Als die Hacking-Szene vor einigen Jahrzehnten entsteht, finden sich hier vor allem Technik-Enthusiasten, die mit Leidenschaft alles in sich aufsaugen, was mit Computern und Netzwerken zu tun hat. Das hat sich grundlegend gewandelt: Inzwischen entwickeln Hacker im Staatsauftrag immer raffiniertere Cyberspionage-Tools und auch die organisierte Kriminalität (aber auch kriminelle Einzeltäter) hat das Cyberfeld längst für sich entdeckt. Bei Hackerangriffen werden regelmäßig Millionenbeträge eingestrichen, zum Beispiel im Rahmen von Ransomware-Attacken auf Unternehmen jeder Größenordnung.
Die Cyberangriffe selbst werden immer komplexer, laufen immer schamloser ab und werden für die Kriminellen zunehmend profitabler. Die Grenzen zwischen den Akteuren und Aktivitäten verwischen zusehends. Inzwischen kommt es auch zu Kooperationen zwischen staatlich beauftragten Hackern und kriminellen Hackergruppen, die nur zu gerne die "Grundlagenarbeit" der jeweils anderen in Form maliziöser Tools nutzen, um neue Angriffe zu initiieren beziehungsweise ihre Schandtaten zu verschleiern. Wir haben mit Cybersecurity-Experten gesprochen und Infos zu den gefährlichsten Hackergruppen für Sie zusammengetragen.
Lazarus
Die Lazarus-Gruppe (auch Hidden Cobra, Guardians of Peace, APT38, Whois Team oder Zinc) wird regelmäßig mit Nordkorea in Verbindung gebracht und ist vor allem für einen der bislang größten Cyberbankraubzüge bekannt, bei dem die Bangladesh Bank im Februar 2016 um mehr als 80 Millionen Dollar "erleichtert" wird. Doch Lazarus hat noch weit mehr auf dem Kerbholz: zum Beispiel unzählige DDoS-Attacken in den letzten zehn Jahren, die sich vor allem gegen südkoreanische Webseiten und Unternehmen aus dem Finanzwesen richten. Aber auch der schlagzeilenträchtige Hackerangriff auf Sony Pictures im Jahr 2014 und der weltumspannende Angriff mit der Ransomware WannaCry sollen auf das Konto von Lazarus gehen.
Quasi nebenbei nehmen die kriminellen Hacker auch Security-Forscher ins Visier, um ihre Schwachstellen-Recherche zu befeuern. "Lazarus verfügt über unbegrenzte Ressourcen und sehr gut ausgeprägte Social-Engineering-Fähigkeiten", weiß Dmitry Galov, Security-Spezialist von Kaspersky. Diese Fähigkeiten seien im Laufe der Corona-Pandemie besonders hervorgetreten, als Lazarus verschiedene Healthcare-Unternehmen - darunter auch Impfstoffhersteller - ins Visier nahm. Dabei setzten die Cyberkriminellen laut Microsoft vor allem auf Spear-Phishing-Mails.
"Lazarus unterscheidet sich insofern von anderen Hackergruppen, als dass die Mitglieder im Staatsauftrag handeln, aber auch Privatpersonen oder Unternehmen angreifen, die nützliche Informationen für sie bereithalten", meint Adam Kujawa, Director bei Malwarebytes Labs.
Die Hackergruppe nutzt verschiedene, individuelle angefertigte Malware-Familien - darunter Backdoor-Trojaner, Data Miner und destruktive Malware. Bei seinen maliziösen Umtrieben scheint der Gruppierung kein Aufwand zu gering: "Die Lazarus-Mitglieder haben keinerlei Problem damit, im Netzwerk ihrer Opfer aggressiv und zerstörerisch vorzugehen. Die Gruppe geht sehr vorsichtig und kalkuliert vor und hat bereits mehrfach bewiesen, dass sie sich so lange wie möglich in den Umgebungen ihrer Ziele aufhalten, um alles über den Aufbau und die Struktur des Netzwerks zu lernen und letztendlich ihr Kompromittierungsziel zu erreichen", heißt es von Seiten des Sicherheitsanbieters FireEye.
