Teilen Sie dies:
10 staatlich gesponserte Hacker-Gruppen
Hacker-Gruppen sind heute die am schnellsten wachsende Bedrohung für die Nationen - weniger die "Hacktivisten", von denen wir hören, aber äußerst professionelle Gruppen, die für Regierungen arbeiten und von denen wir nichts hören. Staatlich gesponserte Hackergruppen haben die Fähigkeit, sich in die Netzwerke der Medien, großer Konzerne, Verteidigungsministerien und Ja-Regierungen einzumischen und Chaos zu verursachen. Sogar Sicherheitsfirmen, die sie stoppen sollen, können infiltriert werden.
Die Situation ist so schlimm, dass sie als ein weiterer "kalter Krieg" bezeichnet wird, und dieser ist wirklich global und weitgehend unsichtbar. Sogar Firmenmarken werden von Staaten ins Visier genommen, die einen wirtschaftlichen Vorsprung gegenüber konkurrierenden Nationen suchen. Da Computer-Abwehrmaßnahmen für Hacker lächerlich einfach sind, um Kompromisse einzugehen, werden die offensiven Fähigkeiten verlockender, bis sich schließlich alle gegenseitig angreifen. Es ist nur eine Frage der Zeit, bis Cyberangriffe als aktueller Krieg betrachtet werden (eine Haltung, zu der die USA bereits vorgehen). Hacker-Gruppen wie die unbenannten „Hüter des Friedens“ haben bereits gewalttätigen Terrorangriffen gedroht und die Meinungsfreiheit in Hollywood eingeschränkt.
Hier sind 10 der wichtigsten Spieler in diesem neuen Katzemausspiel mit Spionage, Sabotage und Kriegsführung.
10die syrische elektronische Armee (SEA)
Syrien
Die syrische elektronische Armee (SEA) genoss in den Jahren 2011-2013 Bekanntheit und eine Art Hassliebe mit den Medien. Die Gruppe besteht zum größten Teil aus Universitätsstudenten in Syrien oder ihren Verbündeten, die oft Propaganda für den syrischen Präsidenten Bashar al-Assad liefern. Zu den prominentesten Medienmagazinen gehörten auch die New York Times, verschiedene Twitter-Konten und sogar die Zwiebel (deren Erwiderung eher einprägsam war), was ihnen bei den Sicherheitsunternehmen einen zögerlichen Respekt verschaffte.
Die SEA organisierte auch erfolgreiche Angriffe auf CNN, Die Washington Post, und Zeit 2013 schließlich überzeugte die Gruppe die Öffentlichkeit, dass im Weißen Haus eine Explosion stattgefunden und Präsident Obama verletzt hatte. Dies hat den Aktienmarkt kurzzeitig gestört und den Dow Jones-Index um volle Prozent gesenkt.
Es ist auch bekannt, dass die SEA-Hacker dunklere Bemühungen unternehmen, z. B. auf Personen abzielen und sie einschüchtern, mit denen sie nicht einverstanden sind oder die Assad nicht unterstützen. Sie behaupten, einfache Patrioten zu sein, geben aber auch zu, relevante Informationen an den Staat weiterzuleiten, was die trübe Linie zwischen Hacktivisten und staatlich gesponserten Hackern illustriert. Die SEA arbeitet hauptsächlich mit der Verwendung von „Spear-Phishing“, einer teilweise sozial entwickelten Methode, bei der ein Benutzer dazu verleitet wird, Passwörter oder andere sensible Informationen herauszugeben, häufig durch Weiterleitung an eine gefälschte Website, die zu diesem Zweck eingerichtet wird.
Im November 2014 kehrte die SEA mit Hilfe eines Content-Delivery-Netzwerks eine Reihe von Websites zurück und „hackte“ sie mit einem Popup mit der Aufschrift: "Sie wurden von der syrischen elektronischen Armee gehackt."
