News 13.07.2018, 08:31 Uhr

Das sind die berüchtigsten Hacker-Clans aller Zeiten

Hacker sind keine Einzeltäter. Längst werden Cyberangriffe von organisierten Gruppen, sogenannten Clans, verübt. Wir stellen die bekanntesten Gangs und ihre «Werke» vor.

Der Cyberuntergrund hat mittlerweile einen hohen Professionalisierungsgrad erreicht. Hierzu gehören natürlich auch Arbeitsteilung und Teamwork. Kein Wunder organisieren sich auch Hacker in Gruppen. Unser Schwestermagazin Computerworld hat eine Reihe der berüchtigsten Organisationen zusammengetragen.

The Shadow Brokers, die NSA–Einbrecher

Nur wenig wissen wir über die – nomen est omen – lichtscheue Hackergruppe The Shadow Brokers. Dafür sind die Cyberangriffe, welche die Vereinigung ermöglicht haben soll, umso bekannter. Sie gehören nämlich zu den schlimmsten Attacken der Geschichte: namentlich WannaCry und NotPetya.

Bei den Angriffen kam eine Reihe von Sicherheitslücken zum Einsatz, die The Shadow Brokers vom amerikanischen Nachrichtendienst National Security Agency (NSA) entwenden konnte. Die Cyberwaffen wurden sodann von den Schattenbrokern veröffentlicht, nachdem sie diese vergeblich zu verkaufen versucht hatten.

Noch wissen die Experten nicht eindeutig, aus welchem Land die Hackergruppe The Shadow Brokers operiert. Für den Ex-NSA-Mitarbeiter und Whistleblower Edward Snowden kann es sich beim Herkunftsland der Gang nur um Russland handeln, wie er 2016 in einem Tweet verbreitete.

Bildergalerie

Nicolae Popescu, der die Aliase «Nae» und «Stoichitoiu» verwendet, wird vom FBI wegen seiner Verwicklung in eine «ausgeklügelte Internetbetrugsmasche» gesucht. Er soll auf Onlineauktionsseiten Dinge zum Verkauf angeboten haben, die es gar nicht gab, samt gefälschten Rechnungen von legitimen Onlinebezahldiensten. Die Komplizen des Rumänen in den USA hätten zudem mit gefälschten Pässen Bankkonten unter falschem Namen eröffnet. An diese sollten die Opfer dann die Kaufpreise überweisen. Waren die Beträge auf den Konten eingetroffen, wurden sie abgehoben und an weitere Strohmänner per E-Mail verschickt. 1 Million Dollar hat das FBI auf Popescu ausgesetzt

Lazarus Group – die Nationalbankräuber

Die Grundlage für den WannaCry-Angriff haben ziemlich sicher The Shadow Brokers gelegt. Ausführendes «Organ» war dann aber sehr wahrscheinlich die mythenumsponnene Hackervereinigung Lazarus Group.

Gemäss dem IT-Security-Spezialisten Kaspersky Lab, der die Lazarus Group schon seit geraumer Zeit beobachtet und deren Tätigkeit verfolgt, bevorzugt die Gruppe Attacken auf Geldinstitute. So vermutet man, dass die Lazarus Group hinter einem Angriff auf die Nationalbank von Bangladesh im Jahr 2016 steckt. Bei diesem Cyberbankraub erbeuteten sie sage und schreibe 81 Millionen Dollar.

Es gibt Hinweise, dass die Lazarus Group von Nordkorea aus operiert. Allerdings ist das nicht sicher. Denn Kaspersky gibt zu bedenken, dass es sich bei den Hinweisen auf den nordkoreanischen Ursprung auch um eine falsche Fährte handeln könnte, mit der die Cyberabwehrexperten getäuscht werden sollen.

Nächste Seite: Equation Group und Fancy Bear

Equation Group und Fancy Bear

Equation Group – die Stuxnet–Urheber

Bei der Equation Group – auch bekannt unter dem Namen «Tailored Access Operations»-Einheit – könnte es sich um jene Abteilung der NSA handeln, von der The Shadow Brokers ihre Sicherheitslücken und Cyberwaffen stehlen konnte. Daneben könnte die NSA-Einheit auch hinter dem berüchtigten Stuxnet-Wurm stecken, mit dem iranische Atomanlagen sabotiert wurden.

