Cybersecurity and Infrastructure Security Agency Report: Protecting Against the Threat of Unmanned Aircraft Systems (UAS)

This document provides guidance for federal Executive Branch departments and agencies regarding best practices, lessons learned, and recommendations to protect against the threat of malicious unmanned aircraft systems (UAS) operations.

2.0 Background

The development of UAS is a significant technological advance. In addition to recreational and commercial use, unmanned aircraft are used across the United States to support firefighting and search- and-rescue operations, to monitor and assess critical infrastructure, to provide disaster relief by transporting emergency medical supplies to remote locations, and to aid border-security efforts. However, UAS can also be used for malicious schemes by terrorists, criminal organizations (including transnational organizations), and lone actors.

The potential safety hazards and security threats presented by malicious UAS activity in the national airspace system requires security professionals to address the associated risks. Organizations should be aware of the potential exposure of private data through operating UAS. Sensitive data may be at greater risk of exposure when operating UAS designed, manufactured, or supplied abroad where the data is stored, transferred to, or accessible by servers in a foreign country. UAS incorporate technologies that generate or collect sensitive data or otherwise access critical systems.

The ISC details the threat of adversarial use of UAS as an increasing concern in The Design-Basis Threat (DBT) Report. Adversarial uses of UAS include hostile surveillance, smuggling, disruption, and weaponization. From a cybersecurity perspective, an adversary may use UAS as a mobile platform to interrupt or modify digital services or gain unauthorized access to data systems.

The capabilities of UAS continue to grow with longer flight times, greater ranges, and increased payload capacities. These greater capacities, when coupled with malicious intent, increase the threat to federal facilities.

5.0 Threats Posed by UAS

The Department of Justice defines credible threat as the reasonable belief based on the totality of circumstances that the activity of a UAV or UAS may, if unabated:
•Cause physical harm to a person;
•Damage property, assets, facilities, or systems;
•Interfere with the mission of a covered facility or asset, including its movement, security, or protection;
•Facilitate or constitute unlawful activity;
•Interfere with the preparation or execution of an authorized government activity, including the authorized movement of persons;
•Result in unauthorized surveillance or reconnaissance; or
•Result in unauthorized access to or disclosure of classified, sensitive, or otherwise lawfully protected information.7

Many UAS events are caused by careless or reckless operators. An adversary can also use UAS in a variety of malicious ways, which include the following:
•Hostile Surveillance. An adversary uses UAS to collect information about federal government operations, security measures, or law enforcement operations.
•Smuggling or Contraband Delivery. An adversary uses UAS to bypass security measures to deliver illegal or prohibited items onto federal property.
•Disruption of Government Business. An adversary uses UAS to interfere with federal government operations through the presence of the UAS, use of on-board cyber-capabilities, or by using the UAS to distribute propaganda onto federal property.
•Weaponization. An adversary mounts a firearm, explosive, chemical, or biological agent ona UAV or deliberately crashes the UAV in an attack.

An organization or facility should consider the totality of threats posed by UAS, whether these threats are caused by negligent or reckless use of UAS, criminality, terrorism, or espionage. The risks associated with UAS should not be considered in isolation of other prevailing threat conditions. Considering the full range of threats will facilitate the development of a risk-based mitigation strategy that minimizes those risks most pertinent to the site or organization.

When considering the likelihood of an adversary using UAS, it is important to consider both the intent and the capability of the adversary, including their desired effect. The following table details several basic UAV characteristics structured by the threat actor’s capability level and intended effect.

Exposed – Russia Likely to Continue Seeking to Undermine Faith in US Electoral Process

Homeland Security Experts on the Biggest Threats and Challenges the U.S.  Faces in 2020 – Homeland Security Today
Page Count: 4 pages
Date: September 3, 2020
Restriction: For Official Use Only
Originating Organization: Cyber Mission Center, Office of Intelligence and Analysis, Department of Homeland Security
File Type: pdf
File Size: 167,819 bytes
File Hash (SHA-256): CD0E044E731342D57AB13DCBB9C8B56D2D5A6295D1E51F6409461D1CAB55C61A

