Share to: share facebook share twitter share wa share telegram print page

Cozy Bear

Cozy Bear oder APT29 ist eine russische Gruppe von Crackern bzw. Hackern, die im Auftrag der russischen Regierung operiert.[1][2] Alternative Namen sind CozyCar, CozyDuke, Dark Halo, The Dukes, NOBELIUM, Office Monkeys, StellarParticle, UNC2452, YTTRIUM[2] und Midnight Blizzard.[3] Gesteuert wird die Gruppe laut übereinstimmenden Experteneinschätzungen vom russischen Auslandsnachrichtendienst SWR.[1] In älteren Veröffentlichungen wurde Cozy Bear eher dem FSB zugerechnet.[4]

Spektakulärste Aktion bislang war die Russische Einflussnahme auf den Wahlkampf in den Vereinigten Staaten 2016 zugunsten von Donald Trump.

Tätigkeiten

Cozy Bear ist seit mindestens 2008 aktiv. Den Crackern werden eine Reihe von Cyber-Attacken zugeschrieben.

MiniDuke

Aus den Vulkan Files und Recherchen der Threat Analysis Group (TAG) von Google ergibt sich, dass die Gruppe bereits im Jahr 2012 in eine Malware-Kampagne russischer Hacker involviert gewesen sein soll, unter Verwendung von Schadprogrammen der NTC Vulkan.[5] Das Kaspersky Lab entdeckte am 27. Februar 2013 in 20 Ländern auf den Rechnern von Europäischen Regierungsorganisationen und Firmen den Computervirus „MiniDuke“.[6] Die Verbindung von Software-Schmiede und Hackergruppe wurde Ende 2012 von Google entdeckt: Eine E-Mail-Adresse, die man später MiniDuke zuschreiben konnte, sandte eine Testnachricht an NTC-Vulkan. Mit solchen Testnachrichten werden Schadprogramme auf ihre Tauglichkeit getestet. Mit der Malware wurden die Rechner von zahlreichen westlichen Diplomaten, Beamten und Militärangehörigen infiziert.[7]

Mutmaßlich mit derselben Schadsoftware wurden im Jahr 2013 Attacken auf Europäische Außenministerien gestartet. Diese subversiven Angriffe wurden – unter dem Namen Operation Ghost – der Gruppe angelastet, sie erhielt in Folge auch den alternativen Namen The Dukes. Seit dem Jahr 2016 soll die Gruppe die Duke-Malware weiter entwickelt und neue hochkarätige Ziele kompromittiert haben. Die Malware-Tools PolyglotDuke, RegDuke and FatDuke waren schwerer aufzuspüren und sollen ab Mitte 2019 zum Einsatz gekommen sein. Das Unternehmen für Sicherheitssoftware ESET erstellte eine Timeline.[8]

Weitere Hackerangriffe

Der Crack auf das Democratic National Committee (DNC) im Jahr 2016 soll gemeinsam von den Hackergruppen APT28 und Cozy Bear (APT29) durchgeführt worden sein. Eine Malware names WellMess griff im Jahr 2018 japanische Firmen an. Nach anfänglichem Unwissen über die Identität des Angreifers konnte sie im Jahr 2020 der APT29 zugeschrieben werden, nachdem kanadische, US-amerikanische und britische Stellen Attacken auf pharmazeutische Ziele im Zuge der Covid-19-Pandemie feststellten. Eine weitere Attacke der Gruppe richtete sich gegen SolarWinds. 2021 war Cozy Bear zudem erfolgreich in das Netz der Dänischen Nationalbank eingedrungen. Die Gruppe blieb über sechs Monate in der Bank unentdeckt.[2]

Im Jahr 2014 gelangte es Zeitungsberichten zufolge dem niederländischen Geheimdienst AIVD, bei der Gruppe Cozy Bear einzudringen. Der AIVD konnte damit die Aktivitäten verfolgen, welche die russische Einheit durchführte, und zudem auch die Sicherheitskameras der Einheit abschöpfen und so herausfinden, welche Personen hinter der Gruppe stecken. Auch konnte der Geheimdienst mitverfolgen, wie die Gruppe das DNC angriff, er übergab einige Unterlagen dem NSA und dem FBI. Von den Niederlanden wurden die genannten Tätigkeiten nicht bestätigt.[9]