UNC2452
Im Jahr 2020 installieren Tausende von Unternehmen ein vermeintliches Software Update für die SolarWinds Orion Software - und öffnen damit ihre Netzwerke für kriminelle Hacker. Auch das Pentagon, das Europa-Parlament und weitere Regierungsbehörden werden zum Opfer dieser Supply-Chain-Attacke, die mindestens neun Monate lang unentdeckt bleibt. Als der Sicherheitsanbieter FireEye Ende 2020 vermeldet, zum Opfer staatlich beauftragter Hacker geworden zu sein, wird das ganze Ausmaß des Angriffs bekannt. Denn die SolarWinds Software bildet nur einen Angriffspunkt - weitere Supply-Chain-Angriffe werden entdeckt, die Lücken in Software von Microsoft und VMware ausnutzen. Zugeschrieben wird der Angriff der Hackergruppe UNC2452 (auch Dark Halo, Nobelium, SilverFish oder StellarParticle).
"UNC2452 ist eine der fortschrittlichsten Hackergruppen, die wir auf dem Radar haben. Ihre Fähigkeiten sind exzeptionell, denn ihre Mitglieder weisen sowohl Offensiv- als auch Defensiv-Skills auf und nutzen ihr Wissen, um sich heimlich in Netzwerke einzuschleichen", meint Charles Carmakal, SVP und CTO bei Mandiant Threat Intelligence. Als Beweis für die Raffinesse von UNC2452 wertet der Experte die Tatsache, dass die Cyberkriminellen sich für mehrere Monate unbemerkt in die Systeme von Regierungsbehörden einschleichen konnten.
Laut der NSA, dem FBI und anderen US-Behörden wird die SolarWinds-Attacke von Russland finanziert - entsprechende Sanktionen werden verhängt. Es gibt jedoch auch andere Hinweise, die in Richtung der Hackergruppe Cozy Bear (APT29) deuten. Wie schwer das Geflecht cyberkrimineller Machenschaften zu durchdringen ist, zeigen Untersuchungsergebnisse von Kaspersky, die im Rahmen der oben beschriebenen Supply-Chain-Attacke Code-Fragmente finden, die den Angriff mit der russischsprachigen Hackergruppe Turla (Snake, Uroboros) in Verbindung bringen, die verschiedene europäische Regierungen und Diplomaten ins Visier nimmt. Laut einem Bericht von Secureworks hat es die chinesische Hackergruppe Spiral in einer separaten Aktion ebenfalls auf SolarWinds-Kunden abgesehen.
Equation Group
Auch die Mitglieder der Equation Group (auch EQGRP, Housefly oder Remsec) gelten als überaus geschult und sind offenbar mit ausufernden Ressourcen ausgestattet. Die Gruppe operiert seit den frühen 2000er Jahren, gerät aber erst 2015 in die Schlagzeilen, nachdem Security-Experten von Kaspersky einen Bericht veröffentlichen, der einige der State-of-the-Art Tools der Gruppe beleuchtet. Die Headline: "Der Todesstern der Malware-Galaxie". Der Name Equation Group geht darauf zurück, dass die Cyberkriminellen starke Verschlüsselungs- und raffinierte Verschleierungsmethoden zum Einsatz bringen. Die Tools der Hacker sind äußerst raffiniert ausgestaltet und werden mit der NSA in Verbindung gebracht. Zu den Zielen der Equation Group gehören Regierungs-, Militär- und Finanzinstitutionen, aber auch Unternehmen aus den Bereichen Telekommunikation, Luftfahrt, Energie, Öl und Gas, Medien und Transport. Die Mehrzahl der Ziele befindet sich in Ländern wie Iran, Russland, Pakistan, Afghanistan, Indien, Syrien und Mali.
Eines der raffiniertesten Tools der Hacker ist ein Modul, das die Firmware von Festplatten diverser Hersteller (zum Beispiel Seagate, Western Digital, Toshiba und IBM) umschreibt und einen verborgenen Speicherplatz erschafft, der gegen Lösch- und Formatierungsvorgänge "immun" ist. Der Equation Group wird auch ein USB-basierter Command-and-Control-Mechanismus zugeschrieben, der das Mapping von Air-Gap-Netzwerken ermöglicht. Die Hackergruppe setzt diese Technik bereits ein, bevor ein ganz ähnliches Feature in den berüchtigten Stuxnet-Wurm eingebaut wird.
