Eine internationale Untersuchung zeigte, wie die russische GRU-Cybereinheit, bekannt als „Fancy Bear“, sensible Informationen von Regierungen und dem Militär mithilfe schlecht geschützter Router stehlen konnte.
Russische Militär-Hacker stahlen sensible Informationen von Regierungen, Militärs und kritischer Infrastruktur, „weltweit verwundbare Router auszunutzen“, wie das FBI am Mittwoch im Anschluss an eine groß angelegte internationale Untersuchung bekanntgab.
Das US-Justizministerium, zusammen mit internationalen Partnern, deckte die groß angelegte Operation auf, wobei die russische Hacking-Gruppe Fancy Bear als Urheber identifiziert wurde.
Die Hacker, die der GRU, dem militärischen Geheimdienst Russlands, angehören und als GRU-Einheit 26165 bekannt sind, leiteten den Internetverkehr durch schlecht geschützte Router um, um Passwörter und verschlüsselte Daten zu stehlen, gemäß einer gemeinsamen Erklärung.
Der Sicherheitsdienst der Ukraine, SBU, der ebenfalls an der Untersuchung beteiligt war, erklärte, dass nachdem sie verwundbare Internetgeräte kompromittiert hatten, der russische Hacker-Verkehr durch ein zuvor bereitgestelltes DNS-Servernetzwerk umgeleitet wurde.
„Auf diese Weise wirkten sie als ‚Zwischenmänner‘ im Online-Raum, um Passwörter, Authentifizierungstoken und andere sensible Informationen zu sammeln, einschließlich E-Mails, die unter normalen Umständen durch die kryptographischen Protokolle SSL (Secure Sockets Layer) und TLS (Transport Layer Security) geschützt sind“, sagte die SBU.
Die SBU erklärte, dass die GRU-Operativen planten, die erhaltenen Informationen zu „Cyberangriffen, Informationssabotage und dem Sammeln von Geheimdienstinformationen“ zu verwenden.
Laut der SBU-Aussage legten die russischen Spezialdienste besonderes Augenmerk auf Informationen, die von Mitarbeitern und Militärangehörigen staatlicher Behörden, Einheiten der ukrainischen Armee und Unternehmen innerhalb des Verteidigungsindustriezweigs ausgetauscht wurden.
Das FBI erklärte, dass die GRU „ohne Diskriminierung eine breite Palette von US-amerikanischen und globalen Opfern kompromittiert hat und dann betroffene Nutzer weiter gefiltert hat, wobei sie insbesondere Informationen in Bezug auf Militär, Regierung und kritische Infrastruktur ins Visier nahmen.“
Die Untersuchung ergab, dass die Gruppe diese Technik mindestens seit 2024 einsetzt, um Daten zu erlangen.
Rumänien, eines der an der Operation beteiligten Länder, sagte, die GRU-Cyberoperativen „sammelten militärische, staatliche und informationenbezogene Informationen in Bezug auf kritische Infrastruktur“, so Präsident Nicușor Dan.
„Russland setzt daher seinen hybriden Krieg gegen westliche Länder fort – nur jene, die schlechtgläubig handeln, könnten dies übersehen“, schrieb Dan in einem Beitrag auf X.
Nachrichtendienste und Strafverfolgungsbehörden in den USA, Großbritannien, der Ukraine, Polen, Deutschland, Italien, Kanada, der Tschechischen Republik, der Slowakei, Dänemark, Finnland, Norwegen, Rumänien, Portugal und den baltischen Staaten waren allesamt an der Untersuchung beteiligt.
Was ist „Fancy Bear“?
Die Gruppe wurde als russische GRU 85th Main Special Service Centre (85th GTsSS) Cyberakteure identifiziert, auch bekannt als APT28, Fancy Bear, Tsar Team und Forest Blizzard.
Eine berüchtigte russische Cyber-Spionagegruppe des russischen Militärgeheimdienstes, sie ist seit mindestens 2004 aktiv, während einige Quellen behaupten, die Unit 26165 — eine Bezeichnung, die typisch für russische Armeeeinheiten ist — sei in den sowjetischen Zeiten in den 1970er Jahren erstmals entstanden.
Es ist unklar, wie viele Mitglieder die Gruppe hat, doch US-Behörden und journalistische Untersuchungen haben zuvor Belege dafür erbracht, dass die Einheit vom Kreml staatlich finanziert wurde und über umfangreiche Ressourcen verfügte.
Behörden gehen davon aus, dass Fancy Bear hinter den Hacks von 2015 auf den Bundestag Deutschlands, den französischen Sender TV5Monde und mehreren US-Banken, darunter Bank of America, steckte.
Es wurde auch festgestellt, dass sie in andere Cyberangriffe gegen die Ukraine, die NATO, OSZE und Verteidigungsauftragnehmer wie Academi (früher bekannt als Blackwater), Boeing, Lockheed Martin und andere die Hauptakteur war.
Westliche Regierungen und Sicherheitsexperten machten Fancy Bear auch für einen Angriff auf das Democratic National Committee im Vorfeld der US-Wahlen 2016 verantwortlich.
Auch im Jahr 2016 stahlen Fancy-Bear-Hacker die medizinischen Daten von Athleten von der World Anti-Doping Agency oder WADA.
Sie veröffentlichten anschließend persönliche Informationen, die sie über einige der weltweit bekanntesten Athleten erhalten hatten, darunter Venus und Serena Williams.