Download File

(U//FOUO) We assess that Russia is likely to continue amplifying criticisms of vote-by-mail and shifting voting processes amidst the COVID-19 pandemic to undermine public trust in the electoral process. Decisions made by state election officials on expanding vote-by-mail and adjusting in-person voting to accommodate challenges posed by COVID-19 have become topics of public debate. This public discussion represents a target for foreign malign influence operations that seeks to undermine faith in the electoral process by spreading disinformation about the accuracy of voter data for expanded vote-by-mail, outbound/inbound mail ballot process, signature verification and cure process, modifying scale of in-person voting, and safety and health concerns at polling places, according to CISA guidance documents provided to state and local election officials. Since at least March 2020, Russian malign influence actors have been amplifying allegations of election integrity issues in new voting processes and vote-by-mail programs.

(U//FOUO) Russian state media and proxy websites in mid-August 2020 criticized the integrity of expanded and universal vote-by-mail, claiming ineligible voters could receive ballots due to out-of-date voter rolls, leaving a vast amount of ballots unaccounted for and vulnerable to tampering.b These websites also alleged that vote-by-mail processes would overburden the US Postal Service and local boards of election, delaying vote tabulation and

creating more opportunities for fraud and error.

(U//FOUO) Since March 2020, Russian state media and proxy websites have denigrated vote-by-mail processes, alleging they lack transparency and procedural oversight, creating vast opportunities for voter fraud. These outlets also claimed that state election officials and policymakers leveraged the COVID-19 pandemic to justify politically-expedient decisions made on holding primary elections and implementing new voting processes and vote-by-mail programs allegedly designed to benefit specific candidates and influence election outcomes.

(U//FOUO) Throughout the 2020 primary elections, Russian state media and proxy websites amplified public narratives about shortcomings in ballot delivery and processing, such as claims that voters would not receive their mail ballot in time to cast their vote. These websites highlighted reductions in the number of in-person polling places in large cities due to the pandemic and the long lines this caused, claiming this
would disproportionately suppress voting among African-Americans and expose them to the spread of COVID-19.

(U//FOUO) We assess that Russian state media, proxies, and Russian-controlled social media trolls are likely to promote allegations of corruption, system failure, and foreign malign interference to sow distrust in democratic institutions and election outcomes. We base this assessment on content analysis of narratives and themes promoted by Russian state media and proxy websites throughout the 2020 election cycle concerning system integrity issues and parallels with observed Russian troll activity leading up to the 2018 and 2016 elections.

(U//FOUO) Russia continues to spread disinformation in the United States designed to undermine American confidence in democratic processes and denigrate a perceived anti-Russia establishment, using efforts such as Russian-controlled internet trolls and other proxies, according to an ODNI press statement. In the Iowa Caucuses in February, Russian state media and proxy websites claimed that the contest was fixed in favor of establishment candidates and that technical difficulties with the caucusing mobile voting application led to ballot manipulation. These outlets continued this narrative into March 2020, claiming that the Democratic Party made a corrupt back-room deal to orchestrate the exit of establishment candidates to consolidate the vote behind former Vice President BidenUSPER in advance of the Super Tuesday primary elections.

(U) Russian malign influence actors during the 2018 US midterm election claimed they controlled the US voting systems to prompt election integrity concerns, according to press reporting. In the 2016 US presidential election, Russian social media trolls targeted specific communities and claimed the election was rigged by the establishment, encouraging these voters to stay at home or vote for third-party candidates in order to influence the election outcome, according to reports by firms with expertise in social media network analysis.

Fancy Bear – Die GRU – Hacking – Abteilung Unter Der Lupe

Fancy Bear APT Uses New Cannon Trojan to Target Government Entities

Fancy Bear (auch bekannt als APT28 (von Mandiant), Pawn Storm, Sofacy Group (von Kaspersky), Sednit, Tsar Team (von FireEye) und STRONTIUM (von Microsoft)) ist eine russische Cyberspionagegruppe. Das Cybersicherheitsunternehmen CrowdStrike hat analysiert, dass es mit dem russischen Militärgeheimdienst GRU in Verbindung steht. Das britische Außen- und Commonwealth-Amt sowie die Sicherheitsfirmen SecureWorks ThreatConnect und Fireeyes Mandiant haben ebenfalls erklärt, dass die Gruppe von der russischen Regierung gesponsert wird. Im Jahr 2018 identifizierte eine Anklage des United States Special Counsel Fancy Bear als zwei GRU-Einheiten, bekannt als Unit 26165 und Unit 74455.