Nach Angaben von Kaspersky Lab gehört die Hackergruppe zu den professionellsten ihrer Art. Denn sie verwende Werkzeuge, die sehr kompliziert und teuer zu entwickeln seien. Mit diesen gelingt es der Gruppe laut Kaspersky auf eine sehr professionalle Art und Weise, die Opfer zu infizieren, Daten zu entwenden und die eigenen Spuren zu verwischen. Daneben verwende die Gruppe klassische Spionagemethoden, um ihren Opfern die bösartige Software unterzujubeln. Alle Merkmale weisen also darauf hin, dass hier staatliche Unterstützung im Spiel sein muss.

Bildergalerie

20 Millionen Dateien ... gab AOL 2006 durch einen technischen Fehler frei - die Informationen von über 20 Millionen Stichwortsuchen. Dazu gehörten vertrauliche Daten von 650'000 Nutzern

Fancy Bear/APT28 – die Präsidentenmacher

Bei Fancy Bear, auch bekannt unter der Bezeichnung APT28 – handelt es sich um jene Hackergruppe, der nachgesagt wird, durch ihre Attacke auf den Parteitag der US-Demokraten den Ausgang der letzten US-Präsidentenwahl beeinflusst zu haben. Sie wird von IT-Sicherheitsfirmen wie CrowdStrike in Russland verortet.

Von dort aus operiere Fancy Bear seit 2008 und attackiere Firmen sowie Organisationen aus den Bereichen Luft- und Raumfahrt, Verteidigung, Energie, Regierung und Medien. Daneben werden Dissidenten ins Visier genommen.

Für ihre Angriffe verwendet Fancy Bear ein Arsenal ausgeklügelter Malware und Methoden. Zentraler Bestandteil ist dabei gemäss CrowdStrike das bösartige Malware-Implanat Xagent.

Unter anderem ist es Fancy Bear gelungen, in Apple-Geräten ein Spionageprogramm zu installieren, mit dem Tonaufnahmen gemacht und SMS mitgelesen werden können.

Neben der Attacke auf den Parteitag der Demokraten soll Fancy Bear auch hinter den Angriffen auf den Deutschen Bundestag 2015 und auf den französichen Fernsehsender TV 5 Monde im gleichen Jahr stecken.

Nächste Seite: Carbanak und Reaper

Carbanak und Reaper

Carbanak/Fin7 – die Bankräuber

Hunderte virtuelle Bankraube mit einer Deliktsumme von gut einer Milliarde Dollar gehen womöglich auf das Konto der Hackergruppe Carbanak, alias Fin7. Das Cyberangriffs-Team hat sich auf sogenannte Spear-Phishing-Attacken spezialisiert, bei der sehr punktuell Personen in Schlüsselstellungen angegangen werden. Carbanak konnte über leitende Bankangestellte Schadprogramme in die Systeme der Geldinstitute schleusen. So gelang es den Cyberkriminellen etwa, dass Bankomaten auf ihr Kommando Geld spuckten.

Bildergalerie

soleil – was für ein starkes Passwort. Da kommt im Winter sicher keiner drauf!

Immerhin: Der mutmassliche Kopf der Vereinigung sitzt hinter Schloss und Riegel. Im März gelang es Europol nach fünf Jahren Fahndungszeit, den Verdächtigen im spanischen Alicante dingfest zu machen.

APT37/Reaper – die Nordkoreaner

Vieles deutet gemäss dem US-IT-Sicherheitsspezialisten FireEye darauf hin, dass die Hackergruppe APT37/Reaper für die nordkoreanische Regierung tätig sein muss. Zwar versucht auch diese Cybergang, ihre Spuren gut zu verwischen. Trotzdem könne man die Schadprogramme, welche die Gruppe für ihre Angriffe verwendet hat, mit nordkoreanischen Personen in Verbindung bringen.

APT37/Reaper hat sich demnach auf Spionage spezialisiert. Opfer sind Firmen und Organisationen in den Nachbarländern, wobei der Hauptfokus auf Südkorea und Japan gelegt wird. Auch nordkoreanische Flüchtlinge sind gemäss FireEye im Visier der Hackergruppe. «Wir glauben, dass der Hauptauftrag von APT37 darin besteht, heimlich Informationen zu sammeln, die militärischen, politischen und wirtschaftlichen Interessen von Nordkorea nutzen», stellt FireEye in seinem Bericht zu APT37 fest.

Auf mehreren Seiten lesen