Sandworm

Aktivitäten

Bekannte Attacken waren der Hackerangriff auf die ukrainische Stromversorgung 2015, die Attacke gegen die Ukraine im Jahr 2017 mit Petya sowie eine Cyberattacke gegen die Olympischen Winterspiele 2018, wobei das Backend angegriffen wurde.^[2]

Am 18. Oktober 2021 veröffentlichte die US-Bundespolizei FBI beziehungsweise das Department of Justice Haftbefehle gegen sechs russische Bürger, die Teil von Sandworm sein sollen: Juri Andrienko, Sergei Detistow, Pawel Frolow, Artjom Otschitschenko, Pjotr Pliskin und Anatoli Kowalew. Pliskin und Kowalew sollen auch bei einem Crack gegen die Demokraten bei der US-Präsidentschaftswahl 2016 beteiligt gewesen sein (siehe Russische Einflussnahme auf den Wahlkampf in den Vereinigten Staaten 2016).^[2] Inzwischen hat das US-Außenministerium im April 2022 ein Kopfgeld von 10 Millionen US-Dollar ausgelobt, auch um weitere Informationen zur Gruppe zu erhalten.^[1]

Im selben Monat hatte die Einheit im Rahmen des Krieges gegen die Ukraine mehrere Angriffe auf Umspannwerke eingeleitet, die jedoch rechtzeitig vereitelt wurden.^[5]

Remove ads

Cyclops Blink

Seit 2019 existiert die Malware Cyclops Blink, welche Sandworm zugeschrieben wird. Sie ist ein modulares Werkzeug und wurde vor allem dafür bekannt, dass sie die Firewalls von Watchguard befällt. Cyclops Blink verfügt über ein Botnetz und nutzt die Schwachstelle von Watchguard, um die Hardware als Command and Control Server oder als Drohne zu missbrauchen. Die Kommunikation im Botnet wird mit TLS verschlüsselt. Die Malware kann weitere Software herunterladen, um weiter in das zu attackierte Netz einzudringen. Watchguard hat eine Anleitung veröffentlicht, wie die Malware zu entfernen ist.^[6]^[7]

Remove ads

AcidRain

Sandworm entwickelte vermutlich eine Malware, welche unter dem Namen AcidRain bekannt ist. Diese Malware griff in den Anfangstagen des Ukrainekrieges das KA-Sat-9A-Modem an, welches von Viasat Inc. für Internetverbindungen über Satellit benötigt wird. Die Ukraine benutzt solche Modems als Backup. Prominentes Opfer außerhalb der Ukraine war die Firma Enercon, welche den Router von Viasat für die Fernwartung von Windenergieanlagen verwendet.^[8]

Ukraine-Krieg

Es wird vermutet, dass sich auch Sandworm im Rahmen des Russischen Überfalls auf die Ukraine mit Cyberattacken auf die Infrastruktur des angegriffenen Landes beteiligt. Im Verlauf des Kriegs konnte folgende Schadsoftware gefunden werden: Orcshred, Soloshred, Awfulshred und CaddyWiper. Zudem wurde eine aktualisierte Fassung der Schadsoftware Industroyer entdeckt, welche schon früher bei Cyberangriffen gegen die Stromversorgung verwendet wurde.^[9]

Remove ads

Vulkan Files

Im März 2023 wurden in den Medien die Vulkan Files bekannt, in denen Interna von Sandworm und der IT-Firma NTC Vulkan westlichen Medien zugespielt wurden. Es zeigte sich, dass die russische Firma als Zuträger für Sandworm arbeitet. Die IT-Firma hat u. a. eine Software namens Scan-V geschrieben. Diese Software soll in großem Ausmaß das Internet nach Schwachstellen durchsuchen. Ein anonymer Twitteraccount hatte bereits 2020 darauf hingewiesen, dass NTC Vulkan und Sandworm zusammenarbeiten. Jedoch lieferte der Account keine Belege und niemand sonst veröffentlichte damals etwas zu dieser Verbindung.^[10]

Remove ads

Solntsepek

Eine Gruppe Namens Solntsepek tauchte im Jahr 2023 auf und attackierte am 12. Dezember des Jahres das ukrainische Telekommunikationsunternehmen Kyivstar mit der Wirkung, dass die Kommunikation des Unternehmens für zwei Tage komplett unterbrochen war. Vermutet wird, dass die Gruppe Sandworm hinter Solntsepek steckt. Solntsepek hatte auch schon das ukrainische Luftalarmsystem erfolgreich attackiert, so dass dieses nicht mehr einsatzbereit war.^[11]^[12]

Remove ads

Aktivitäten

Cyclops Blink

AcidRain

Ukraine-Krieg

Vulkan Files

Solntsepek

Literatur

Weblinks

Einzelnachweise

Wikiwand - on