Der Name “Fancy Bear” stammt von einem Sicherheitsforscher des Codierungssystems, mit dem Dmitri Alperovitch Hacker identifiziert.

Die Methoden von Fancy Bear, die wahrscheinlich seit Mitte der 2000er Jahre in Betrieb sind, stimmen mit den Fähigkeiten staatlicher Akteure überein. Die Gruppe richtet sich gegen Regierungs-, Militär- und Sicherheitsorganisationen, insbesondere an transkaukasische und NATO-ausgerichtete Staaten. Fancy Bear soll für Cyber-Angriffe auf das deutsche Parlament, den französischen Fernsehsender TV5Monde, das Weiße Haus, die NATO, das Demokratische Nationalkomitee, die Organisation für Sicherheit und Zusammenarbeit in Europa und die Kampagne des französischen Präsidentschaftskandidaten Emmanuel Macron verantwortlich sein.

Die Gruppe fördert die politischen Interessen der russischen Regierung und ist dafür bekannt, E-Mails des Demokratischen Nationalkomitees hehackt zu haben, um zu versuchen, das Ergebnis der Präsidentschaftswahlen 2016 in den USA zu beeinflussen.

Fancy Bear wird von Fireeye als fortgeschrittene, anhaltende Bedrohung eingestuft. Unter anderem werden Zero-Day-Exploits, Spear-Phishing und Malware verwendet, um Zielpersonen zu gefährden.

Trend Micro hat die Akteure hinter der Sofacy-Malware am 22. Oktober 2014 als Operation Pawn Storm bezeichnet. Der Name war darauf zurückzuführen, dass die Gruppe “zwei oder mehr verbundene Werkzeuge / Taktiken einsetzte, um ein bestimmtes Ziel anzugreifen, das der Schachstrategie ähnelt”, das als Bauernsturm bekannt ist.

Das Netzwerksicherheitsunternehmen FireEye veröffentlichte im Oktober 2014 einen detaillierten Bericht über Fancy Bear. In dem Bericht wurde die Gruppe als “Advanced Persistent Threat 28” (APT28) bezeichnet und beschrieben, wie die Hacking-Gruppe Zero-Day-Exploits des Microsoft Windows-Betriebssystems und von Adobe Flash verwendete. Der Bericht enthielt betriebliche Details, die darauf hinweisen, dass die Quelle ein “Regierungsgesponsor mit Sitz in Moskau” ist. Von FireEye gesammelte Beweise deuten darauf hin, dass die Malware von Fancy Bear hauptsächlich in einer russischsprachigen Build-Umgebung kompiliert wurde und hauptsächlich während der Arbeitszeit parallel zur Moskauer Zeitzone auftrat. Laura Galante, Direktorin für Bedrohungsinformationen bei FireEye, bezeichnete die Aktivitäten der Gruppe als “Staatsspionage” und sagte, dass zu den Zielen auch “Medien oder Influencer” gehören.

Der Name “Fancy Bear” leitet sich von dem Codierungssystem ab, das Dmitri Alperovitch für Hacker-Gruppen verwendet. “Bär” zeigt an, dass die Hacker aus Russland stammen. Fancy bezieht sich auf “Sofacy”, ein Wort in der Malware, das den Analysten, der es gefunden hat, an Iggy Azaleas Song “Fancy” erinnerte.

Zu den Zielen von Fancy Bear gehörten osteuropäische Regierungen und Militärs, das Land Georgien und der Kaukasus, die Ukraine, sicherheitsrelevante Organisationen wie die NATO sowie US-amerikanische Verteidigungsunternehmen Academi (früher bekannt als Blackwater) und Science Applications International Corporation (SAIC), Boeing, Lockheed Martin und Raytheon. Fancy Bear hat auch Bürger der Russischen Föderation angegriffen, die politische Feinde des Kremls sind, darunter den ehemaligen Ölmagnaten Mikhail Khodorkovsky und Maria Alekhina von der Band Pussy Riot. SecureWorks, ein Cybersicherheitsunternehmen mit Hauptsitz in den USA, kam zu dem Schluss, dass die Zielliste “Fancy Bear” von März 2015 bis Mai 2016 nicht nur das Demokratische Nationalkomitee der USA, sondern Zehntausende Feinde Putins und des Kremls in den USA umfasste USA, Ukraine, Russland, Georgien und Syrien. Es wurden jedoch nur eine Handvoll Republikaner ins Visier genommen. Eine AP-Analyse von 4.700 E-Mail-Konten, die von Fancy Bear angegriffen worden waren, ergab, dass kein anderes Land als Russland daran interessiert sein würde, so viele sehr unterschiedliche Ziele zu hacken, die nichts anderes gemeinsam zu haben schienen, als dass sie für die russische Regierung von Interesse waren.

