Grizzly Steppe: FBI nennt 900 IP-Adressen russischer Hackerangriffe

Nach den Sanktionen folgen die Indikatoren: Die US-Regierung veröffentlicht ihre Analyse zu den angeblich russischen Hackerattacken auf weltweite Institutionen. Auch über IP-Adressen aus Deutschland sollen die Angriffe gelaufen sein.

Artikel veröffentlicht am ,
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben.
So soll die Hackergruppe APT 29 ihre Aktivitäten verschleiert haben. (Bild: FBI/Screenshot: Golem.de)

Die Namen der Hackergruppen kommen einem sehr bekannt vor: In einer gemeinsamen Analyse listen das US-Heimatschutzministerium und die US-Bundespolizei FBI gleich 48 Bezeichnungen von zwei Gruppen auf, die im Auftrag Russlands weltweit Cyberattacken ausführen sollen. Darunter ATP 29, APT 28, Cozybear, Fancybear, Sandworm, Sofacy und wie sie alle heißen. Nun werden die Aktivitäten dieser Gruppen unter dem Codewort "Grizzly Steppe" den zivilen und militärischen russischen Geheimdiensten zugeordnet. Auf dieser Grundlage hatte US-Präsident Barack Obama am Donnerstag Sanktionen gegen Russland verkündet.

  • Über einen "neutralen Bereich" sollen die Hackergruppen APT 29 und APT 28 ihre Angriffe ausgeführt haben. (Grafik: FBI)
  • Über eine simple Phishing-Attacke mit modifizierten Webseiten gelangten die Angreifer an die Login-Daten für E-Mail-Accounts. (Grafik: FBI)
  • Die US-Behörden veröffentlichten den Code mehrerer Implantate. (Screenshot: Golem.de)
  • Die geographische Verteilung der für die Angriffe genutzten IP-Adressen. (Screenshot: Golem.de)
Über einen "neutralen Bereich" sollen die Hackergruppen APT 29 und APT 28 ihre Angriffe ausgeführt haben. (Grafik: FBI)
Stellenmarkt
  1. IT Support Mitarbeiter (m/w/d) im 2nd/3rd Level
    igus GmbH, Köln
  2. Junior IT Business Consultant (w/m/d)
    Banijay Germany GmbH, Köln-Mülheim
Detailsuche

Der 13-seitige Bericht erläutert in knapper Form das Vorgehen der Angreifer. Darüber war schon im Laufe des vergangenen Jahres detailliert von Sicherheitsfirmen berichtet worden. So soll sich APT 29 (alias Cozybear) vor allem mit Spearphishing über gefälschte Webseiten mit ähnlichen URLs wie die der ausgespähten Ziele die Zugangsdaten verschafft haben. Zudem war bereits bekanntgeworden, wie APT 28 (alias Fancybear, Sofacy) mit Hilfe einfacher Phishing-Mails die E-Mail-Accounts von demokratischen Politikern hackte.

Jede fünfte IP-Adresse offenbar Tor-Exitnode

Zusätzlich veröffentlichten die US-Behörden zwei Dateien (csv, STIX xml) mit Indikatoren für einen möglichen Angriff auf Netzwerke. Die Dateien enthalten etwa 900 Angaben zu Domains, IP-Adressen und Adressbereichen, die von den Angreifern verwendet worden sein sollen. Der Hacker Jerry Gamblin verbreitete auf Twitter eine Übersicht, wonach 191 der 876 Adressen Tor-Exitnodes sein sollen.

Auch IP-Adressen aus Deutschland befinden sich in der Gesamtliste. Administratoren sollten daher prüfen, ob von ihrem Netzwerk aus Traffic zu den genannten Adressen erfolgt ist. Dies könne ein Hinweis darauf sein, dass Rechner mit Schadcode infiziert worden seien, heißt es in dem Bericht. Obama hatte Russland vorgeworfen, mit Hilfe gekaperter Rechner die Herkunft der Angriffe verschleiert zu haben.