9Tarh Andishan
Ich rannte
Im Jahr 2009 hatte der Iran nach dem weit verbreiteten Stuxnet-Wurmangriff eine stark gefährdete und verminderte Computerinfrastruktur. Der Iran reagierte, indem er seine Hacking-Fähigkeiten von der einfachen Website-Defazementierung zu einer umfassenden Cyber-Kriegsführung erhöhte. So wurde eine staatlich gesponserte Hacker-Gruppe mit dem Namen "Tarh Andishan" ("Denker" oder "Innovatoren" in Farsi) geboren.
Die Gruppe gewann mit "Operation Cleaver" Bekanntheit, eine Kampagne, die seit etwa 2012 aktiv ist und sich an mindestens 50 Organisationen in den Bereichen Militär, Handel, Bildung, Umwelt, Energie und Luft- und Raumfahrt richtete. Enttäuschend haben sie sich auch an große Fluggesellschaften gewandt und in einigen Fällen sogar "vollständigen Zugang" zu Fluggesellschaftstoren und Kontrollsystemen erhalten, wodurch sie möglicherweise die Zugangsdaten fälschen konnten. Die Cyber-Sicherheitsfirma Cylance, die noch keine Schlussfolgerungen in Bezug auf das Flugsicherungssystem treffen kann Langfristige Ziele der Gruppe, veröffentlichte ein früher Bericht über Tarh Andishan (der nur einen Bruchteil der Aktivitäten der Gruppe darstellt) aus Angst, dass die Operation Cleaver bereits ein "ernstes Risiko für die physische Sicherheit der Welt" darstellt.
Der Bericht enthält Beweise wie bekannte Hacker-Handles, iranische Domain-Namen, Infrastruktur-Hosting und andere Indikatoren. Cylance glaubt, dass die Infrastruktur, die Tarh Andishan zur Verfügung steht, zu groß ist, um die Arbeit einer Einzelperson oder einer kleinen Gruppe zu sein. Tarh Andishan verwendet fortschrittliche Techniken, die von SQL-Injection über fortgeschrittene Exploits bis hin zu automatisierten wurmartigen Ausbreitungssystemen, Backdoors usw. reichen. Es wird angenommen, dass sie ungefähr 20 Mitglieder haben, hauptsächlich aus Teheran, mit Hilfsmitgliedern in Kanada, Großbritannien und den Niederlanden. Zu den Opfern zählen die USA und Mittelamerika, Teile von Europa, Südkorea, Pakistan, Israel und einige andere Regionen des Nahen Ostens.
8 Dragonfly / Energetischer Bär
Osteuropa
Eine Gruppe, die Symantec "die Dragonfly-Bande" und andere Sicherheitsfirmen als "Energetic Bear" ("Energiebär") bezeichnen, operiert von Osteuropa aus und zielt seit etwa 2011 hauptsächlich auf Energieunternehmen ab. Davor konzentrierte sie sich auf die Luftfahrt- und Verteidigungssektoren, meist in den USA USA und Kanada. Symantec sagt, dass die Hacker-Gruppe "die Kennzeichen eines staatlich geförderten Vorhabens trägt und über ein hohes Maß an technischer Leistungsfähigkeit verfügt." Sie wurde zuerst von der russischen Sicherheitsfirma Kaspersky Labs entdeckt.
Dragonfly verwendet Remotezugriffstrojaner (RATs), z. B. ihre eigenen Backdoor.Oldrea- und Trojan.Karagany-Malware-Tools, um Ziele der Energiewirtschaft auszuspionieren, obwohl die Methoden auch für industrielle Sabotage eingesetzt werden könnten. Die Malware wird in der Regel an Phishing-E-Mails angehängt, obwohl die Hacker kürzlich ein Upgrade auf "Watering Hole" -Methoden für das Targeting durchgeführt haben: Es geht darum, Websites zu gefährden, die bekanntermaßen häufig vorkommen.Die Ziele werden dann über eine Reihe von Weiterleitungen gesendet, bis Oldrea oder Karagany in das System eines Opfers eingeführt werden können. In späteren Stadien ihrer Kampagne gelang es ihnen sogar, legitime Software zu infizieren, die wie üblich zusammen mit unerwünschter Malware heruntergeladen und installiert wurde.