The West fights back against Putin's cyber war - NEWSCABAL

Fancy Bear scheint auch zu versuchen, politische Ereignisse zu beeinflussen, damit Freunde oder Verbündete der russischen Regierung an die Macht kommen.

In den Jahren 2011–2012 war die Malware von Fancy Bear in der ersten Phase das Implantat “Sofacy” oder SOURFACE. Im Jahr 2013 fügte Fancy Bear weitere Werkzeuge und Hintertüren hinzu, darunter CHOPSTICK, CORESHELL, JHUHUGIT und ADVSTORESHELL.

Von Mitte 2014 bis Herbst 2017 richtete sich Fancy Bear gegen zahlreiche Journalisten in den USA, der Ukraine, Russland, Moldawien, dem Baltikum und anderen Ländern, die Artikel zur Diskreditierung Putins und des Kremls veröffentlicht hatten. Laut AP und SecureWorks ist diese Gruppe von Journalisten nach diplomatischem Personal und US-Demokraten die drittgrößte Gruppe, auf die Fancy Bear abzielt. Auf der Zielliste von Fancy Bear stehen Adrian Chen, die armenische Journalistin Maria Titizian, Eliot Higgins von Bellingcat, Ellen Barry und mindestens 50 andere Reporter der New York Times, mindestens 50 in Moskau ansässige Auslandskorrespondenten, die für unabhängige Nachrichtenagenturen arbeiteten, Josh Rogin, der Kolumnist der Washington Post, Shane Harris, ein Daily Beast-Autor, der 2015 über Geheimdienstfragen berichtete, Michael Weiss, ein CNN-Sicherheitsanalyst, Jamie Kirchick von der Brookings Institution, 30 Medienziele in der Ukraine, viele von der Kyiv Post, Reporter, die über den Russen berichteten -unterstützter Krieg in der Ostukraine sowie in Russland, wo die Mehrheit der von den Hackern angegriffenen Journalisten für unabhängige Nachrichten (z. B. Novaya Gazeta oder Vedomosti) wie Ekaterina Vinokurova bei und die russischen Mainstream-Journalisten Tina Kandelaki, Ksenia Sobchak, arbeitete. und der russische Fernsehmoderator Pavel Lobkov, der alle für Dozhd arbeitete.


Fancy Bear soll für einen sechsmonatigen Cyber-Angriff auf das deutsche Parlament verantwortlich gewesen sein, der im Dezember 2014 begann. Am 5. Mai 2020 erließ die deutsche Bundesanwaltschaft im Zusammenhang mit den Anschlägen einen Haftbefehl gegen Dmitry Badin. Der Angriff hat die IT-Infrastruktur des Bundestages im Mai 2015 vollständig gelähmt. Um ihn zu stoppen, musste das gesamte Parlament tagelang offline geschaltet werden. IT-Experten schätzen, dass im Rahmen des Angriffs insgesamt 16 Gigabyte Daten aus dem Parlament heruntergeladen wurden.

Es wird auch vermutet, dass die Gruppe im August 2016 hinter einem Spear-Phishing-Angriff auf Mitglieder des Bundestages und mehrere politische Parteien wie die Linken-Fraktionsführerin Sahra Wagenknecht, die Junge Union und die CDU des Saarlandes steckt. Die Behörden befürchteten, dass Hacker sensible Informationen sammeln könnten, um die Öffentlichkeit später vor Wahlen wie den nächsten Bundestagswahlen in Deutschland, die im September 2017 stattfinden sollten, zu manipulieren.


