Analyse zeigt Langzeit-Operationen von APT28 mit Zielen in Regierungs- und Militärkreisen

Fireeye veröffentlicht Bericht zur Cyberspionage

30. Oktober 2014, 10:14 Uhr   |  LANline/jos

Fireeye, Spezialist für den Schutz von Unternehmen vor bisher unbekannten Cyberangriffen, hat soeben einen umfassenden Bericht über eine Cyberspionage-Gruppierung veröffentlicht. Die APT-Gruppierung (Advanced Persistent Threats) werde demnach möglicherweise von der russischen Regierung unterstützt. In diesem Zusammenhang wichtig: Laut Medienberichten (zum Beispiel www.golem.de/news/fireeye-telekom-feiert-partnerschaft-mit-us-geheimdienst-naher-firma-1410-110170.html) wurde Fireeye selbst zumindest zeitweise über einen Risikokapitalgeber indirekt von der CIA unterstützt und beschäftigt mehrere ehemalige US-Geheimdienstmitarbeiter. Verantwortliche von Fireeye bestreiten allerdings einen Einfluss aus Geheimdienstkreisen auf ihr Unternehmen.

Der Bericht „APT28: A Window into Russia’s Cyber Espionage Operations?” beschäftigt sich detailliert mit der Arbeit einer Gruppe erfahrener russischer Entwickler und Operatoren, die Fireeye „APT28“ nennt. APT28 habe sich daran interessiert gezeigt, Informationen aus Rüstung und geopolitischer Aufklärung zu sammeln. Zu ihren Zielen gehören die Republik Georgien, osteuropäische Regierungen sowie Militärs und europäische Sicherheitsorganisationen – allesamt „in der Interessensphäre der russischen Regierung“, so Fireeye.

„Trotz aller Gerüchte um vermutete Beteiligungen der russischen Regierung an bekannt gewordenen Cyberangriffen auf Regierungen und Militärs konnten Verbindungen zur Cyberspionage bisher nur schwer nachgewiesen werden“, sagt Dan McWhorter, Vice President Threat Intelligence bei Fireeye. „Der jüngste Advanced Persistent Threat Report wirft Licht auf Cyberspionage-Operationen, die wir als wahrscheinlich von der russischen Regierung unterstützt einschätzen. Bereits seit langem wird vermutet, dass Russland eine der führenden Nationen in der Durchführung anspruchsvoller Netzwerk-Angriffe ist.“

Der Bericht von Fireeye offenbart nach eigenen Angaben Details, die APT28 – Urheber von in der Cybersicherheitsbranche weitläufig bekanntem Schadcodes – mit möglichen Unterstützern in Moskauer Regierungskreisen in Verbindung bringen. Dazu sollen gezielte Langzeitoperationen gehören, die staatliche Unterstützung nahelegen.

Anders als von Fireeye beobachtete Gruppierungen aus China, scheine APT28 dem Bericht zufolge keinen groß angelegten Diebstahl geistigen Eigentums für wirtschaftliche Zwecke zu betreiben. Stattdessen konzentriere sich die Gruppe auf das Sammeln geheimer Informationen, die vor allem für Regierungen von großem Nutzen sein könnten. Seit mindestens 2007, so die Beobachtungen, habe APT28 Informationen zu Regierungen, Militärs und Sicherheitsorganisationen ins Visier genommen, die der russischen Regierung zugutekommen könnten.

Die im Bericht gezeigten Malware-Beispiele ließen darauf schließen, dass die Entwickler russische Muttersprachler sind. Zudem seien sie zu den gewöhnlichen Arbeitszeiten in den Zeitzonen der größten russischen Städte wie Moskau und Sankt Petersburg aktiv.

Mehr zum Thema:

Security-Spezialisten: Lücken dicht machen

Kostenlose Hilfe gegen Cryptolocker-Ransomware

SEH: OpenSSL-Version ohne Heartbeat-Funktion

Die Experten von Fireeye haben nach eigenem Bekunden ebenfalls herausgefunden, dass die Gruppierung APT28 ihre Malware seit 2007 systematisch weiterentwickelt hat, indem sie flexible und dauerhafte Plattformen nutzte. Dies deute auf Pläne zur Langzeit-Nutzung und anspruchsvolle Codiermethoden hin, die möglicherweise Reverse Engineering erschweren sollen.

Den vollständigen Bericht einschließlich der Beispiele zu zielgerichteten Angriffen und Malware-Indikatoren gibt es hier: www.fireeye.com/resources/pdfs/apt28.pdf.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Das könnte Sie auch interessieren

Sophos veröffentlicht Malware-Infektionsraten weltweit

Verwandte Artikel

ATP

Fireeye