Diese und andere fortschrittliche Technologien fallen anderen Hackergruppen, die im Staatsauftrag handeln, in die Hände. Zum Beispiel den chinesischen Cyberspionen von Buckeye (auch Gothic Panda, APT3 oder UPS Team), die die Hacking Tools der Euqation Group im Jahr 2016 nutzen, um laut Symantec verschiedene Unternehmen in Europa und Asien anzugreifen. Sicherheitsexperten von CheckPoint finden zudem heraus, dass auch Zirconium (APT31) - eine weitere Hackergruppe aus China - einen Exploit der Equation Group nutzt, um auf dessen Basis ein eigenes Tool namens Jian zu kreieren. Diese Vorgänge spielen sich bereits vor dem "Shadow Brokers"-Leak im Jahr 2017 ab, bei dem diverse Hacking Tools aus dem Fundus der Equation Group (inklusive dem EternalBlue Exploit, der für die WannaCry-Attacke genutzt wurde) im Netz veröffentlicht werden.
Carbanak
Im Jahr 2013 werden verschiedene Finanzinstitutionen nach demselben Muster attackiert. Die Angreifer versenden Spear Phishing Mails und nutzen im Nachgang diverse Tools, um Rechner oder Server zu kompromittieren und Daten oder Geld zu stehlen. Für die Attacken zeichnet die Hackergruppe Carbanak (auch Anunak, Cobalt oder FIN7) verantwortlich. Auch diese Gruppe geht äußerst raffiniert zu Werke und spioniert die Netzwerke seiner Opfer oft über Monate unbemerkt aus. Die Mitglieder von Carbanak werden vor allem in der Ukraine vermutet, ihre Ziele liegen meist in Russland, den USA, Deutschland und China. Verschiedene Security-Anbieter haben Carbanak im Jahr 2014 untersucht - alle kommen dabei zu unterschiedlichen Schlussfolgerungen.
"Im Fall von Carbanak machte es den Anschein, es handele sich um zwei verschiedene Gruppen, die dieselbe Malware einsetzen", meint Ariel Jungheit, Senior Security Researcher bei Kaspersky. "Die eine Gruppe konzentrierte sich auf Finanzinstitutionen, die andere auf Handelsunternehmen. Unserer Einschätzung nach gab es zunächst eine große Gruppe, die sich dann in verschiedene Untergruppen aufgeteilt hat." Im März 2018 verkündet Europol, den Kopf der Carbanak-Gruppe festgenommen zu haben. Laut Jungheit sind jedoch viele Mitglieder der Hackergruppe weiterhin aktiv und eventuell in andere Gruppierungen abgewandert.
Sandworm
Die russische Hackergruppierung Sandworm wird mit einigen der zerstörerischsten Angriffe der letzten zehn Jahre in Verbindung gebracht, darunter die Angriffe auf Energieversorger in der Ukraine in den Jahren 2015 und 2016, die Supply-Chain-Attacke mit NotPetya und die Angriffsserie auf die Olympischen Winterpsiele im Jahr 2018. Auch diverse Wahlen sollen von dieser Gruppe kompromittiert worden sein, beispielsweise in den USA 2016, in Frankreich 2017 und in Georgien im Jahr 2019.
"Die Anklage gegen russische Agenten aus dem Oktober 2019 liest sich wie eine Zusammenfassung der bedeutsamsten Cyberangriffe aller Zeiten", meint John Hultquist, VP bei Mandiant Threat Intelligence. "Wir gehen stark davon aus, dass der russische Militärnachrichtendienst GRU die Aktivitäten von Sandworm aktiv unterstützt."
In den letzten Jahren hat Sandworm seine Angriffstechniken und -methoden mit Ransomware angereichert - ein Umstand, der für Sicherheitsexperten keine Überraschung ist: "Ransomware lässt sich leicht umfunktionieren und von fähigen Angreifern auch für rein destruktive Attacken nutzen", weiß Ben Read, Director of Analysis bei Mandiant.