Im Januar 2024 griff Midnight Blizzard nach Angaben von Microsoft auf einen „sehr kleinen Prozentsatz“ von E-Mail-Konten von Microsoft-Mitarbeitern zu, darunter laut Microsoft Mitglieder des Führungsteams und Mitarbeiter aus den Bereichen Cybersicherheit, Recht und anderen Bereichen.[3]

Im März 2024 versuchte Cozy Bear laut Analyse der IT-Sicherheitsfirma Mandiant mehrere deutsche Parteien mit Schadsoftware anzugreifen. CDU-Mitglieder erhielten gefälschte E-Mails, die mit Schadsoftware verbunden waren.[1]

Im Juni 2024 berichtete TeamViewer, dass es von APT29 angegriffen worden sei.[10] Dabei wurden Zugangsdaten der Mitarbeiter erbeutet und in das interne IT-Netzwerk eingedrungen. Jedoch betonte der IT-Dienstleister, dass CozyBear nicht auf die TeamViewer-Software zugreifen konnte, weil beide Netzwerke strikt getrennt wären.[11]

Einzelnachweise

  1. a b c Gefährlicher E-Mail-Anhang: Kreml-Hacker greifen deutsche Parteien an. In: Der Spiegel. 22. März 2024, ISSN 2195-1349 (spiegel.de [abgerufen am 22. März 2024]).
  2. a b c APT Profile: Cozy Bear / APT29. 17. März 2023, abgerufen am 2. April 2023 (englisch).
  3. a b Russische Gruppe hackt Microsoft. In: Der Spiegel. 20. Januar 2024, ISSN 2195-1349 (spiegel.de [abgerufen am 20. Januar 2024]).
  4. Josh Meyer: Cozy Bear Explained: What You Need to Know About the Russian Hacks. The attacks, and what could happen next, are keeping U.S. intelligence officials awake at night. 15. September 2016, abgerufen am 2. April 2023 (englisch).
  5. Andreas Proschofsky: Das sind die Hacking-Tools, die russische Geheimdienste laut den Vulkan-Files bestellen. Scan-V, Amezit und Co: Vom Aufspüren von Sicherheitslücken über die Planung von Attacken gegen Netzwerkinfrastruktur bis zu Zensur, Desinformation und Überwachung ist alles mit dabei. In: Der Standard. 1. April 2023, abgerufen am 10. Juli 2024.
  6. Neuer Computervirus: MiniDuke spioniert Europas Regierungen aus. In: Spiegel Online. 27. Februar 2013, abgerufen am 10. Juli 2024.
  7. Sandwurm und Schlange. In: Der Spiegel. Nr. 14, 1. April 2023, S. 80 f.
  8. Operation Ghost: The Dukes Malware‑Update. ESET-Forschende berichten über die jüngsten Aktivitäten der berüchtigten Spionage-Gruppe The Dukes – dazu zählen die drei neue Malware-Familien. ESET, 19. Oktober 2019, archiviert vom Original; abgerufen am 10. Juli 2024 (englisch).
  9. Joshua Ball: Russian Hacker Group Cozy Bear Was Hacked By Dutch Intelligence Service. The Netherlands’ AIVD gave the FBI critical evidence of the Russian government’s involvement in the 2016 hacking of the U.S. Democratic National Committee. In: Global Security Review. 10. Juni 2019, abgerufen am 5. April 2023 (englisch).
  10. TeamViewer ist Opfer eines Hackerangriffs. In: Der Spiegel. 28. Juni 2024, ISSN 2195-1349 (spiegel.de [abgerufen am 28. Juni 2024]).
  11. Mitchell Langley: TeamViewer Confirms Breach by Notorious Russian Hacking Group Cozy Bear. 2. Juli 2024, abgerufen am 10. Juli 2024.
Kembali kehalaman sebelumnya