USA setzen Millionen-Kopfgeld auf Hackerbande Sandworm aus

Das Aussenministerium der Vereinigten Staaten von Amerika bietet eine Belohnung von bis zu 10 Millionen US-Dollar für Informationen zu der russischen Hackergruppe Sandworm - auch bekannt als Telebots, Voodoo Bear und Iron Viking. Die Gruppe erlangte internationale Aufmerksamkeit durch ihre Attacken auf die ukrainische Stromversorgung sowie für ihre Einmischungen in Wahlkämpfen in den USA und in Frankreich.

Das Kopfgeld ist Teil des "Rewards for Justice"-Programms. Dieses belohnt Personen mit Informationen, die zur Identifikation oder Auffindung von Personen führen, die auf Anweisung ausländischer Regierungen Cyberattacken auf US-amerikanische Infrastrukturen lancierten

Die Hackergruppe ist schon seit mindestens 2014 aktiv. Wohl schon genauso lange mutmassten Sicherheitsexperten über mögliche Verbindungen zu Russland. Ende 2020 identifizierte das Justizministerium der Vereinigten Staaten von Amerika Sandworm offiziell als Teil des russischen Militärs. Hinter dem Namen steck die Militäreinheit 74455 des leitenden Zentralorgans (GRU) des russischen Militärnachrichtendienstes.

Das "Rewards for Justice"-Programm richtete eine Tor-basierte Tip-Hotline ein. Wer einen Tor-Browser nutzt, kann diesen hier erreichen: he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion. Das Programm ist bereits seit 1984 aktiv und verteilte seitdem Belohnungen an über 100 Personen in der Höhe von insgesamt 200 Millionen Dollar. Zusätzlich zu den Geldbeträgen bietet das Programm auch eine Umsiedlung für Informanten an.

Eine lange Liste an politisch motivierten Cyberattacken

In seiner mittlerweile mindestens 8-jährigen Bestehensgeschichte hat Sandworm zahlreiche Cyberattacken im grossen Stil ausgeübt. Aufgrund von Gemeinsamkeiten im Code konnten Securityfirmen feststellen, dass die Gruppierung verantwortlich ist für die Schadprogramme Blackenergy, Greyenergy, Industroyer, NotPetya, Caddywiper, Olympic Destroyer und Exaramel, wie eine Analyse von Eset zeigt.

Die ersten Angriffe von Sandworm - von denen man weiss - zielten 2014 auf die ukrainische Stromversorgung sowie auf verschiedene politische Einrichtungen des Landes ab. Auch die aktuellen Attacken, welche die Invasion der Ukraine durch russische Truppen im April 2022 flankierten, sollen auf das Konto von Sandworm gehen.

 

 

 

 

Sieh dir diesen Beitrag auf Instagram an

 

 

 

 

 

 

 

 

 

 

 

Ein Beitrag geteilt von SwissCybersecurity.net (@swisscybersecurity)

In 2016 versuchte die Gruppe, mit einer Spear-Phishing-Kampagne die Präsidentschaftswahl in den USA und in 2017 die in Frankreich zu stören. Im gleichen Jahr liess Sandworm auch die destruktive Ransomware NotPetya auf die Welt los. Ende 2017 und Anfang 2018 griff die Hackergruppe verschiedene Ziele im Zusammenhang mit den Olympischen Winterspielen 2018 in Pyeongchang an.

Übrigens: Den Namen Sandworm erhielt die Truppe von der Security-Firma iSight Partners. Sicherheitsforscher der Firma fanden in den Binärdateien von Blackenergy nämlich die folgenden Bezeichnungen im Code des Schadprogramms: "arrakis02", "houseatreides94", "BasharoftheSardaukars", "SalusaSecundus2" und "epsiloneridani0". Dabei handelt es sich um eindeutige Anspielungen auf den Roman "Der Wüstenplanet" (Dune) von Frank Herbert. Interessant ist, dass neben Planeten und Familiennamen mit "Sardaukar" auch eine antagonistische militärische Einheit im Code verewigt wurde.

Eine detaillierte Auflistung der Cyberattacken, die Sandworm zugeordnet werden, sowie Hintergründe zur Hackertruppe bietet die ausführliche Analyse von Eset.

Mehr zum Cyberkrieg in der Ukraine können Sie hier im Onlinedossier lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.