Evil Corp
Die russische Hackergruppe Evil Corp (auch Indrik Spider) zeichnet für einen der gefährlichsten Banking-Trojaner - Dridex - verantwortlich. Zu ihren prominentesten Opfern zählt beispielsweise Garmin. Gerichtsdokumente beweisen, dass Evil Corp ein kriminelles Franchise-Modell betreibt: Gegen eine Gebühr von 100.000 Dollar und 50 Prozent "Gewinnbeteiligung" soll sie Zugriff auf den Dridex-Trojaner gewähren. Schätzungen des FBI zufolge hat die Hackergruppe in den letzten zehn Jahren ungefähr 100 Millionen Dollar eingenommen. Laut Security-Experten soll Evil Corp auch hinter den Ransomware-Familien WastedLocker und Hades stecken. Sicherheitsanbieter ESET schreibt Evil Corp zudem die Ransomware BitPaymer zu.
"Diese Gruppe hebt sich durch ihre Effektivität ab. Ihre Mitglieder agieren wie staatlich beauftragte Hacker und verfügen über weitläufige Ressourcen und tiefgehendes Knowhow", meint Malwarebytes-Experte Kujawa. Im Jahr 2019 wurden zwei Mitglieder von Evil Corp - Maksim Yakubets und Igor Turashev - in den USA vor Gericht gestellt. Das hat den Aktivitäten der Hackergruppe jedoch keinen Abbruch getan: "Im letzten Jahr hat Evil Corp neue Tools genutzt und bekannte umbenannt, um die Maßnahmen der US-Regierung zu umgehen, die verhindern sollten, dass Betroffene den Lösegeldforderungen nachkommen. Die Gruppe wächst und gedeiht jedoch weiter - allen Maßnahmen und Sanktionen zum Trotz", weiß Adam Meyers, SVP bei CrowdStrike Intelligence.
Fancy Bear
Die russischsprachige Hackergruppe Fancy Bear existiert bereits seit Mitte der 2000er Jahre und nimmt Regierungs- und Militärorganisationen genauso wie diverse Unternehmen ins Visier. Zu ihren Opfern gehören beispielsweise der deutsche Bundestag, die NATO, das Weiße Haus oder der französische Fernsehsender TV5.
Als berüchtigtster Angriff der Gruppe gilt die Kompromittierung des Democratic National Committee in den USA im Jahr 2016 - die vermutlich die Präsidentenwahl Clinton/Trump maßgeblich beeinflusst. Laut Sicherheitsanbieter CrowdStrike hackt sich damals auch eine andere russische Hackergruppe - Cozy Bear - in das Netzwerk der US-Demokraten, allerdings sollen die beiden Gruppierungen trotz ähnlicher Nomenklatur nicht miteinander in Verbindung stehen. Fancy Bear targetiert seine Opfer im Regelfall mit Spear Phishing Mails. In einigen Fällen setzen die Cyberkriminellen für ihre Attacken auch täuschend echte Fake-Webseiten auf, um Zugangsdaten abzugreifen.
LuckyMouse
Die chinesische Hackergruppe Lucky Mouse (auch Emissary Panda, Iron Tiger oder APT27) ist ebenfalls bereits seit mehr als zehn Jahren aktiv und nimmt mit Vorliebe Botschaften und Unternehmen aus diversen Branchen ins Visier, beispielsweise aus der Luft- und Raumfahrt, der Rüstungsindustrie, dem Technologie-, Healthcare- oder Bildungssektor. Lucky Mouse werden diverse Kampagnen zugeschrieben, die sich in Nord- und Südamerika, Europa, Asien und dem Mittleren Osten abspielen.
Die Gruppe weist ausgeprägte Skills in Sachen Penetration Testing auf und nutzt für gewöhnlich öffentlich zugängliche Tools wie das Metasploit Framework, weiß Kaspersky-Experte Jungheit: "Neben Spear Phishing setzt Lucky Mouse auch auf 'Strategic web compromise', um eine kleine Gruppe von Opfern ganz gezielt zu komrpromittieren".
Experten von Trend Micro haben herausgefunden, dass die Gruppe ihre Toolsets sehr schnell modifiziert und an neue Bedingungen anpasst - was es umso schwerer macht, sie zu entdecken.
REvil
Die Hackergruppe REvil (auch Sodinokibi oder Pinchy Spider) deren Name der populären Videospiel-Reihe von Capcom entstammt, ist vor allem für ihre ruchlosen Ransomware-as-a-Service-Kampagnen bekannt und kommuniziert auf Russisch. In Erscheinung getreten sind die Cyberkriminellen erstmals im Jahr 2019 - kurz nach der berüchtigten GandCrab-Kampagne. Seitdem scheinen die Geschäfte für die Cyberkriminellen bestens zu laufen - zu ihren Opfern zählen unter anderem Acer, Honda, Travelex und Jack Daniel's.