Wie schon bei Stuxnet war die Kampagne von Dragonfly eine der ersten großen Bemühungen, industrielle Steuerungssysteme direkt anzugreifen. Im Gegensatz zu Stuxnet, das nur auf das iranische Nuklearprogramm abzielte, war die Kampagne von Dragonfly weit verbreitet. Langfristige Spionage und Zugang waren das vorrangige Ziel und die Möglichkeit, als optionale, aber furchterregende Fähigkeit, schwere Sabotage zu begehen.
7Tailored Access Operations, NSA
Vereinigte Staaten von Amerika
In der Folge von Stuxnet würden die USA im Cyberkrieg und Spionagespiel nicht zurückgelassen. Das Land behält sich das Recht vor, "alle erforderlichen Mittel - diplomatisch, informativ, militärisch und wirtschaftlich - als angemessen und im Einklang mit dem geltenden Völkerrecht zu verwenden." Die staatlich gesponserte Hacking-Gruppe der USA ist Tailored Access Operations (TAO), die von der National Security Agency betrieben wird . Es ist die Gruppe, die dafür verantwortlich ist, Edward Snowden nach der deutschen Zeitschrift berühmt zu machen Der Spiegel Durchsickerte Details, die TAO enthüllten und die Tatsache, dass die NSA Telefondaten von Tausenden von Amerikanern und Übersee-Geheimdienstzielen gesammelt hatte.
Seit mindestens 2008 konnte TAO auch PC-Lieferungen abfangen (wo der Computer abgefangen und Spionagesoftware installiert werden würde), Schwachstellen in Hardware und Software ausgenutzt und Unternehmen gehackt, die so ausgereift sind wie Microsoft (was TAO angeblich über den Absturzberichtdialog von Microsoft getan hat) Boxen zusammen mit der üblichen Palette hochentwickelter Cyber-Kriegsführungstechniken).
Die Organisation ist heutzutage nicht mehr so geheim, und die Mitarbeiter listen sich sogar auf LinkedIn auf, aber diesmal ist sie ebenso hoffnungsvoll gegen fremde Feinde. Der Hauptsitz von 600 Mitarbeitern ist im Hauptkomplex der NSA in Fort Mead, Maryland, untergebracht. Fragen Sie einfach Dean Schyvincht, der sich als TAO Senior Computer Network Operator aus dem texanischen Büro erweist. Er sagt, dass "ab 2013 über 54.000 GNE-Operationen (Global Network Exploitation, GNE) zur Unterstützung der Anforderungen der nationalen Geheimdienste" mit nur 14 Mitarbeitern unter seiner Leitung durchgeführt wurden. Wir können uns nur vorstellen, was Fort Mead vorhat.
6Ajax-Sicherheitsteam / Flying Kitten
Ich rannte
Ajax startete 2010 als Gruppe von "Hacktivisten" und Website-Entführern aus dem Iran, die jedoch vom Aktivismus zur Cyberspionage und zum Ausflug von politischen Dissidenten gingen. Sie bestreiten, dass sie vom Staat gesponsert werden, aber viele glauben, dass sie von der iranischen Regierung eingestellt wurden - ein zunehmend übliches Muster, bei dem eine Gruppe durch ihre öffentlichen Aktivitäten die Aufmerksamkeit einer Regierung erlangt, um staatliche Unterstützung zu erhalten.