Hinweise für Netzwerksicherheit

Golem Akademie
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Dem FBI zufolge kann es auch legitimen Traffic zu den genannten IP-Adressen geben. Allerdings könne hinter normal erscheinendem Traffic auch der Versuch stecken, Websiten auf die Anfälligkeiten für Cross-Site-Scripting und SQL-Injektion zu scannen. Zudem enthalten die Dateien mehrere Yara-Signaturen und 20 Hashwerte. Administratoren wird empfohlen, ihre Systeme auf die Existenz dieser Daten hin zu untersuchen.

Der größte Teil des Berichts besteht jedoch aus Sicherheitshinweisen für Administratoren und Nutzer zum Schutz von Systemen und Rechnern. Einen tatsächlichen "Beweis" für die russische Urheberschaft der Angriffe enthält der veröffentlichte Bericht jedoch nicht. Allerdings reichen den US-Behörden die Indikatoren sowie Ausmaß und Intention der Angriffe offenbar aus, um sie einem staatlichen Angreifer und speziell Russland zuzuschreiben. Deutsche Behörden und Parteien sollten die Hinweise auf jeden Fall nutzen, um ihre eigenen Systeme vor Angreifern zu sichern. Entsprechende Attacken hat es in der Vergangenheit schließlich schon gegeben. APT 28 wurde auch mit dem Hackerangriff auf den Deutschen Bundestag in Verbindung gebracht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


DooMRunneR 31. Dez 2016

Danke, hab mich auch daran gestört. Selbt wenn man sinnlos solche pakete durch die gegend...

Anonymer Nutzer 30. Dez 2016

Nein ich habe es mir nicht angeschaut. Ich bin nur durch raten darauf gekommen, dass es...

Dummer Mensch 30. Dez 2016

http://m.spiegel.de/politik/ausland/a-1122711.html Das ist zwar nur sehr Vage, aber Vlt...

logged_in 30. Dez 2016

Ich glaube es geht hier wohl eher um eine Art der Vorlage an Trumps Regierungszeit. Die...



Aktuell auf der Startseite von Golem.de
Cariad
Aufsichtsrat greift bei VWs Softwareentwicklung durch

Die Sorge um die Volkswagen-Softwarefirma Cariad hat den Aufsichtsrat veranlasst, ein überarbeitetes Konzept für die ehrgeizigen Pläne vorzulegen.

Cariad: Aufsichtsrat greift bei VWs Softwareentwicklung durch
Artikel
  1. Delfast Top 3.0: Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein
    Delfast Top 3.0
    Ukrainische Armee setzt E-Motorräder zur Panzerjagd ein

    Ukrainische Infanteristen nutzen E-Motorräder, um leise und schnell zum Einsatz zu gelangen und die Panzerabwehrlenkwaffe NLAW zu transportieren.

  2. Überwachung: Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein
    Überwachung
    Polizei setzt Handy-Erkennungskamera gegen Autofahrer ein

    In Rheinland-Pfalz werden Handynutzer am Steuer eines Autos automatisch erkannt. Dazu wird das System Monocam aus den Niederlanden genutzt.

  3. Love, Death + Robots 3: Mal spannend, mal tragisch, mal gelungen, mal nicht so
    Love, Death + Robots 3
    Mal spannend, mal tragisch, mal gelungen, mal nicht so

    Die abwechslungsreichste Science-Fiction-Serie unserer Zeit ist wieder da - mit acht neuen Folgen der von David Fincher produzierten Anthologie-Reihe.
    Von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Borderlands 3 gratis • CW: Top-Rabatte auf PC-Komponenten • Inno3D RTX 3070 günstig wie nie: 614€ • Ryzen 9 5900X 398€ • Top-Laptops zu Tiefpreisen • Edifier Lautsprecher 129€ • Kingston SSD 2TB günstig wie nie: 129,90€ • Samsung Soundbar + Subwoofer günstig wie nie: 228,52€ [Werbung]
    •  /