Die staatlich geförderten Hacker in Russland, bekannt als Sandworm, haben einige der aggressivsten und störendsten Cyberangriffe in der Geschichte gestartet: Eindringlinge, die 2014 Malware in die US-Elektrizitätswerke eingeschleust haben, Vorgänge, die in der Ukraine Stromausfälle auslösten - nicht nur einmal, sondern zweimal - und letztendlich NotPetya. der teuerste Cyberangriff aller Zeiten. Laut Google sind jedoch in den letzten Jahren einige der ruhigeren Aktivitäten von Sandworm unbemerkt geblieben.
Auf der heutigen CyberwarCon-Konferenz in Arlington, Virginia, haben die Google-Sicherheitsforscher Neel Mehta und Billy Leonard eine Reihe neuer Details zu Sandworms Aktivitäten seit 2017 beschrieben. Das vielleicht unwahrscheinlichste neue Beispiel für die Taktik von Sandworm ist der Versuch, eine große Anzahl von Android-Handys mit falschen Apps zu infizieren. Sie versuchten sogar, Android-Entwickler zu kompromittieren, um ihre legitimen Apps mit Malware zu infizieren.
Die Google-Forscher sagten, sie wollten auf die übersehenen Vorgänge von Sandworm aufmerksam machen, einer Gruppe, die ihrer Meinung nach nicht so viel Beachtung findet wie die verbundene russische Hacking-Gruppe, die als APT28 oder Fancy Bear bekannt ist, trotz des enormen Ausmaßes des Schadens von Sandworm in Angriffe wie NotPetya und frühere Operationen in der Ukraine. (Sowohl APT28 als auch Sandworm werden allgemein als Teil des russischen Militärgeheimdienstes GRU angesehen.) "Sandworm ist seit langer Zeit genauso wirksam und hat an der CNA-Front erheblichen Schaden angerichtet", sagte Leonard vor WIRED sein CyberwarCon Talk. CNA bezieht sich auf einen Computer-Netzwerk-Angriff, eine Art störendes Hacken, das sich von bloßer Spionage oder Internetkriminalität unterscheidet. "Aber sie hatten immer noch diese langjährigen Kampagnen, die unter dem Radar sind."
"Sandworm nutzte die Ukraine als Testgelände, als Testgelände für neue Aktivitäten."
Billy Leonard, Google
Googles Untersuchung des Android-Targetings von Sandworm begann Ende 2017, ungefähr zur selben Zeit, als laut dem Bedrohungsnachrichtendienst FireEye die Hacker-Gruppe ihre Kampagne zur Unterbrechung der Winterspiele 2018 in Pyeongchang, Südkorea, begonnen zu haben scheint. Leonard und Mehta gaben jetzt an, dass die Hacker von Sandworm im Dezember 2017 auch bösartige Versionen von Android-Apps in koreanischer Sprache erstellt haben, z. B. Transit-Zeitplan, Medien- und Finanzsoftware, und ihren eigenen bösartigen "Wrapper" um diese legitimen Apps und hinzugefügt haben Hochladen von Versionen davon in den Google Play Store.
Google entfernte diese bösartigen Apps schnell aus Play, stellte jedoch bald fest, dass derselbe bösartige Code zwei Monate zuvor zu einer Version einer ukrainischen Mail-App Ukr.net hinzugefügt wurde, die ebenfalls in den App Store von Google hochgeladen wurde. "Das war ihr erster Versuch mit Android-Malware", sagt Leonard. "Wie in der Vergangenheit nutzte Sandworm die Ukraine als Testgelände, als Testgelände für neue Aktivitäten."
Leonard und Mehta sagen, dass Sandworms böswillige Apps trotz der früheren ukrainischen Bemühungen insgesamt weniger als 1.000 Telefone infizierten. Sie sind sich auch nicht sicher, was die Malware bewirken soll. Der bösartige Code, den sie sahen, war nur ein Downloader, der als "Brückenkopf" für andere Malware-Komponenten mit unbekannter Funktionalität fungieren konnte. Das ultimative Ziel hätte von Spionage - Hacking und Weitergabe von Informationen, wie sie die GRU gegen andere Ziele im Zusammenhang mit Olympischen Spielen wie die weltweite Anti-Doping-Agentur durchgeführt hat - bis hin zu einerDie Geschichte des Sandwurms, der gefährlichsten Hacker des Kremls
Von Andy Greenberg
Google sagt nun, dass beide Behauptungen korrekt sind: Sowohl APT28 als auch Sandworm haben Macron als Ziel ausgewählt. Aufgrund seiner Sichtbarkeit in der E-Mail-Infrastruktur gab Google bekannt, dass APT28 die Macron-Kampagne für Wochen im Frühjahr 2017 ins Visier genommen hat, bevor Sandworm am 14. April seine eigenen Phishing-E-Mails sowie schädliche Anhänge verschickte. Einige davon, so Google, Die E-Mails der Kampagne, die kurz vor der Wahl im Mai 2017 versandt wurden, wurden erfolgreich kompromittiert. (Die Google-Konten, die an diesem französischen Wahlhacker beteiligt waren, halfen dem Unternehmen später, Sandworm als den Schuldigen für seine Android-Malware zu identifizieren, obwohl Google es ablehnte, genauer zu erklären, wie diese Verbindung hergestellt wurde.)
Laut Google wurde auch eine der mysteriöseren Kampagnen in der Geschichte von Sandworm verfolgt, die sich im Frühjahr und Sommer 2018 gegen Russen richtete. Zu den Opfern zählten russische Autoverkaufsunternehmen sowie Immobilien- und Finanzunternehmen. Angesichts der weithin anerkannten Abstammung von Sandworm als GRU-Team bleibt das häusliche Hacken ein rätselhafter Widerspruch. Google lehnte es ab, über die Motivationen zu spekulieren.
Sie wies aber auch auf mehr erwartete und laufende Operationen hin, die weiterhin auf Sandworms übliches Opfer abzielen: die Ukraine. Seit Ende 2018 und bis weit in die heutige Zeit hinein haben die Forscher behauptet, Sandworm habe ukrainische Websites im Zusammenhang mit religiösen Organisationen, Regierung, Sport und Medien kompromittiert und dazu geführt, dass sie auf Phishing-Seiten weitergeleitet wurden.