Ajax wurde auf Sicherheitsfirmen und Gruppen wie CrowdStrike aufmerksam, als eine Reihe von Fehlern (von denen einer den Ermittlern die tatsächliche E-Mail-Adresse eines Mitglieds angab) Angriffe auf die US-Verteidigungsindustrie und iranische Dissidenten enthüllte. Die Firma FireEye glaubt, dass Ajax für "Operation Saffron Rose" verantwortlich war - eine Serie von Phishing-Angriffen und Versuche, Microsoft Outlook Web Access- und VPN-Seiten zu fälschen, um Informationen und Ausweise in der US-Verteidigungsindustrie zu erhalten. Die Gruppe stellte auch Dissidenten vor, indem sie sie mit korrupten Anti-Zensur-Instrumenten lockte.
Gruppen wie diese zeigen eine wachsende „Grauzone zwischen den Cyberspionage-Fähigkeiten der iranischen Hacker-Gruppen und jeder direkten iranischen Regierung oder militärischen Beteiligung.“ Diese verwischende Linie zwischen Gruppen und Regierungen wird sich in der Zukunft wahrscheinlich verstärken.
5APT28
Russland
„APT“ steht für „Advanced Persistent Threat“ (fortgeschrittene persistente Bedrohung), eine Bezeichnung, die von Sicherheitsunternehmen in Berichten über Hacker-Gruppen verwendet wird. Manchmal - wenn es wenig mehr zu tun gibt - werden solche Gruppen nach diesen Berichten benannt. Dies ist der Fall bei einer gefährlichen Gruppe mit dem Namen "APT28", von der man annimmt, dass sie außerhalb Russlands operiert. Seit mindestens 2007 befasst sie sich mit fortgeschrittener Cyberspionage.
Russland gilt als eines der weltweit führenden Unternehmen im Bereich der Cyberkriegsführung. Es ist jedoch schwierig, schlüssige Beweise zu finden, die APT28 mit Moskau verbinden. Laut FireEyes Vizepräsident von Threat Intelligence zeigt der Bericht, dass die von APT28 verwendeten und erstellten Malware und Tools durchgängig auf Russisch lautende Sprecher während der Geschäftszeiten verweisen, die der Zeitzone der russischen Großstädte wie Moskau und St. Petersburg entsprechen . ”
Die Gruppe nutzte eine Reihe von Methoden und Angriffen gegen militärische und politische Ziele in den USA und in Osteuropa, darunter besonders wertvolle Ziele für Russland wie Georgien. Sie hat sogar die NATO ins Visier genommen, und in einem anderen Bericht hat ein Beamter des Weißen Hauses bestätigt, dass sich die Gruppe in nicht klassifizierte Netzwerke des Weißen Hauses gehackt hat und möglicherweise die Ukraine angegriffen hat.
4Einheit 61398 / Comment Crew / Putter Panda
China
https://www.youtube.com/watch?v=YqiaVMCVCSQ
Im Jahr 2013 veröffentlichte Mandiant einen Bericht, in dem behauptet wurde, China sei mit seiner Hand im Informations-Keksdose erwischt worden. Mandiant kam zu dem Schluss, dass eine Gruppe, die für die chinesische Eliteeinheit 61398 tätig war, Hunderten Terabytes an Daten von mindestens 141 Organisationen in englischsprachigen Ländern gestohlen hatte. Mandiant stützte diese Behauptung auf Beweise wie die IP-Adressen von Shanghai, Computer, die die Spracheinstellungen für vereinfachtes Chinesisch verwenden, und Hinweise darauf, dass zahlreiche Personen anstelle von automatisierten Systemen hinter den Angriffen steckten.
China wies die Behauptungen zurück und sagte, dass der Bericht "nicht auf Fakten beruht" und "es fehlt an technischen Beweisen". Brad Glosserman, Geschäftsführer des Pacific Forum des Center for Strategic and International Studies, wies dies zurück und wies darauf hin, dass die Beweise genommen wurden zusammen mit der Art der gestohlenen Informationen unterstützt keine Ablehnung. Mandiant wusste sogar, woher die meisten Angriffe kamen: ein zwölfstöckiges Gebäude außerhalb von Shanghai, in dem die Hacker Zugang zu Hochleistungs-Glasfaserkabeln hatten.
