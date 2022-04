Microsoft bekämpft aktiv die Hacker-Gruppe des russischen Militärgeheimdienstes Strontium. Die Ransomware-Gruppe Conti wird indes mit ihren eigenen Mitteln geschlagen.

Der Krieg gegen die Ukraine blieb von Hackern nicht lange unbeachtet. Es gibt jene, die der Ukraine ihre Unterstützung zugesagt haben und jene, die sich auf Russlands Seite schlagen wollten, wie die Ransomware-Gruppe Conti. Auch die dem russischen Militärgeheimdienst GRU zugeschriebene Organisation Strontium ist aktiv am Cyberkrieg beteiligt. Microsoft konnte nach eigenen Angaben Angriffe gegen die USA und die EU erfolgreich verhindern.

Das Kollektiv Anonymous erklärte bereits kurz nach dem Einmarsch der russischen Truppen, dem Kreml offiziell den Krieg. Zuletzt soll es ihnen gelungen sein, sich in das Überwachungssystem des Kreml gehackt zu haben, woraufhin sie kurz darauf, diese Bilder auch mit der Nachricht "Wir werden eure Geheimnisse finden", veröffentlichten.

Die auf Ransomware spezialisierte Gruppe Conti hingegen bekräftigte die "volle Unterstützung für die russische Regierung", aber wohl nicht mit der vollen Unterstützung aller aktiven Hacker der Gruppe. Nur wenige Tage später wurden wohl aus Protest interne Dokumente veröffentlicht, die Einblick in die Arbeitsweise der Gruppe gaben und auch Angriffe bestätigten, hinter denen Conti bereits vermutet wurde. Zudem wurde der aktuellste Quellcode der Ransomware veröffentlicht, welcher jetzt gegen russische Unternehmen genutzt wird.

Dabei soll es sich einem Bericht des Magazins "Bleeping Computer" um die relativ unbekannte Gruppe NB65 handeln. Mit Contis Ransomware sei es demnach gelungen, den Anbieter für Dokumentenmanagement Tensor anzugreifen, sowie die Raumfahrtbehörde Roscosmos und die staatliche Rundfunkanstalt VGTRK.

Microsoft kämpft gegen Strontium

Vermutet wurde es lange, doch bis 2018 fehlten stichhaltige Beweise. Das änderte sich als einige Agenten der Hackergruppe Strontium enttarnt wurden. Seitdem gilt in den USA, Großbritannien und den Niederlanden die Hackergruppe offiziell als Teil des russischen Militärgeheimdienstes GRU.

Die auch als Sofacy Group oder Einheit 26165, Fancy Bear, Pawn Storm oder Advanced Persistent Threat 28 (ATP28) bezeichnete Gruppe ist bekannt dafür, systemkritische Einrichtungen wie Telekommunikations- und Energieunternehmen anzugreifen. Vor allem aber richten sie ihr Augenmerk meist auf Ziele mit Regierungsnähe.

Die jüngsten Angriffe auf ukrainische Einrichtungen sind dem Software-Unternehmen Microsoft zufolge, eindeutig Strontium zuzurechnen.

Seit Jahren verfolge man die Aktivitäten des "russischen Akteurs", wie Microsoft in einem Blogeintrag schreibt. Eine gerichtliche Verfügung ermöglichte es, die Kontrolle über sieben Internet-Domänen zu übernehmen, die Strontium zur Durchführung der Angriffe nutzte: "Seitdem haben wir diese Domänen in ein von Microsoft kontrolliertes Sinkhole umgeleitet, sodass wir die derzeitige Nutzung dieser Domänen durch Strontium einschränken und die Benachrichtigung der Opfer ermöglichen können."

Strontium verfolgte dabei offenbar mehrere Ziele in der Ukraine, aber auch in den USA und der Europäischen Union. So wurden ukrainische Einrichtungen wie Medienorganisationen angegriffen. In den USA standen Regierungsorganisationen und ThinkTanks auf der Liste. Letztere waren auch in der Europäischen Union angepeilt worden, mit Fokus auf jene, die einen außenpolitischen Bezug haben: "Wir gehen davon aus, dass Strontium versucht hat, sich langfristig Zugang zu den Systemen seiner Ziele zu verschaffen, taktische Unterstützung für die physische Invasion zu leisten und sensible Informationen zu exfiltrieren".

Seit 2016 arbeite man daran, die Aktivitäten von Strontium zu erkennen und rechtzeitig die genutzte Infrastruktur zu beschlagnahmen. Speziell dafür wurde sogar ein juristisches Verfahren eingeführt, um "schnelle Gerichtsentscheidungen" zu erhalten. Dadurch konnte man, so Microsoft, bereits 15 Mal Maßnahmen ergreifen und "die Kontrolle von mehr als 100 von Strontium kontrollierten Domains" übernehmen.

Die russische Gruppe ist dabei nicht der einzige Spieler am Cyber-Feld. Laut Microsoft sind "fast alle nationalstaatlichen Akteure Russlands an der laufenden Großoffensive gegen die ukrainische Regierung und kritische Infrastrukturen beteiligt".

Ein noch unbekannter pro-russischer Akteur

Zwischenzeitlich kämpft Meta mit einer deutlichen Zunahme an kompromittierenden Angriffen auf Facebook-Konten ukrainischer Militär- und Staatsangehöriger. Demnach werde gezielt versucht, an persönliche Daten der Nutzerinnen und Nutzer mithilfe von Phishing-Mails zu kommen. Sobald sich die Hacker Zugriff verschaffen konnten, werde darüber Propaganda und Falschnachrichten verbreitet.

Zugeschrieben wird dies dem Kollektiv "Ghostwriter", das bereits seit Ende Februar, also mit Beginn der russischen Invasion, begonnen hat, ihr Unwesen auf Facebook zu treiben. In dem Bemühen, diesen Aktivitäten Einhalt zu gebieten und, wie der Konzern mitteilte, "entsprechende Schritte" zu unternehmen, um vulnerable Nutzergruppen "besser vor Fremdzugriff zu schützen". Dabei ist auch ein Netzwerk von rund 200 Konten entdeckt worden, die sich nach Russland zurückverfolgen ließen, die "Hunderte, in manchen Fällen sogar Tausende falscher Beschwerden" über Facebooks Meldeformular übermittelt hätten, mit dem Ziel, ukrainische Nutzer zu sperren.