Zudem scheint Fancy Bear wohl auch mit der berüchtigten Neo-STASI-Organisation “GoMoPa” zu kooperieren, speziell mit dem in Berlin ansässigen und in Dresden geborenen Sven Schmidt (Eagle IT).


Weitere Attacken von Fancy Bear:

Fünf Ehefrauen von US-Militärangehörigen erhielten am 10. Februar 2015 Morddrohungen von einer Hacker-Gruppe, die sich “CyberCaliphate” nennt und behauptet, eine Tochtergesellschaft des islamischen Staates zu sein. Später wurde festgestellt, dass dies ein Angriff unter falscher Flagge von Fancy Bear war, als festgestellt wurde, dass die E-Mail-Adressen der Opfer in der Phishing-Zielliste von Fancy Bear enthalten waren. Es ist auch bekannt, dass russische Social-Media-Trolle die Gefahr potenzieller Terroranschläge des islamischen Staates auf US-amerikanischem Boden übertreiben und Gerüchte verbreiten, um Angst und politische Spannungen zu säen.

Am 8. April 2015 wurde das französische Fernsehsender TV5Monde Opfer eines Cyber-Angriffs einer Hacker-Gruppe, die sich “CyberCaliphate” nennt und behauptet, Verbindungen zur Terrororganisation Islamischer Staat Irak und Levante (ISIL) zu haben. Französische Ermittler lehnten später die Theorie ab, dass militante Islamisten hinter dem Cyberangriff stecken, und vermuteten stattdessen die Beteiligung von Fancy Bear.

Hacker verstießen gegen die internen Systeme des Netzwerks, möglicherweise unterstützt durch Passwörter, die offen von TV5 ausgestrahlt wurden, und überschrieben das Rundfunkprogramm der 12 Kanäle des Unternehmens über drei Stunden lang. Der Dienst wurde in den frühen Morgenstunden des folgenden Morgens nur teilweise wiederhergestellt, und die normalen Rundfunkdienste wurden bis spät in den 9. April unterbrochen. Verschiedene computergestützte interne Verwaltungs- und Support-Systeme, einschließlich E-Mail, wurden aufgrund des Angriffs ebenfalls immer noch heruntergefahren oder waren auf andere Weise nicht zugänglich. Die Hacker entführten auch die Facebook- und Twitter-Seiten von TV5Monde, um die persönlichen Informationen von Verwandten französischer Soldaten, die an Aktionen gegen ISIS beteiligt waren, sowie Nachrichten zu veröffentlichen, die Präsident François Hollande kritisierten, und argumentierten, dass die Terroranschläge vom Januar 2015 “Geschenke” für seinen “unverzeihlichen Fehler” seien “an Konflikten teilzunehmen, die” keinen Zweck erfüllen “.

Der Generaldirektor von TV5Monde, Yves Bigot, sagte später, dass der Angriff das Unternehmen fast zerstört hätte: Wenn die Wiederherstellung des Rundfunks länger gedauert hätte, hätten Satellitenvertriebskanäle wahrscheinlich ihre Verträge gekündigt. Der Angriff sollte sowohl die Ausrüstung als auch das Unternehmen selbst zerstören und nicht wie die meisten anderen Cyber-Angriffe Propaganda oder Spionage betreiben. Der Angriff wurde sorgfältig geplant; Die erste bekannte Durchdringung des Netzwerks erfolgte am 23. Januar 2015. Die Angreifer führten dann eine Aufklärung von TV5Monde durch, um die Art und Weise zu verstehen, in der sie ihre Signale sendeten, und entwickelten maßgeschneiderte schädliche Software, um die mit dem Internet verbundene Hardware, die den Betrieb des Fernsehsenders kontrollierte, wie z. B. die Encodersysteme, zu beschädigen und zu zerstören. Sie verwendeten sieben verschiedene Einstiegspunkte, nicht alle Teil von TV5Monde oder sogar in Frankreich – einer war ein in den Niederlanden ansässiges Unternehmen, das die ferngesteuerten Kameras lieferte, die in den Studios von TV5 verwendet wurden. Zwischen dem 16. Februar und dem 25. März sammelten die Angreifer Daten auf internen TV5-Plattformen, einschließlich des internen IT-Wikis, und überprüften, ob die Anmeldeinformationen noch gültig waren. Während des Angriffs führten die Hacker eine Reihe von Befehlen aus, die aus TACACS-Protokollen extrahiert wurden, um die Firmware von Switches und Routern zu löschen.