Es wird berichtet, dass ungefähr 20 hochrangige Hacker-Gruppen aus China kommen, und zumindest einige von ihnen sollen der Volksbefreiungsarmee (dem chinesischen Militär) Bericht erstatten. Dazu gehören Comment Crew und Putter Panda, eine Hacker-Gruppe, die seit 2007 aktiv ist und angeblich aus PLA-eigenen Gebäuden gearbeitet hat. Sie trugen dazu bei, 2014 eine anhaltende Anklage in den USA gegen eine Gruppe von fünf Personen auszulösen.
3Axiom
China
Eine Koalition aus sicherheitsrelevanten Gruppen wie Bit9, Microsoft, Symantec, ThreatConnect, Volexity und anderen hat eine andere gefährliche Gruppe identifiziert, die sie als "Axiom" bezeichnet haben. Die Gruppe ist auf Unternehmensspionage und das Ausrichten politischer Dissidenten spezialisiert war hinter dem Angriff von 2010 auf Google. Es wird angenommen, dass Axiom aus China kommt, aber bisher konnte niemand feststellen, wo die Gruppe auf dem chinesischen Festland tätig ist. Ein Bericht der Koalition stellte fest, dass sich die Aktivitäten von Axiom mit dem Verantwortungsbereich der chinesischen Geheimdienste überschneiden, ein Urteil, das auch von einem FBI-Flash unterstützt wurde, das Infragard freigelassen wurde.
In dem Bericht wird Axiom als mögliche Untergruppe einer größeren unbenannten Gruppe bezeichnet, die seit mehr als sechs Jahren in Betrieb ist und hauptsächlich auf private Wirtschaftszweige abzielt, die im wirtschaftlichen Bereich einflussreich sind. Sie verwenden Techniken, die von generischen Malware-Angriffen bis zu ausgefeilten Hacking-Exploits reichen, deren Verwirklichung Jahre dauern kann. Auch westliche Regierungen, demokratieorientierte Institutionen und Dissidenten innerhalb und außerhalb Chinas wurden anvisiert. Der Sprecher der chinesischen Botschaft, Geng Shuang, erklärte, dass "solche Berichte oder Anschuldigungen nach den Erfahrungen der Vergangenheit zu fiktiven Ergebnissen gehören" und dass die Regierung in Peking "alles getan hat, um solche Aktivitäten zu bekämpfen."
2Bureau 121
Pjöngjang, Nordkorea
Inzwischen haben die meisten Leute von den Angriffen auf Sony Pictures gehört, als Hacker sich "Guardians of Peace" (GOP) nennen. Die Gruppe gab an, verärgert zu sein Das Interview-ein bevorstehender Film, der die Ermordung des nordkoreanischen Führers Kim Jong-un zeigt. Guardians of Peace drohte sogar mit Terroranschlägen im 9/11-Stil gegen Sony-Einrichtungen und -Kinos, wenn Das Interview wurde veröffentlicht, zusammen mit Angriffen gegen die beteiligten Schauspieler und Führungskräfte. Die GOP schrieb: „Was in den nächsten Tagen kommt, wird von der Gier von Sony Pictures Entertainment gerufen. Die ganze Welt wird die SONY anprangern. "
Die Verbindungen zu Nordkorea haben zu Anschuldigungen geführt, dass die Nation selbst zumindest für einige Angriffe verantwortlich war. Dies hat eine Gruppe namens Bureau 121 in die Medien getrieben. Bureau 121 ist ein Cyber Warfare Kader nordkoreanischer Hacker und Computerexperten. Überläufer haben behauptet, dass die Gruppe zum General Bureau of Reconnaissance, Nordkoreas militärischer Spionageagentur, gehört. Sie führt im Auftrag der Regierung von Pjöngjang staatlich gesponserte Hacks und Sabotage gegen Südkorea durch und nimmt Feinde wie die USA wahr. Im Jahr 2013 wurde der Gruppe ein Angriff auf 30.000 PCs in südkoreanischen Banken und Rundfunkunternehmen zugeschrieben. Laut einigen Mitgliedern umfasst Bureau 121 etwa 1.800 Mitglieder, die als Eliten behandelt werden und mit reichlich Anreizen wie reichen Löhnen und der Möglichkeit ausgestattet sind, ihre Familien mitzubringen, wenn ihnen Wohnraum in Pjöngjang zugewiesen wird. Überläufer Jang Se-yul, der behauptet, bei der Gruppe an der nordkoreanischen Militärhochschule für Informatik (University of Automation) studiert zu haben, sagte gegenüber Reuters, dass es in Übersee Abteilungen der Gruppe gibt, die in rechtmäßige Geschäfte eingebettet sind.
