US-Justizministerium schaltet Malware-Netzwerk aus, das von russischen Akteuren betrieben wird

Das US-Justizministerium (DOJ) erklärte am Dienstag, dass es ein weltweites Netzwerk von Computern lahmgelegt habe, die mit Schadsoftware infiziert seien, die russische Staatssicherheitsdienste angeblich fast zwei Jahrzehnte lang genutzt hätten, um geheime Informationen von den USA und NATO-Verbündeten zu beschaffen.

Die Initiative mit dem Codenamen „MEDUSA“ zielte darauf ab, die Schadsoftware „Snake“ zu eliminieren, die von einer Einheit des russischen FSB namens „Turla“ verwendet wird, die von Cyberexperten als eine der fortschrittlichsten Cyberspionagegruppen der Welt angesehen wird. Das FBI hat ein Tool namens „PERSEUS“ entwickelt, das die Snake-Malware neutralisiert, ohne den Host-Computer oder legitime Anwendungen zu beeinträchtigen, nachdem ihm von einem Richter in Brooklyn die Erlaubnis erteilt wurde, Zugriff auf kontaminierte Computer zu gewähren. Die Snake-Malware zielte seit 2004 auf Länder ab, die NATO-Mitglieder sind, Finanzinstitute, Journalisten und andere Ziele der russischen Regierung.

Das FBI informierte alle Opfer, auf deren Computer im Rahmen der MEDUSA-Operation zugegriffen wurde, und die Vereinigten Staaten und Five Eyes-Partner haben eine gemeinsame Cybersicherheitswarnung herausgegeben, die detaillierte technische Informationen zur Malware enthält, damit Cybersicherheitsexperten erkennen können, ob andere Netzwerke möglicherweise infiziert wurden. Es ist bekannt, dass die Turla-Gruppe nach dem Zugriff auf Netzwerke ein „Keylogger“-Tool einsetzt, das Kontokennwörter und andere Authentifizierungsdaten stiehlt, was für einige der Zielpersonen eine ständige Bedrohung darstellt.

Was sind staatlich geförderte Bedrohungsakteure und wie werden sie häufig bei der internationalen Cyberspionage eingesetzt?

Staatlich geförderte Bedrohungsakteure sind Cyberkriminelle, die von nationalen Regierungen Unterstützung bei der Durchführung von Cyberangriffen, Cyberspionage oder anderen böswilligen Aktivitäten gegen ausländische Nationen, Organisationen oder Einzelpersonen erhalten. Diese Akteure sind oft hochqualifiziert und gut ausgestattet und operieren mit dem Ziel, die strategischen und wirtschaftlichen Interessen ihres jeweiligen Landes voranzutreiben.

Staatlich geförderte Bedrohungsakteure haben in der Regel ein breites Spektrum an Zielen im Visier, darunter Regierungsbehörden, Militäreinrichtungen, kritische Infrastrukturen, Finanzinstitute, Universitäten und private Unternehmen. Sie nutzen möglicherweise eine Vielzahl von Taktiken wie Spear-Phishing, Malware, Social Engineering und Zero-Day-Exploits, um sich unbefugten Zugriff auf Zielsysteme zu verschaffen oder sensible Daten zu stehlen.

Diese Cyberspionagekampagnen beginnen oft mit einer Aufklärung, um anfällige Systeme und interessante Informationen zu identifizieren. Sobald der Zugriff erfolgt ist, bewegen sich die Bedrohungsakteure seitlich im Netzwerk, um ihre Berechtigungen zu erweitern und sensible Daten zu sammeln. In einigen Fällen setzen sie möglicherweise Hintertüren, Malware oder andere Tools ein, um den langfristigen Zugriff auf die kompromittierten Systeme aufrechtzuerhalten und ihren Betrieb unentdeckt fortzusetzen.

Staatlich geförderte Bedrohungsakteure werden häufig in internationalen Cyberspionagekampagnen eingesetzt, um sich einen strategischen Vorteil gegenüber anderen Nationen zu verschaffen oder wertvolles geistiges Eigentum zu stehlen. Die Angriffe können dazu genutzt werden, politische, militärische, wirtschaftliche oder diplomatische Ziele voranzutreiben, und die gestohlenen Daten können zur Information nationaler Richtlinien und Geschäftsentscheidungen genutzt oder mit Gewinn im Dark Web verkauft werden. Die potenziellen Auswirkungen staatlich geförderter Cyberspionagekampagnen können schwerwiegend sein und zum Verlust kritischer Infrastruktur, zur Beeinträchtigung der nationalen Sicherheit und zu erheblichen finanziellen Verlusten für Einzelpersonen und Organisationen führen.