"Die Lösegeldforderungen von REvil gehören zu den höchsten im Jahr 2021", beobachtet Jungheit. "Bei der Verbreitung von Ransomware kooperiert REvil zudem mit anderen Cyberkriminellen, die über entsprechende Foren rekrutiert werden. Diese 'Affiliates' streichen zwischen 60 und 75 Prozent der Lösegeldforderung ein", weiß der Experte. Die REvil Ransomware werde regelmäßig aktualisiert, um anhaltende Angriffe zu verschleiern, so der Experte weiter: "Die Gruppe gibt in Untergrund-Foren regelmäßig Auskunft über die neuesten Updates und auch freie Plätze in ihrem 'Partnerprogramm'."
REvil hebt sich von anderen kriminellen Hackergruppen durch ihren ausgeprägten Business-Fokus ab, wie Kujawa erklärt: "Ein Mitglied der Gruppe gab im vergangenen Jahr ein Interview, in dem er erzählte, dass die Gruppe bereits rund 100 Millionen Dollar erpresst habe und plane, für die Zukunft ihre Machenschaften mit Hilfe von DDoS-Attacken auszuweiten."
Wizard Spider
Die ebenfalls russischsprachige Gruppe Wizard Spider taucht erstmals im Jahr 2016 auf. Inzwischen gilt sie als Sammelbecken für hochtalentierte kriminelle Hacker, die für diverse Tools verantwortlich zeichnen sollen - unter anderem auch die Banking Malware Trickbot. Dabei erweitert die Hackergruppe ihr Cyberwaffenarsenal stetig und bindet auch bekannte Tools wie Ryuk mit ein, um noch profitablere Attacken zu fahren.
"Die Malware von Wizard Spider wird nicht offen in kriminellen Foren angepriesen, was darauf hindeutet, dass die Gruppe nur mit bekannten - und damit vertrauenswürdigen - Cyberkriminellen zusammenarbeitet. Wizard Spider ist für diverse großangelegte Angriffe verantwortlich, hat aber offensichtlich eine Vorliebe für Ransomware-Angriffe mit besonders hohen Lösegeldforderungen", meint CrowdStrike-Experte Meyers.
Diese Lösegeldforderungen errechnen die Mitglieder von Wizard Spider auf Grundlage des Werts ihrer Ziele - und verschont dabei keine Branche. Während der Corona-Pandemie greift die Hackergruppe diverse Healthcare-Unternehmen in den USA und auch einige Krankenhäuser und Kliniken mit Ransomware an.
Winnti
Bei Winnti (auch Barium, Double Dragon, Wicked Panda, APT41, Lead oder Bronze Atlas) handelt es sich vermutlich um ein Netzwerk verschiedener chinesischer Hackergruppen, die sowohl in staatlichem Auftrag, als auch in eigenem Interesse tätig werden. Im Rahmen ihrer Cyberspionage-Kampagnen werden diverse Healthcare- und Technologiefirmen angegriffen - oft mit dem Ziel, geistiges Eigentum zu entwenden. Der finanziell motivierte Arm der Gruppe nimmt hingegen die Videospiel-Industrie ins Visier, beschäftigt sich mit der Manipulation von Kryptowährungen und versucht, Ransomware zu verbreiten.
"Die Schwierigkeit bei Winnti besteht darin, dass die Überschneidungen - was die genutzten Tools und Methoden angeht - mit anderen Angriffskampagnen und chinesischsprachigen APT-Gruppen enorm groß sind", weiß Jungheit. Winnti wird mit diversen Schadcode-Familien und -Tools in Verbindung gebracht und setzt im Regelfall auf Spear-Phishing-Kampagnen, um Unternehmen zu kompromittieren. "In einer Kampagne, die über ein Jahr gelaufen ist, hat die Gruppe Hunderte von Systemen kompromittiert und dabei ungefähr 150 einzigartige Malware Tools zum Einsatz gebracht, darunter Backdoors, Credential Stealers, Keylogger und Rootkits", heißt es von Seiten Mandiants. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.