergey Skripal untersuchte - beides starke Anzeichen dafür, dass russische Hacker hinter der Kampagne steckten. Andere Dokumente in der Sammlung schienen geheimnisvollerweise auf russische Oligarchen abzuzielen.
Aber der FireEye-Analyst Matonis fand schließlich noch aussagekräftigere Beweise. Er verband einen Befehls- und Kontrollserver, der von einem dieser Phishing-Dokumente verwendet wurde, mit einer Domain, die das FBI zuvor für Phishing-Angriffe gegen zwei US-amerikanische Wahlbehörden identifiziert hatte. Im Juli 2018 klagte der Sonderbeauftragte Robert Mueller 12 GRU-Hacker wegen Einmischung in die US-Wahlen an und band das Mitglied der GRU-Einheit 74455, Anatoliy Sergeyevich Kovalev, speziell an die Hacks der Wahlvorstände.
Diese logische Kette impliziert die GRU-Einheit 74455 nicht nur bei der Ausrichtung von Wahlen in den USA, sondern auch bei den Olympischen Spielen 2018. Tatsächlich war der Cyberangriff bei den Olympischen Spielen wahrscheinlich ein Racheakt gegen Russlands Dopingverbot für 2018 gewesen. Und die Verbindungen gehen noch tiefer: Matonis stellte fest, dass viele der von den Hackern von Olympics verwendeten Command-and-Control-Server von denselben beiden Unternehmen, Global Layer und Fortunix, gehostet wurden wie in früheren Sandworm-Kampagnen. Einige dieser Server wurden - genau wie bei den Wahlen in NotPetya und Frankreich - auch als Tor-Relays betrieben. All dies deutete darauf hin, dass der Angriff auf die Olympischen Spiele nicht nur von Russland oder der Einheit 74455 der GRU durchgeführt wurde, sondern insbesondere von derselben Sandworm-Gruppe von GRU-Hackern, die für NotPetya und die Stromausfälle in der Ukraine verantwortlich war.
Hintertüren und Blackouts
Ein größeres Netz forensischer Links, die Sandworms frühere Angriffe zusammenhalten, reicht Jahre zurück. Von 2014 bis 2015 setzte die Gruppe in vielen Fällen Versionen der gleichen BlackEnergy-Malware ein, von Angriffen, die die Daten der ukrainischen Medienunternehmen zerstörten, bis hin zum ersten Blackout, den sie für die ukrainische Zivilbevölkerung verursachte.
Letztes Jahr gab ESET dann bekannt, dass es eine als Exaramel bekannte Hintertür entdeckt hatte, die eine Sicherheitslücke in einem Kundennetzwerk darstellt, die Sandworm zugeschrieben wurde. Die Hacker hatten auch einen benutzerdefinierten Identitätsdiebstahl namens Credraptor verwendet, den ESET in der Vergangenheit nur bei Sandworm verwendet hatte. ESET wies auf die Bedeutung dieser Entdeckung hin: Code von Exaramel war auch bei dem Verstoß gegen das ukrainische Elektrizitätsversorgungsunternehmen aufgetaucht, der Ende 2016 einen zweiten Stromausfall in der Ukraine auslöste - diesmal in der Hauptstadt von Kiew die zweite Hacker-Blackout-Operation, genau wie bei der ersten.
"Es ist wie das Zusammenstellen von Puzzleteilen, Beweisstücken, die im Grunde genommen unser Vertrauen in die Zusammenhänge stärken", sagt ESET-Forscher Robert Lipovsky. Das daraus resultierende Bild, das diese zusammengesetzten Teile ergeben, ist laut Lipovsky eine einzigartig aggressive Gruppe von Hackern. "Bei diesen Jungs geht es wirklich um die Auswirkungen. Es geht um Sabotage und Störung."