Aber steckt die nordkoreanische Regierung wirklich hinter den Anschlägen? Ein Sprecher weigerte sich, dies zu klären, und sagte nur: „Die feindlichen Streitkräfte beziehen alles auf die Nordkorea (Nordkorea). Ich empfehle Ihnen, einfach abzuwarten. “Das Weiße Haus sagte gegenüber CNN, dass sie„ eine Verbindung zur nordkoreanischen Regierung gefunden haben “und„ eine Reihe von Optionen für das Abwägen einer möglichen Reaktion in Betracht zogen “. Auf jeden Fall gab Sony nach in die Drohungen. Nachdem viele Kinos die Weihnachtseröffnung des Films fallen ließen, zog das Unternehmen den Film auf unbestimmte Zeit - ein Schritt, der für die Redefreiheit in einer Welt, in der jeder Cyber-Bully mit ausreichenden Hacker-Fähigkeiten etwas Gutes finden kann, nicht gut aussieht. Hinweis: Seit dem Schreiben hat Sony den Film in einer begrenzten Kapazität veröffentlicht.
1Hidden Luchs
China
„Hidden Lynx“ (ein Name von Symantec) ist eine der neuesten aktiven Gruppen. Ein Bericht aus dem Jahr 2013 beschreibt sie als ein äußerst organisiertes und erfahrenes Team von Hackern (etwa 50-100) mit einer großen Menge an Ressourcen und der Geduld, sie einzusetzen. Sie nutzen regelmäßig die neuesten Hacking-Techniken, einschließlich der Signatur von „Wasserlöchern“. Dies war eine der Methoden, die 2013 eingesetzt wurde, um die Cloud-basierte Sicherheitsfirma Bit9 zu infiltrieren, um Zugang zu ihnen zu erhalten Kunden.
Diese Leute suchen nicht nur nach Anmeldeinformationen für Spiele, zielen auf Peer-to-Peer-Benutzer oder auf Identitätsdiebstahl (obwohl sie auch all das tun).Sie verfolgen einige der sichersten Ziele der Welt, darunter Verteidigungsindustrien, hochrangige Unternehmen und Regierungen großer Nationen, wobei die Angriffe auf die USA, China, Taiwan und Südkorea gerichtet sind. Sie sind die Quintessenz der Söldner-Hacker-Organisation im Hollywood-Stil.
Alle Hinweise deuten darauf hin, dass China die Hauptbasis von Hidden Lynx ist, aber es ist nicht sicher, ob es sich um eine Art staatlich gesponserte Entität oder um eine mächtige Söldnergruppe handelt. Aufgrund ihrer fortschrittlichen Fähigkeiten und Techniken sowie der Tatsache, dass ihre Infrastruktur und ihre Bedien- und Steuerungsserver alle aus China stammen, ist es sehr unwahrscheinlich, dass die Gruppe nicht unterstützt wird.