Sofacy Group / APT-28 / Fancy Bear

 

Keyfacts

  • entdeckt: Oktober 2014
  • sicher aktiv seit: 2014, eventuell aber sogar bereits seit 2008
  • letzte Aktualisierung: weiterhin aktiv
  • Verbreitung: USA, Deutschland, Ukraine, Internationale Organisationen
  • Infektion und Replikation: Größtenteils maßgeschneiderte Angriffe mit gezielten Infektionen, Erst-Infektionen oft per Spear Phishing
  • Hauptziel: Spionage, Sabotage, Influencing-Kampagnen
  • Vermutliche Herkunft: Russland, mutmaßlich russischer Militär-Nachrichtendienst GRU, evlt. auch Verbindung zu einer weiteren staatlichen Hacker-Gruppe APT-29 / Cozy Bear

Relevante Dokumente

Die Bezeichnungen Sofacy Group, APT-28, Fancy Bear und weitere stehen für eine Gruppe von Hackern, die ursprünglich als patriotische pro-russische Aktivisten angesehen wurden, mittlerweile jedoch als Einheit des russischen Militärgeheimdienstes G.R.U. mit der Bezeichnung 26165 gelten. Die Gruppe soll 2008 mit Cyberattacken gegen das georgische Innenministerium erstmals in Erscheinung getreten sein und wird seither für unterschiedlichste Aktivitäten verantwortlich gemacht. Entdeckt wurden die Aktivitäten im Rahmen von Untersuchungen zur Operation Pawn Storm des Unternehmens Trend Micro im Oktober 2014. Nachdem die unterschiedlichen Cyberattacken zunehmend für außenpolitische Spannungen sorgten und es Warnungen an Russland wegen des offensiven Auftretens der Hackergruppe gab, wurde Russland 2018 durch Großbritannien und die USA offiziell an staatlicher Urheber der Cyberattacken beschuldigt. Den Anschuldigungen wurden dabei Erkenntnissen der Regierungen und des federführenden britischen National Cyber Security Centre (NCSC) zugrunde gelegt, die mit „high confidence“ den russischen militärischen Nachrichtendienst als „almost certainly responsible“ identifiziert haben wollen. Den Vorwürfen schlossen sich in der Folge auch die Niederlande, Deutschland, Australien und die NATO offiziell an. Das russische Außenministerium wies die Vorwürfe jedoch als haltlos und Gegenstand einer „Fantasie“ und „Spionage-Manie“ zurück. Das besondere an dieser Situation wäre, dass die explizite Zurechnung von Cyberattacken zu staatlichen Institutionen aufgrund der Komplexität solcher Vorgänge sehr selten ist. In der Vergangenheit hatte die russische Regierung immer abgestritten direkt durch staatliche Einrichtungen für Cyberattacken verantwortlich zu sein und stattdessen auf besagte zivile, patriotische Hacking-Gruppen verwiesen die nicht unter dem Einfluß der russischen Regierung stehen würden. Ein Zurechnung der Verantwortlichkeiten hätte jedoch aufgrund internationaler Abkommen und völkerrechtlicher Regelungen eine erhebliche Tragweite und Konsequenzen.

Ein Merkmal der Sofacy Group besteht darin, dass sie in den meisten Fällen sehr zielgenau vorgehen und sich auf die anvisierten Ziele genau einstellen. Solche „targeted attacks“ werden dabei in aller Regel mit Phishing-Kampagnen eingeleitet um Zugangsdaten oder anderweitig verwertbare persönliche Informationen der Zielpersonen bzw. anderweitig beteiligter relevanter Personen zu erlangen. Die Abkürzung „APT 28“ beruht auf einer Analyse der Sicherheitsfirma FireEye.

Bekannte Cyberattacken

Die Sofacy Group wird für sehr viele unterschiedlichste Attacken verantwortlich gemacht. Ein vollständige und gute Übersicht der Cyberattacken, für die APT-28 zuständig gewesen sein soll liefert die Wikipedia. Eine der Cyberattacken sind jedoch aufgrund der politischen Tragweite besonders hervorhebenswert. Dazu zählen: