Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
HeimDie Untergrundgeschichte von Turla, Russlands genialster Hackergruppe
Andy Greenberg
Wenn man westliche Cybersicherheits-Intelligence-Analysten fragt, wer ihre „Lieblingsgruppe“ ausländischer, staatlich geförderter Hacker ist – der Gegner, den sie nur widerwillig bewundern und obsessiv studieren –, werden die meisten keine der zahlreichen Hackergruppen nennen, für die sie arbeiten China oder Nordkorea. Nicht Chinas APT41 mit seinen dreisten Lieferkettenangriffen, noch die nordkoreanischen Lazarus-Hacker, die massive Kryptowährungsraubzüge begehen. Die meisten werden nicht einmal auf Russlands berüchtigte Sandworm-Hackergruppe verweisen, trotz der beispiellosen Blackout-Cyberangriffe der Militäreinheit auf Stromnetze oder destruktiven, sich selbst replizierenden Codes.
Stattdessen neigen Kenner des Computereinbruchs dazu, ein weitaus subtileres Team von Cyberspionen zu nennen, das in verschiedenen Formen viel länger als alle anderen stillschweigend in Netzwerke im gesamten Westen eingedrungen ist: eine Gruppe namens Turla.
Letzte Woche gaben das US-Justizministerium und das FBI bekannt, dass sie eine Operation von Turla – auch bekannt unter Namen wie Venomous Bear und Waterbug – abgewehrt haben, bei der Computer in mehr als 50 Ländern mit einer Schadsoftware namens Snake infiziert wurden US-Behörden bezeichneten es als „erstes Spionageinstrument“ des russischen Geheimdienstes FSB. Indem sie Turlas Netzwerk gehackter Maschinen infiltrierte und der Malware einen Befehl zur Selbstlöschung schickte, versetzte die US-Regierung Turlas weltweiten Spionagekampagnen einen schweren Rückschlag.
Doch in ihrer Ankündigung – und in den zur Durchführung der Operation eingereichten Gerichtsdokumenten – gingen FBI und DOJ noch weiter und bestätigten zum ersten Mal offiziell die Berichterstattung einer Gruppe deutscher Journalisten aus dem vergangenen Jahr, die enthüllte, dass Turla für das FSB-Zentrum 16 arbeitet Gruppe in Rjasan, außerhalb von Moskau. Es deutete auch auf Turlas unglaubliche Langlebigkeit als Top-Cyberspionage-Agentur hin: In einer vom FBI eingereichten eidesstattlichen Erklärung heißt es, dass Turlas Snake-Malware seit fast 20 Jahren im Einsatz sei.
Tatsächlich ist Turla wohl schon seit mindestens 25 Jahren tätig, sagt Thomas Rid, Professor für strategische Studien und Cybersicherheitshistoriker an der Johns Hopkins University. Er verweist auf Beweise dafür, dass es Turla – oder zumindest eine Art Proto-Turla, der zu der Gruppe werden sollte, die wir heute kennen – war, die die erste Cyberspionageoperation eines Geheimdienstes gegen die USA durchführte, eine mehrjährige Hacking-Kampagne namens Mondscheinlabyrinth.
Angesichts dieser Geschichte werde die Gruppe auf jeden Fall zurückkommen, sagt Rid, selbst nach der jüngsten Störung ihres Instrumentariums durch das FBI. „Turla ist wirklich der Inbegriff von APT“, sagt Rid und verwendet die Abkürzung für „Advanced Persistent Threat“, einen Begriff, den die Cybersicherheitsbranche für staatlich geförderte Elite-Hacking-Gruppen verwendet. „Seine Werkzeuge sind sehr ausgeklügelt, sie sind heimlich und sie sind ausdauernd. Ein Vierteljahrhundert spricht für sich. Wirklich, es ist der Gegner Nummer eins.“
Im Laufe seiner Geschichte verschwand Turla über Jahre hinweg immer wieder im Schatten, um dann wieder in gut geschützten Netzwerken aufzutauchen, darunter denen des US-Pentagons, von Verteidigungsunternehmen und europäischen Regierungsbehörden. Aber noch mehr als seine Langlebigkeit ist es Turlas sich ständig weiterentwickelnder technischer Einfallsreichtum – von USB-Würmern über satellitengestütztes Hacken bis hin zur Kaperung der Infrastruktur anderer Hacker –, der das Unternehmen in diesen 25 Jahren auszeichnete, sagt Juan Andres Guerrero-Saade, Leiter der Bedrohungsaufklärung Recherche beim Sicherheitsunternehmen SentinelOne. „Sieh dir Turla an, und es gibt mehrere Phasen, in denen, oh mein Gott, sie diese erstaunliche Sache gemacht haben, sie haben diese andere Sache als Pioniere vorangetrieben, sie haben eine clevere Technik ausprobiert, die noch niemand zuvor gemacht hatte, sie haben sie skaliert und umgesetzt“, sagt Guerrero -Saade. „Sie sind sowohl innovativ als auch pragmatisch und das macht sie zu einer ganz besonderen APT-Gruppe, die man im Auge behalten sollte.“
Brenda Stolyar
Will Knight
WIRED-Mitarbeiter
Medea Jordan
Hier ist eine kurze Geschichte von Turlas zweieinhalb Jahrzehnten elitärer digitaler Spionage, die bis zu den Anfängen des staatlich geförderten Spionage-Wettrüstens zurückreicht.
Als das Pentagon damit begann, eine Reihe von Eingriffen in US-Regierungssysteme als eine einzige, weitläufige Spionageoperation zu untersuchen, lief die Operation bereits seit mindestens zwei Jahren und schöpfte in großem Umfang amerikanische Geheimnisse aus. Im Jahr 1998 entdeckten Bundesermittler, dass eine mysteriöse Gruppe von Hackern die vernetzten Computer der US-Marine und der Luftwaffe sowie die der NASA, des Energieministeriums, der Umweltschutzbehörde, der National Oceanic and Atmospheric Administration und der National Oceanic and Atmospheric Administration durchsucht hatte. eine Handvoll US-Universitäten und viele andere. Eine Schätzung würde die Gesamtbeute der Hacker mit einem Papierstapel vergleichen, der dreimal so hoch ist wie das Washington Monument.
Schon früh gingen Spionageabwehranalysten davon aus, dass die Hacker russischer Herkunft waren, basierend auf ihrer Echtzeitüberwachung der Hacking-Kampagne und der Arten von Dokumenten, auf die sie abzielten, sagt Bob Gourley, ein ehemaliger Geheimdienstoffizier des US-Verteidigungsministeriums, der an der Untersuchung arbeitete . Gourley sagt, dass es die offensichtliche Organisation und Beharrlichkeit der Hacker war, die den nachhaltigsten Eindruck auf ihn gemacht haben. „Sie erreichten eine Mauer, und dann übernahm jemand mit anderen Fähigkeiten und Mustern die Macht und durchbrach diese Mauer“, sagt Gourley. „Das waren nicht nur ein paar Kinder. Das war eine gut ausgestattete, staatlich geförderte Organisation. Es war wirklich das erste Mal, dass ein Nationalstaat so etwas tat.“
Die Ermittler fanden heraus, dass die Hacker von Moonlight Maze – ein Codename, den ihnen das FBI gegeben hatte – Daten aus den Systemen ihrer Opfer exfiltrierten, eine angepasste Version eines Tools namens Loki2 verwendeten und diesen Code im Laufe der Jahre kontinuierlich optimierten. Im Jahr 2016 führte ein Forscherteam, darunter Rid und Guerrero-Saade, dieses Tool und seine Entwicklung als Beweis dafür an, dass Moonlight Maze tatsächlich das Werk eines Vorfahren von Turla war: Sie wiesen auf Fälle hin, in denen Turlas Hacker ein einzigartiges, ähnlich angepasstes Tool verwendet hatten Version von Loki2 bei der Ausrichtung auf Linux-basierte Systeme völlig zwei Jahrzehnte später.
Zehn Jahre nach Moonlight Maze schockierte Turla das Verteidigungsministerium erneut. Die NSA entdeckte 2008, dass eine Schadsoftware aus dem geheimen Netzwerk des US-Zentralkommandos des Verteidigungsministeriums ausstrahlte. Dieses Netzwerk war „air-gaped“ – physisch isoliert, sodass es keine Verbindung zu mit dem Internet verbundenen Netzwerken hatte. Und doch hatte es jemand mit einem sich selbst verbreitenden Schadcode infiziert, der sich bereits auf unzählige Maschinen kopiert hatte. So etwas hatte es auf US-Systemen noch nie zuvor gegeben.
Die NSA kam zu dem Schluss, dass der Code, der später von Forschern des finnischen Cybersicherheitsunternehmens F-Secure Agent.btz genannt wurde, von USB-Sticks verbreitet worden war, die jemand an PCs im Air-Gap-Netzwerk angeschlossen hatte. Wie genau die infizierten USB-Sticks in die Hände von DOD-Mitarbeitern gelangten und in das digitale Allerheiligste des US-Militärs eindrangen, wurde nie herausgefunden, obwohl einige Analysten spekulierten, dass sie einfach auf einem Parkplatz verstreut und von ahnungslosen Mitarbeitern aufgehoben worden sein könnten.
Brenda Stolyar
Will Knight
WIRED-Mitarbeiter
Medea Jordan
Der Einbruch von Agent.btz in die Netzwerke des Pentagons war so weitreichend, dass er eine mehrjährige Initiative zur Modernisierung der militärischen Cybersicherheit der USA auslöste, ein Projekt namens Buckshot Yankee. Dies führte auch zur Gründung des US Cyber Command, einer Schwesterorganisation der NSA, deren Aufgabe es ist, die Netzwerke des Verteidigungsministeriums zu schützen und die heute auch als Heimat der am stärksten auf Cyberkrieg ausgerichteten Hacker des Landes dient.
Jahre später, im Jahr 2014, wiesen Forscher des russischen Cybersicherheitsunternehmens Kaspersky auf technische Verbindungen zwischen Agent.btz und Turlas Malware hin, die später als Snake bekannt wurde. Die Spionage-Malware – die Kaspersky damals Uroburos oder einfach Turla nannte – verwendete dieselben Dateinamen für ihre Protokolldateien und einige der gleichen privaten Schlüssel zur Verschlüsselung wie Agent.btz, die ersten Hinweise darauf, dass der berüchtigte USB-Wurm tatsächlich verfügte war eine Turla-Kreation.
Bereits Mitte der 2010er-Jahre war bekannt, dass sich Turla in Computernetzwerke in Dutzenden Ländern auf der ganzen Welt gehackt und dabei häufig eine Version seiner Snake-Malware auf den Computern der Opfer hinterlassen hatte. Im Jahr 2014 wurde bekannt, dass es sich dabei um „Watering-Hole“-Angriffe handelte, bei denen Malware auf Websites eingeschleust wird, mit dem Ziel, deren Besucher zu infizieren. Doch im Jahr 2015 entdeckten Forscher bei Kaspersky eine Turla-Technik, die den Ruf der Gruppe für Raffinesse und Heimlichkeit noch viel weiter festigen würde: Sie kaperten die Satellitenkommunikation, um im Grunde die Daten der Opfer über den Weltraum zu stehlen.
Im September desselben Jahres enthüllte Kaspersky-Forscher Stefan Tanase, dass Turlas Malware über gekaperte Satelliten-Internetverbindungen mit seinen Command-and-Control-Servern kommunizierte – den Maschinen, die Befehle an infizierte Computer senden und deren gestohlene Daten empfangen. Wie Tanase es beschrieb, fälschten Turlas Hacker die IP-Adresse eines echten Satelliten-Internetteilnehmers auf einem Command-and-Control-Server, der irgendwo in der gleichen Region wie dieser Teilnehmer aufgestellt war. Dann würden sie ihre gestohlenen Daten von gehackten Computern an diese IP senden, sodass sie über Satellit an den Abonnenten gesendet würden, jedoch auf eine Weise, die dazu führen würde, dass sie von der Firewall des Empfängers blockiert würden.
Da der Satellit die Daten jedoch vom Himmel in die gesamte Region sendete, wäre eine mit Turlas Command-and-Control-Server verbundene Antenne auch in der Lage, sie zu empfangen – und niemand, der Turla verfolgte, hätte wissen können, wo sie sich befanden die Region, in der sich der Computer befinden könnte. Laut Tanase kostete der Betrieb des gesamten, äußerst schwer nachzuverfolgenden Systems weniger als 1.000 US-Dollar pro Jahr. Er beschrieb es in einem Blogbeitrag als „exquisit“.
Viele Hacker setzen „falsche Flaggen“ ein und nutzen die Tools oder Techniken einer anderen Hackergruppe, um die Ermittler von ihrer Spur abzubringen. Im Jahr 2019 warnten die NSA, die Cybersecurity and Infrastructure Security Agency (CISA) und das britische National Cybersecurity Centre, dass Turla noch viel weiter gegangen sei: Es habe stillschweigend die Infrastruktur einer anderen Hackergruppe übernommen, um deren gesamte Spionageoperation zu übernehmen.
In einem gemeinsamen Gutachten gaben die US-amerikanischen und britischen Behörden bekannt, dass Turla nicht nur Malware eingesetzt hatte, die von einer iranischen Gruppe namens APT34 (oder Oilrig) verwendet wurde, um Verwirrung zu stiften, sondern dass Turla es auch geschafft hatte, die Kommando- und Kommandozentrale zu kapern. In einigen Fällen erlangten sie die Kontrolle über die Iraner, erlangten die Fähigkeit, Daten abzufangen, die die iranischen Hacker gestohlen hatten, und schickten sogar ihre eigenen Befehle an die Opfercomputer, die die Iraner gehackt hatten.
Brenda Stolyar
Will Knight
WIRED-Mitarbeiter
Medea Jordan
Diese Tricks legten die Messlatte für Analysten, die das Eindringen einer bestimmten Gruppe von Hackern zuordnen wollten, erheblich höher, obwohl Turla oder eine ähnlich hinterlistige Gruppe in Wirklichkeit möglicherweise heimlich aus dem Verborgenen Marionettenschnüre gezogen hatte. „Vermeiden Sie mögliche Fehlzuordnungen, indem Sie bei der Untersuchung von Aktivitäten, die offenbar von der iranischen APT ausgehen, wachsam sein“, warnte das CISA-Gutachten damals. „Vielleicht handelt es sich um die getarnte Turla-Gruppe.“
Das Cybersicherheitsunternehmen Mandiant berichtete Anfang des Jahres, dass es Turla dabei beobachtet habe, wie er eine andere Variante dieses Hacker-Hijacking-Tricks ausführte und dieses Mal ein cyberkriminelles Botnetz übernahm, um seine Opfer zu durchsuchen.
Im September 2022 stellte Mandiant fest, dass ein Benutzer eines Netzwerks in der Ukraine ein USB-Laufwerk an seinen Computer angeschlossen und ihn mit der Malware Andromeda, einem jahrzehntealten Banktrojaner, infiziert hatte. Doch als Mandiant genauer hinschaute, stellten sie fest, dass diese Malware anschließend zwei Tools heruntergeladen und installiert hatte, die Mandiant zuvor mit Turla in Verbindung gebracht hatte. Wie Mandiant herausfand, hatten die russischen Spione abgelaufene Domänen registriert, die die ursprünglichen Cyberkriminellen-Administratoren von Andromeda zur Kontrolle ihrer Malware genutzt hatten, wodurch sie die Fähigkeit erlangten, diese Infektionen zu kontrollieren, und dann Hunderte von ihnen nach solchen durchsuchten, die für Spionage von Interesse sein könnten.
Dieser clevere Hack hatte alle Markenzeichen von Turla: die Verwendung von USB-Sticks zur Infektion von Opfern, wie es 2008 bei Agent.btz der Fall war, jetzt jedoch kombiniert mit dem Trick, die USB-Malware einer anderen Hackergruppe zu kapern, um deren Kontrolle zu übernehmen, wie z Turla hatte einige Jahre zuvor mit iranischen Hackern zusammengearbeitet. Forscher von Kaspersky warnten jedoch dennoch, dass die beiden im ukrainischen Netzwerk gefundenen Tools, die Mandiant verwendet hatte, um die Operation mit Turla in Verbindung zu bringen, tatsächlich Anzeichen einer anderen Gruppe sein könnten, die sie Tomiris nennen – möglicherweise ein Zeichen dafür, dass Turla Tools mit einer anderen russischen Staatsgruppe teilt. oder dass es sich jetzt zu mehreren Hackerteams entwickelt.
Letzte Woche gab das FBI bekannt, dass es gegen Turla zurückgeschlagen habe. Durch die Ausnutzung einer Schwachstelle in der Verschlüsselung, die in Turlas Snake-Malware verwendet wird, und von Coderesten, die das FBI auf infizierten Computern untersucht hatte, gab das FBI bekannt, dass es gelernt habe, nicht nur mit Snake infizierte Computer zu identifizieren, sondern auch einen Befehl an die Computer zu senden, die dies tun Malware würde als Anweisung interpretieren, sich selbst zu löschen. Mit einem von ihm entwickelten Tool namens Perseus hatte es Snake von den Computern der Opfer auf der ganzen Welt entfernt. Zusammen mit CISA veröffentlichte das FBI auch eine Empfehlung, die detailliert beschreibt, wie Turlas Snake Daten über seine eigenen Versionen der HTTP- und TCP-Protokolle sendet, um seine Kommunikation mit anderen Snake-infizierten Maschinen und Turlas Command-and-Control-Servern zu verbergen.
Diese Störung wird zweifellos die jahrelange Arbeit der Hacker von Turla zunichte machen, die Snake bereits seit 2003 nutzen, um Daten von Opfern auf der ganzen Welt zu stehlen, noch bevor das Pentagon Agent.btz entdeckte. Die Fähigkeit der Malware, gut versteckte Daten heimlich zwischen Opfern in einem Peer-to-Peer-Netzwerk zu versenden, machte sie zu einem wichtigen Werkzeug für Turlas Spionageoperationen.
Brenda Stolyar
Will Knight
WIRED-Mitarbeiter
Medea Jordan
Aber niemand sollte sich darüber im Klaren sein, dass die Zerschlagung des Snake-Netzwerks – selbst wenn die Malware vollständig ausgerottet werden könnte – das Ende einer der widerstandsfähigsten Hackergruppen Russlands bedeuten würde. „Das ist einer der besten Schauspieler überhaupt, und ich habe keinen Zweifel daran, dass das Katz-und-Maus-Spiel weitergeht“, sagt Rid von Johns Hopkins. „Mehr als alle anderen haben sie eine Geschichte der Weiterentwicklung hinter sich. Wenn man ihre Operationen, Taktiken und Techniken beleuchtet, entwickeln sie sich weiter, rüsten um und versuchen, wieder heimlicher zu werden. Das ist das historische Muster, das in den 1990er Jahren begann.“
„Für sie sind diese Lücken in Ihrer Zeitleiste ein Merkmal“, fügt Rid hinzu und verweist auf die manchmal jahrelangen Zeiträume, in denen Turlas Hacking-Techniken weitgehend aus Nachrichtenmeldungen und Arbeiten von Sicherheitsforschern verschwanden.
Was Gourley betrifft, der vor 25 Jahren als Geheimdienstoffizier inmitten von Moonlight Maze Jagd auf Turla machte, lobt er die Operation des FBI. Aber er warnt auch davor, dass das Töten einiger Snake-Infektionen etwas ganz anderes sei als der Sieg über Russlands ältestes Cyberspionageteam. „Dies ist ein unendliches Spiel. Wenn sie nicht bereits wieder in diesen Systemen sind, werden sie es bald sein“, sagt Gourley. „Sie werden nicht verschwinden. Dies ist nicht das Ende der Geschichte der Cyberspionage. Sie werden auf jeden Fall zurückkommen.“