Keyfacts
- entdeckt: Oktober 2014
- sicher aktiv seit: 2014, eventuell aber sogar bereits seit 2008
- letzte Aktualisierung: weiterhin aktiv
- Verbreitung: USA, Deutschland, Ukraine, Internationale Organisationen
- Infektion und Replikation: Größtenteils maßgeschneiderte Angriffe mit gezielten Infektionen, Erst-Infektionen oft per Spear Phishing
- Hauptziel: Spionage, Sabotage, Influencing-Kampagnen
- Vermutliche Herkunft: Russland, mutmaßlich russischer Militär-Nachrichtendienst GRU, evlt. auch Verbindung zu einer weiteren staatlichen Hacker-Gruppe APT-29 / Cozy Bear
Relevante Dokumente
- Operation Pawn Storm Using Decoys to Evade Detection (Q: Trend Micro)
- APT28: A Window into Russia’s Cyber Espionage Operations? (Q: FireEYE)
- Reckless campaign of cyber attacks by Russian military intelligence service exposed (Q: National Cyber Security Centre, NCSC)
Die Bezeichnungen Sofacy Group, APT-28, Fancy Bear und weitere stehen für eine Gruppe von Hackern, die ursprünglich als patriotische pro-russische Aktivisten angesehen wurden, mittlerweile jedoch als Einheit des russischen Militärgeheimdienstes G.R.U. mit der Bezeichnung 26165 gelten. Die Gruppe soll 2008 mit Cyberattacken gegen das georgische Innenministerium erstmals in Erscheinung getreten sein und wird seither für unterschiedlichste Aktivitäten verantwortlich gemacht. Entdeckt wurden die Aktivitäten im Rahmen von Untersuchungen zur Operation Pawn Storm des Unternehmens Trend Micro im Oktober 2014. Nachdem die unterschiedlichen Cyberattacken zunehmend für außenpolitische Spannungen sorgten und es Warnungen an Russland wegen des offensiven Auftretens der Hackergruppe gab, wurde Russland 2018 durch Großbritannien und die USA offiziell an staatlicher Urheber der Cyberattacken beschuldigt. Den Anschuldigungen wurden dabei Erkenntnissen der Regierungen und des federführenden britischen National Cyber Security Centre (NCSC) zugrunde gelegt, die mit „high confidence“ den russischen militärischen Nachrichtendienst als „almost certainly responsible“ identifiziert haben wollen. Den Vorwürfen schlossen sich in der Folge auch die Niederlande, Deutschland, Australien und die NATO offiziell an. Das russische Außenministerium wies die Vorwürfe jedoch als haltlos und Gegenstand einer „Fantasie“ und „Spionage-Manie“ zurück. Das besondere an dieser Situation wäre, dass die explizite Zurechnung von Cyberattacken zu staatlichen Institutionen aufgrund der Komplexität solcher Vorgänge sehr selten ist. In der Vergangenheit hatte die russische Regierung immer abgestritten direkt durch staatliche Einrichtungen für Cyberattacken verantwortlich zu sein und stattdessen auf besagte zivile, patriotische Hacking-Gruppen verwiesen die nicht unter dem Einfluß der russischen Regierung stehen würden. Ein Zurechnung der Verantwortlichkeiten hätte jedoch aufgrund internationaler Abkommen und völkerrechtlicher Regelungen eine erhebliche Tragweite und Konsequenzen.
Ein Merkmal der Sofacy Group besteht darin, dass sie in den meisten Fällen sehr zielgenau vorgehen und sich auf die anvisierten Ziele genau einstellen. Solche „targeted attacks“ werden dabei in aller Regel mit Phishing-Kampagnen eingeleitet um Zugangsdaten oder anderweitig verwertbare persönliche Informationen der Zielpersonen bzw. anderweitig beteiligter relevanter Personen zu erlangen. Die Abkürzung „APT 28“ beruht auf einer Analyse der Sicherheitsfirma FireEye.
Bekannte Cyberattacken
Die Sofacy Group wird für sehr viele unterschiedlichste Attacken verantwortlich gemacht. Ein vollständige und gute Übersicht der Cyberattacken, für die APT-28 zuständig gewesen sein soll liefert die Wikipedia. Eine der Cyberattacken sind jedoch aufgrund der politischen Tragweite besonders hervorhebenswert. Dazu zählen:
- April 2015: Hacking-Attacken gegen IT-Systeme und Konten bei Social-Media-Diensten des französischen Senders TV5
- 2015 Hacking-Attacke von IT-Systeme der Bundestags-Fraktion „Die Linke“ und des Bundestags-eigenen Kommunikations- und IT-Systems PARLAKOM
- 2016: Hacking-Attacke des US-amerikanischen Democratic National Committees im Zuge der US-Präsidentschaftswahlen 2016 und damit verbunden die mutmaßlich russische Beeinflussung des US-Wahlkampfes
- 2017: Malware-Welle NotPetya auf Grundlage des EternalBlue-Zero-Day-Exploits
- 2018: Hacking-Versuch der Chemiewaffenkontroll-Organisation OPCW