Abo
  • Services:
Anzeige
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben.
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben. (Bild: FBI/Screenshot: Golem.de)

Grizzly Steppe: FBI nennt 900 IP-Adressen russischer Hackerangriffe

So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben.
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben. (Bild: FBI/Screenshot: Golem.de)

Nach den Sanktionen folgen die Indikatoren: Die US-Regierung veröffentlicht ihre Analyse zu den angeblich russischen Hackerattacken auf weltweite Institutionen. Auch über IP-Adressen aus Deutschland sollen die Angriffe gelaufen sein.

Die Namen der Hackergruppen kommen einem sehr bekannt vor: In einer gemeinsamen Analyse listen das US-Heimatschutzministerium und die US-Bundespolizei FBI gleich 48 Bezeichnungen von zwei Gruppen auf, die im Auftrag Russlands weltweit Cyberattacken ausführen sollen. Darunter ATP 29, APT 28, Cozybear, Fancybear, Sandworm, Sofacy und wie sie alle heißen. Nun werden die Aktivitäten dieser Gruppen unter dem Codewort "Grizzly Steppe" den zivilen und militärischen russischen Geheimdiensten zugeordnet. Auf dieser Grundlage hatte US-Präsident Barack Obama am Donnerstag Sanktionen gegen Russland verkündet.

Anzeige
  • Über einen "neutralen Bereich" sollen die Hackergruppen APT 29 und APT 28 ihre Angriffe ausgeführt haben. (Grafik: FBI)
  • Über eine simple Phishing-Attacke mit modifizierten Webseiten gelangten die Angreifer an die Login-Daten für E-Mail-Accounts. (Grafik: FBI)
  • Die US-Behörden veröffentlichten den Code mehrerer Implantate. (Screenshot: Golem.de)
  • Die geographische Verteilung der für die Angriffe genutzten IP-Adressen. (Screenshot: Golem.de)
Über einen "neutralen Bereich" sollen die Hackergruppen APT 29 und APT 28 ihre Angriffe ausgeführt haben. (Grafik: FBI)

Der 13-seitige Bericht erläutert in knapper Form das Vorgehen der Angreifer. Darüber war schon im Laufe des vergangenen Jahres detailliert von Sicherheitsfirmen berichtet worden. So soll sich APT 29 (alias Cozybear) vor allem mit Spearphishing über gefälschte Webseiten mit ähnlichen URLs wie die der ausgespähten Ziele die Zugangsdaten verschafft haben. Zudem war bereits bekanntgeworden, wie APT 28 (alias Fancybear, Sofacy) mit Hilfe einfacher Phishing-Mails die E-Mail-Accounts von demokratischen Politikern hackte.

Jede fünfte IP-Adresse offenbar Tor-Exitnode

Zusätzlich veröffentlichten die US-Behörden zwei Dateien (csv, STIX xml) mit Indikatoren für einen möglichen Angriff auf Netzwerke. Die Dateien enthalten etwa 900 Angaben zu Domains, IP-Adressen und Adressbereichen, die von den Angreifern verwendet worden sein sollen. Der Hacker Jerry Gamblin verbreitete auf Twitter eine Übersicht, wonach 191 der 876 Adressen Tor-Exitnodes sein sollen.

Auch IP-Adressen aus Deutschland befinden sich in der Gesamtliste. Administratoren sollten daher prüfen, ob von ihrem Netzwerk aus Traffic zu den genannten Adressen erfolgt ist. Dies könne ein Hinweis darauf sein, dass Rechner mit Schadcode infiziert worden seien, heißt es in dem Bericht. Obama hatte Russland vorgeworfen, mit Hilfe gekaperter Rechner die Herkunft der Angriffe verschleiert zu haben.

Hinweise für Netzwerksicherheit

Dem FBI zufolge kann es auch legitimen Traffic zu den genannten IP-Adressen geben. Allerdings könne hinter normal erscheinendem Traffic auch der Versuch stecken, Websiten auf die Anfälligkeiten für Cross-Site-Scripting und SQL-Injektion zu scannen. Zudem enthalten die Dateien mehrere Yara-Signaturen und 20 Hashwerte. Administratoren wird empfohlen, ihre Systeme auf die Existenz dieser Daten hin zu untersuchen.

Der größte Teil des Berichts besteht jedoch aus Sicherheitshinweisen für Administratoren und Nutzer zum Schutz von Systemen und Rechnern. Einen tatsächlichen "Beweis" für die russische Urheberschaft der Angriffe enthält der veröffentlichte Bericht jedoch nicht. Allerdings reichen den US-Behörden die Indikatoren sowie Ausmaß und Intention der Angriffe offenbar aus, um sie einem staatlichen Angreifer und speziell Russland zuzuschreiben. Deutsche Behörden und Parteien sollten die Hinweise auf jeden Fall nutzen, um ihre eigenen Systeme vor Angreifern zu sichern. Entsprechende Attacken hat es in der Vergangenheit schließlich schon gegeben. APT 28 wurde auch mit dem Hackerangriff auf den Deutschen Bundestag in Verbindung gebracht.


eye home zur Startseite
DooMRunneR 31. Dez 2016

Danke, hab mich auch daran gestört. Selbt wenn man sinnlos solche pakete durch die gegend...

XoGuSi 30. Dez 2016

Nein ich habe es mir nicht angeschaut. Ich bin nur durch raten darauf gekommen, dass es...

Dummer Mensch 30. Dez 2016

http://m.spiegel.de/politik/ausland/a-1122711.html Das ist zwar nur sehr Vage, aber Vlt...

logged_in 30. Dez 2016

Ich glaube es geht hier wohl eher um eine Art der Vorlage an Trumps Regierungszeit. Die...

der_wahre_hannes 30. Dez 2016

Sehr gut, danke. :)



Anzeige

Stellenmarkt
  1. Daimler AG, Kirchheim unter Teck
  2. Daimler AG, Fellbach
  3. SICK AG, Waldkirch bei Freiburg im Breisgau
  4. Dataport, Altenholz bei Kiel, Hamburg


Anzeige
Hardware-Angebote
  1. Bis zu 250 EUR Cashback auf ausgewählte Objektive erhalten
  2. 281,99€
  3. 699,90€ + 3,99€ Versand

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Apple

    MacOS Sierra 10.12.4 mit Nachtschicht-Modus

  2. Apple

    iOS 10.3 in finaler Version erschienen

  3. Videoüberwachung

    Erster Feldversuch mit Gesichtserkennung geplant

  4. Optane Memory

    Intel lässt den Festplatten-Beschleuniger wieder aufleben

  5. Cryptowars

    "Kein geheimer Ort für Terroristen"

  6. Trello

    Atlassian setzt alles auf eine Karte

  7. Endless Runway

    Der Flughafen wird rund

  8. Square Enix

    Gladiolus startet ohne die anderen Jungs in Final Fantasy 15

  9. All Walls Must Fall

    Strategie und Zeitreisen in Berlin

  10. Breitbandmessung

    Nutzer erhalten meist nicht versprochene Datenrate



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mass Effect Andromeda im Test: Zwischen galaktisch gut und kosmischem Kaffeekränzchen
Mass Effect Andromeda im Test
Zwischen galaktisch gut und kosmischem Kaffeekränzchen
  1. Mass Effect Andromeda im Technik-Test Frostbite für alle Rollenspieler
  2. Mass Effect Countdown für Andromeda
  3. Mass Effect 4 Ansel und Early Access für Andromeda

D-Wave: Quantencomputer oder Computer mit Quanteneffekten?
D-Wave
Quantencomputer oder Computer mit Quanteneffekten?
  1. IBM Q Qubits as a Service
  2. Rechentechnik Ein Bauplan für einen Quantencomputer

Nier Automata im Test: Stilvolle Action mit Überraschungen
Nier Automata im Test
Stilvolle Action mit Überraschungen
  1. Nvidia "KI wird die Computergrafik revolutionieren"
  2. The Avengers Project Marvel und Square Enix arbeiten an Superheldenoffensive
  3. Nintendo Switch erscheint am 3. März

  1. Re: Wenn ich meinen nackten Arsch in die Kamera...

    GabenBePraised | 00:14

  2. Warum nicht als RAM?

    honna1612 | 00:10

  3. Re: Lärmschutzzonen

    MAGA | 00:10

  4. Re: Geile Idee

    blubberlutsch | 00:09

  5. Re: Geschwindigkeiten zu niedrig

    Headcool | 27.03. 23:59


  1. 00:28

  2. 00:05

  3. 18:55

  4. 18:18

  5. 18:08

  6. 17:48

  7. 17:23

  8. 17:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel