Abo
  • IT-Karriere:

Grizzly Steppe: FBI nennt 900 IP-Adressen russischer Hackerangriffe

Nach den Sanktionen folgen die Indikatoren: Die US-Regierung veröffentlicht ihre Analyse zu den angeblich russischen Hackerattacken auf weltweite Institutionen. Auch über IP-Adressen aus Deutschland sollen die Angriffe gelaufen sein.

Artikel veröffentlicht am ,
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben.
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben. (Bild: FBI/Screenshot: Golem.de)

Die Namen der Hackergruppen kommen einem sehr bekannt vor: In einer gemeinsamen Analyse listen das US-Heimatschutzministerium und die US-Bundespolizei FBI gleich 48 Bezeichnungen von zwei Gruppen auf, die im Auftrag Russlands weltweit Cyberattacken ausführen sollen. Darunter ATP 29, APT 28, Cozybear, Fancybear, Sandworm, Sofacy und wie sie alle heißen. Nun werden die Aktivitäten dieser Gruppen unter dem Codewort "Grizzly Steppe" den zivilen und militärischen russischen Geheimdiensten zugeordnet. Auf dieser Grundlage hatte US-Präsident Barack Obama am Donnerstag Sanktionen gegen Russland verkündet.

  • Über einen "neutralen Bereich" sollen die Hackergruppen APT 29 und APT 28 ihre Angriffe ausgeführt haben. (Grafik: FBI)
  • Über eine simple Phishing-Attacke mit modifizierten Webseiten gelangten die Angreifer an die Login-Daten für E-Mail-Accounts. (Grafik: FBI)
  • Die US-Behörden veröffentlichten den Code mehrerer Implantate. (Screenshot: Golem.de)
  • Die geographische Verteilung der für die Angriffe genutzten IP-Adressen. (Screenshot: Golem.de)
Über einen "neutralen Bereich" sollen die Hackergruppen APT 29 und APT 28 ihre Angriffe ausgeführt haben. (Grafik: FBI)
Stellenmarkt
  1. INNEO Solutions GmbH, Leipzig
  2. Amt für Statistik Berlin-Brandenburg, Potsdam

Der 13-seitige Bericht erläutert in knapper Form das Vorgehen der Angreifer. Darüber war schon im Laufe des vergangenen Jahres detailliert von Sicherheitsfirmen berichtet worden. So soll sich APT 29 (alias Cozybear) vor allem mit Spearphishing über gefälschte Webseiten mit ähnlichen URLs wie die der ausgespähten Ziele die Zugangsdaten verschafft haben. Zudem war bereits bekanntgeworden, wie APT 28 (alias Fancybear, Sofacy) mit Hilfe einfacher Phishing-Mails die E-Mail-Accounts von demokratischen Politikern hackte.

Jede fünfte IP-Adresse offenbar Tor-Exitnode

Zusätzlich veröffentlichten die US-Behörden zwei Dateien (csv, STIX xml) mit Indikatoren für einen möglichen Angriff auf Netzwerke. Die Dateien enthalten etwa 900 Angaben zu Domains, IP-Adressen und Adressbereichen, die von den Angreifern verwendet worden sein sollen. Der Hacker Jerry Gamblin verbreitete auf Twitter eine Übersicht, wonach 191 der 876 Adressen Tor-Exitnodes sein sollen.

Auch IP-Adressen aus Deutschland befinden sich in der Gesamtliste. Administratoren sollten daher prüfen, ob von ihrem Netzwerk aus Traffic zu den genannten Adressen erfolgt ist. Dies könne ein Hinweis darauf sein, dass Rechner mit Schadcode infiziert worden seien, heißt es in dem Bericht. Obama hatte Russland vorgeworfen, mit Hilfe gekaperter Rechner die Herkunft der Angriffe verschleiert zu haben.

Hinweise für Netzwerksicherheit

Dem FBI zufolge kann es auch legitimen Traffic zu den genannten IP-Adressen geben. Allerdings könne hinter normal erscheinendem Traffic auch der Versuch stecken, Websiten auf die Anfälligkeiten für Cross-Site-Scripting und SQL-Injektion zu scannen. Zudem enthalten die Dateien mehrere Yara-Signaturen und 20 Hashwerte. Administratoren wird empfohlen, ihre Systeme auf die Existenz dieser Daten hin zu untersuchen.

Der größte Teil des Berichts besteht jedoch aus Sicherheitshinweisen für Administratoren und Nutzer zum Schutz von Systemen und Rechnern. Einen tatsächlichen "Beweis" für die russische Urheberschaft der Angriffe enthält der veröffentlichte Bericht jedoch nicht. Allerdings reichen den US-Behörden die Indikatoren sowie Ausmaß und Intention der Angriffe offenbar aus, um sie einem staatlichen Angreifer und speziell Russland zuzuschreiben. Deutsche Behörden und Parteien sollten die Hinweise auf jeden Fall nutzen, um ihre eigenen Systeme vor Angreifern zu sichern. Entsprechende Attacken hat es in der Vergangenheit schließlich schon gegeben. APT 28 wurde auch mit dem Hackerangriff auf den Deutschen Bundestag in Verbindung gebracht.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 83,90€

DooMRunneR 31. Dez 2016

Danke, hab mich auch daran gestört. Selbt wenn man sinnlos solche pakete durch die gegend...

Anonymer Nutzer 30. Dez 2016

Nein ich habe es mir nicht angeschaut. Ich bin nur durch raten darauf gekommen, dass es...

Dummer Mensch 30. Dez 2016

http://m.spiegel.de/politik/ausland/a-1122711.html Das ist zwar nur sehr Vage, aber Vlt...

logged_in 30. Dez 2016

Ich glaube es geht hier wohl eher um eine Art der Vorlage an Trumps Regierungszeit. Die...

der_wahre_hannes 30. Dez 2016

Sehr gut, danke. :)


Folgen Sie uns
       


OnePlus 7 Pro - Test

Das Oneplus 7 Pro hat uns im Test mit seiner guten Dreifachkamera, dem großen Display und einer gelungenen Mischung aus hochwertiger Hardware und gut laufender Software überzeugt.

OnePlus 7 Pro - Test Video aufrufen
Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Lightyear One: Luxus-Elektroauto fährt auch mit Solarstrom
Lightyear One
Luxus-Elektroauto fährt auch mit Solarstrom

Ein niederländisches Jungunternehmen hat ein ungewöhnliches Fahrzeug entwickelt, das Luxus und Umweltfreundlichkeit kombiniert. Solarzellen auf dem Dach erhöhen die Reichweite um bis zu 220 Kilometer.
Von Wolfgang Kempkens

  1. Elektromobilität Verkehrsminister will Elektroautos länger und mehr fördern
  2. Elektroautos e.GO Mobile liefert erste Fahrzeuge aus
  3. Volkswagen Über 10.000 Vorreservierungen für den ID.3 in 24 Stunden

    •  /