Abo
  • Services:

Grizzly Steppe: FBI nennt 900 IP-Adressen russischer Hackerangriffe

Nach den Sanktionen folgen die Indikatoren: Die US-Regierung veröffentlicht ihre Analyse zu den angeblich russischen Hackerattacken auf weltweite Institutionen. Auch über IP-Adressen aus Deutschland sollen die Angriffe gelaufen sein.

Artikel veröffentlicht am ,
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben.
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben. (Bild: FBI/Screenshot: Golem.de)

Die Namen der Hackergruppen kommen einem sehr bekannt vor: In einer gemeinsamen Analyse listen das US-Heimatschutzministerium und die US-Bundespolizei FBI gleich 48 Bezeichnungen von zwei Gruppen auf, die im Auftrag Russlands weltweit Cyberattacken ausführen sollen. Darunter ATP 29, APT 28, Cozybear, Fancybear, Sandworm, Sofacy und wie sie alle heißen. Nun werden die Aktivitäten dieser Gruppen unter dem Codewort "Grizzly Steppe" den zivilen und militärischen russischen Geheimdiensten zugeordnet. Auf dieser Grundlage hatte US-Präsident Barack Obama am Donnerstag Sanktionen gegen Russland verkündet.

  • Über einen "neutralen Bereich" sollen die Hackergruppen APT 29 und APT 28 ihre Angriffe ausgeführt haben. (Grafik: FBI)
  • Über eine simple Phishing-Attacke mit modifizierten Webseiten gelangten die Angreifer an die Login-Daten für E-Mail-Accounts. (Grafik: FBI)
  • Die US-Behörden veröffentlichten den Code mehrerer Implantate. (Screenshot: Golem.de)
  • Die geographische Verteilung der für die Angriffe genutzten IP-Adressen. (Screenshot: Golem.de)
Über einen "neutralen Bereich" sollen die Hackergruppen APT 29 und APT 28 ihre Angriffe ausgeführt haben. (Grafik: FBI)
Stellenmarkt
  1. DATAGROUP Köln GmbH, Frankfurt
  2. Fresenius Medical Care Deutschland GmbH, Bad Homburg

Der 13-seitige Bericht erläutert in knapper Form das Vorgehen der Angreifer. Darüber war schon im Laufe des vergangenen Jahres detailliert von Sicherheitsfirmen berichtet worden. So soll sich APT 29 (alias Cozybear) vor allem mit Spearphishing über gefälschte Webseiten mit ähnlichen URLs wie die der ausgespähten Ziele die Zugangsdaten verschafft haben. Zudem war bereits bekanntgeworden, wie APT 28 (alias Fancybear, Sofacy) mit Hilfe einfacher Phishing-Mails die E-Mail-Accounts von demokratischen Politikern hackte.

Jede fünfte IP-Adresse offenbar Tor-Exitnode

Zusätzlich veröffentlichten die US-Behörden zwei Dateien (csv, STIX xml) mit Indikatoren für einen möglichen Angriff auf Netzwerke. Die Dateien enthalten etwa 900 Angaben zu Domains, IP-Adressen und Adressbereichen, die von den Angreifern verwendet worden sein sollen. Der Hacker Jerry Gamblin verbreitete auf Twitter eine Übersicht, wonach 191 der 876 Adressen Tor-Exitnodes sein sollen.

Auch IP-Adressen aus Deutschland befinden sich in der Gesamtliste. Administratoren sollten daher prüfen, ob von ihrem Netzwerk aus Traffic zu den genannten Adressen erfolgt ist. Dies könne ein Hinweis darauf sein, dass Rechner mit Schadcode infiziert worden seien, heißt es in dem Bericht. Obama hatte Russland vorgeworfen, mit Hilfe gekaperter Rechner die Herkunft der Angriffe verschleiert zu haben.

