"Operation Medusa": Die US-Bundespolizei hat russische Spionage-Software deaktiviert.Bild: Pexels / Marti Mango
Analyse
Das FBI hat das leistungsfähigste Cyberspionage-Tool des russischen Geheimdienstes sabotiert und unschädlich gemacht. Es soll Ziele in 50 Ländern ausspioniert haben. Der "Operation Medusa" gingen acht Jahre Ermittlungen voraus.
Oliver Wietlisbach / watson.ch
Das FBI hat eine von russischen Elitespionen gegen westliche Behörden und Unternehmen eingesetzte Hacking-Software sabotiert und lahmgelegt. Es handelt sich um die berüchtigte Snake-Malware, ein Toolkit für Cyberspionage, die von der Hackergruppe Turla des russischen Geheimdienstes FSB seit fast zwei Jahrzehnten betrieben wird. Dies teilten hochrangige Vertreter der US-Strafverfolgungsbehörden am Dienstag mit.
Die Beseitigung der Schadsoftware war Teil der sogenannten "Operation Medusa", die einem der führenden russischen Cyberspionage-Programme den Todesstoß versetzen soll. "Wir schätzen dies als ihr wichtigstes Spionagewerkzeug ein", sagte einer der Behördenvertreter. Man hoffe, dass der Schlag die Spionagegruppe Turla "vom virtuellen Schlachtfeld auslöschen" werde.
Turla gilt weithin als eine der raffiniertesten Hackergruppen. Ein FBI-Vertreter sagte, die Gruppe sei seit zwei Jahrzehnten gegen eine Vielzahl von Zielen in der NATO, bei US-Regierungsstellen und Technologieunternehmen aktiv. Die laut den USA vom russischen Inlandsgeheimdienst FSB gesteuerte Gruppe agierte jahrelang im Verborgenen.
Wie die USA Putins Elitehackern auf die Schliche kamen
Gerichtsdokumenten zufolge haben das FBI und Geheimdienste in den USA, Großbritannien, Kanada, Australien und Neuseeland die russische Snake-Malware und ihre Funktionsweise seit mindestens acht Jahren untersucht, seit sie 2015 in den Netzwerken mehrerer US-Organisationen gefunden worden war. Konkret analysierten die Cyberexperten, wie die gut getarnte Schadsoftware verschlüsselt nach Hause telefoniert und wie die Hackergruppe die Daten unbemerkt von infizierten Computersystemen herunterlädt.
Putins Elitehacker sind in den USA aufgeflogen.Bild: Pool Sputnik Kremlin / Mikhail Klimentyev/ AP
US-Beamte bezeichneten Snake als das "fortschrittlichste Cyberspionage-Tool" des FSB. Es könne nebst Windows auch Linux und macOS infiltrieren. Russlands Inlandsgeheimdienst habe die Malware genutzt, um sensible Informationen von hochrangigen Zielen wie Regierungsnetzwerken, Forschungseinrichtungen und Journalisten zu erbeuten.
Sobald sich Snake auf einem Computersystem eingenistet hat, lädt das Programm weitere Software-Module nach, die es den Hackern erlauben, unbemerkt über verschlüsselte Verbindungen vertrauliche Daten zu exfiltrieren.
Die mit Snake infizierten Computersysteme wurden nicht nur zum Sammeln von Daten missbraucht, sondern dienten auch unfreiwillig als Proxyserver respektive Botnet, mit dem der Datenverkehr anderer Snake-Angriffe verborgen wurde.
FBI sicher: Hacker kommen aus Russland
Das geschickte und behutsame Vorgehen der Hacker machte die Cyberangriffe jahrelang weitestgehend unsichtbar. Doch als die Ermittler der Gruppe 2015 auf die Schliche kamen, gelang es nicht nur, weitere mit Snake infizierte Systeme zu enttarnen. Es war gar möglich, "das Hauptoperationszentrum der Malware ausfindig zu machen", wie der auf Cybersecurity spezialisierte News-Dienst Risky Biz News berichtet. Demnach konnte Snake mit einer FSB-Einrichtung in Ryazan, einer Stadt 200 Kilometer südöstlich von Moskau, in Verbindung gebracht werden.
Dem FBI und seinen Partnern gelang es nun, die Infrastruktur der Hacker mit einer eigenen Software lahmzulegen. Das FBI stützte sich dabei auf bestehende Durchsuchungsbefehle, um aus der Ferne auf das russische Schadprogramm in den Netzwerken der Opfer in den USA zuzugreifen und seine Verbindungen zu den Hackern in Russland zu trennen.
Ein hochrangiger FBI-Beamter sagte gegenüber Reuters, das Tool des FBI sei ausschließlich zum Ausschalten des russischen Spionageprogramms konzipiert worden. Es tue dies, ohne auf die persönlichen Daten des Opfers zuzugreifen.
Nach Angaben der Behörden wurde die Malware auf Systemen in mehr als 50 Ländern gefunden. Obwohl das FBI Snake lahmgelegt hat und nun Behörden in anderen Ländern informiert werden, wie Snake entfernt werden kann, bleibt das Risiko für infizierte Computersysteme hoch. Das FBI warnt, dass die Hacker fast immer einen Keylogger auf infizierten Systemen einsetzen und mit den erbeuteten Zugangsdaten zurückkehren können, sofern die entsprechenden Passwörter nicht geändert wurden.
Von Russland lag zunächst keine Stellungnahme vor. Die Führung in Moskau bestreitet regelmässig, in Cyberspionage verstrickt zu sein.
Vor mehr als 1000 Tagen fing es mit 5000 Helmen an. Russland startete völkerrechtswidrig einen Großangriff auf die Ukraine – und Deutschland antwortete mit der Lieferung von Militärhelmen.