Hinweise für Netzwerksicherheit

Dem FBI zufolge kann es auch legitimen Traffic zu den genannten IP-Adressen geben. Allerdings könne hinter normal erscheinendem Traffic auch der Versuch stecken, Websiten auf die Anfälligkeiten für Cross-Site-Scripting und SQL-Injektion zu scannen. Zudem enthalten die Dateien mehrere Yara-Signaturen und 20 Hashwerte. Administratoren wird empfohlen, ihre Systeme auf die Existenz dieser Daten hin zu untersuchen.

Der größte Teil des Berichts besteht jedoch aus Sicherheitshinweisen für Administratoren und Nutzer zum Schutz von Systemen und Rechnern. Einen tatsächlichen "Beweis" für die russische Urheberschaft der Angriffe enthält der veröffentlichte Bericht jedoch nicht. Allerdings reichen den US-Behörden die Indikatoren sowie Ausmaß und Intention der Angriffe offenbar aus, um sie einem staatlichen Angreifer und speziell Russland zuzuschreiben. Deutsche Behörden und Parteien sollten die Hinweise auf jeden Fall nutzen, um ihre eigenen Systeme vor Angreifern zu sichern. Entsprechende Attacken hat es in der Vergangenheit schließlich schon gegeben. APT 28 wurde auch mit dem Hackerangriff auf den Deutschen Bundestag in Verbindung gebracht.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. täglich neue Deals bei Alternate.de
  3. 164,90€

DooMRunneR 31. Dez 2016

Danke, hab mich auch daran gestört. Selbt wenn man sinnlos solche pakete durch die gegend...

XoGuSi 30. Dez 2016

Nein ich habe es mir nicht angeschaut. Ich bin nur durch raten darauf gekommen, dass es...

Dummer Mensch 30. Dez 2016

http://m.spiegel.de/politik/ausland/a-1122711.html Das ist zwar nur sehr Vage, aber Vlt...

logged_in 30. Dez 2016

Ich glaube es geht hier wohl eher um eine Art der Vorlage an Trumps Regierungszeit. Die...

der_wahre_hannes 30. Dez 2016

Sehr gut, danke. :)


Folgen Sie uns
       


Blackberry Key2 - Test

Das Blackberry Key2 überzeugte uns nicht im Test - trotz guter Tastatur.

Blackberry Key2 - Test Video aufrufen
Windenergie: Wie umweltfreundlich sind Offshore-Windparks?
Windenergie
Wie umweltfreundlich sind Offshore-Windparks?

Windturbinen auf hoher See liefern verlässlich grünen Strom. Frei von Umwelteinflüssen sind sie aber nicht. Während die eine Tierart profitiert, leidet die andere. Doch Abhilfe ist in Sicht.
Ein Bericht von Daniel Hautmann

  1. Hywind Scotland Windkraft Ahoi

Indiegames-Rundschau: Schiffbruch, Anime und viel Brummbrumm
Indiegames-Rundschau
Schiffbruch, Anime und viel Brummbrumm

Gas geben, den weißen Hai besiegen und endlich die eine verlorene Socke wiederfinden: Die sommerlichen Indiegames bieten für jeden etwas - besonders fürs Spielen zu zweit.
Von Rainer Sigl

  1. Indiegames-Rundschau Schwerelose Action statt höllischer Qualen
  2. Indiegames-Rundschau Kampfkrieger und Abenteuer in 1001 Nacht
  3. Indiegames-Rundschau Mutige Mäuse und tapfere Trabbis

Cruijff Arena: Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus
Cruijff Arena
Ed Sheeran singt mit Strom aus Nissan-Leaf-Akkus

Die Johann-Cruijff-Arena in Amsterdam ist weltweit das erste Stadion, das seine Energieversorgung mit einem Speichersystem sichert, das aus Akkus von Elektroautos besteht. Der englische Sänger Ed Sheeran hat mit dem darin gespeichertem Solarstrom schon seine Gitarre verstärkt.
Ein Bericht von Dirk Kunde

  1. Energiewende Warum die Bundesregierung ihre Versprechen nicht hält
  2. Max Bögl Wind Das höchste Windrad steht bei Stuttgart

    •  /