Obwohl der Angriff angeblich vom IS stammte, forderte die französische Cyber-Agentur Bigot auf, nur zu sagen, dass die Nachrichten angeblich vom IS stammen. Später wurde ihm mitgeteilt, dass Beweise dafür gefunden worden seien, dass es sich bei den Angreifern um die APT 28-Gruppe russischer Hacker handele. Es wurde kein Grund für die Ausrichtung von TV5Monde gefunden, und die Quelle des Angriffsbefehls und die Finanzierung dafür sind nicht bekannt. Es wurde spekuliert, dass es wahrscheinlich ein Versuch war, Formen von Cyberwaffen zu testen. Die Kosten wurden im ersten Jahr auf 5 Mio. EUR (5,6 Mio. USD; 4,5 Mio. GBP) geschätzt, gefolgt von wiederkehrenden jährlichen Kosten von über 3 Mio. EUR (3,4 Mio. USD; 2,7 Mio. GBP) für neuen Schutz. Die Arbeitsweise des Unternehmens musste sich mit der Authentifizierung von E-Mails, der Überprüfung von Flash-Laufwerken vor dem Einfügen usw. ändern, was die Effizienz eines Nachrichtenmedienunternehmens, das Informationen verschieben muss, erheblich beeinträchtigte.

Die Sicherheitsfirma root9B veröffentlichte im Mai 2015 einen Bericht über Fancy Bear, in dem die Entdeckung eines gezielten Spear-Phishing-Angriffs gegen Finanzinstitute angekündigt wurde. In dem Bericht wurden internationale Bankinstitute aufgeführt, auf die abgezielt wurde, darunter die United Bank für Afrika, die Bank of America, die TD Bank und die UAE Bank. Laut root9B begannen die Vorbereitungen für die Angriffe im Juni 2014, und die verwendete Malware trug “spezifische Signaturen, die historisch nur für eine Organisation, Sofacy, einzigartig waren”. Der Sicherheitsjournalist Brian Krebs stellte die Richtigkeit der Behauptungen von root9B in Frage und postulierte dies Die Angriffe stammten tatsächlich von nigerianischen Phishern. Im Juni 2015 veröffentlichte der angesehene Sicherheitsforscher Claudio Guarnieri einen Bericht, der auf seiner eigenen Untersuchung eines gleichzeitigen SOFACY-Exploits gegen den Deutschen Bundestag basiert, und schrieb root9B die Meldung zu, dass “dieselbe IP-Adresse wie der Command & Control-Server in der Angriff gegen den Bundestag ( “und fuhr fort, dass aufgrund seiner Untersuchung des Bundestag-Angriffs” zumindest einige “Indikatoren im Bericht von root9B korrekt erschienen, einschließlich eines Vergleichs des Hashs der Malware-Stichprobe von beiden Vorfälle. root9B veröffentlichte später einen technischen Bericht, in dem Claudios Analyse von SOFACY-zugeschriebener Malware mit ihrer eigenen Stichprobe verglichen wurde, was die Richtigkeit ihres ursprünglichen Berichts erhöht.

EFF-Parodie, Angriff des Weißen Hauses und der NATO (August 2015)
Im August 2015 nutzte Fancy Bear einen Zero-Day-Exploit von Java, um die Electronic Frontier Foundation zu fälschen und Angriffe auf das Weiße Haus und die NATO zu starten. Die Hacker verwendeten einen Spear-Phishing-Angriff und leiteten E-Mails an die falsche URL

Im August 2016 meldete die Welt-Anti-Doping-Agentur den Empfang von Phishing-E-Mails, die an Benutzer ihrer Datenbank gesendet wurden und behaupteten, offizielle WADA-Mitteilungen zu sein, in denen ihre Anmeldedaten angefordert wurden. Nach Durchsicht der beiden von der WADA bereitgestellten Domains wurde festgestellt, dass die Registrierungs- und Hosting-Informationen der Websites mit der russischen Hacking-Gruppe Fancy Bear übereinstimmten. Laut WADA waren einige der von den Hackern veröffentlichten Daten gefälscht worden.

Hacker Whois: Fancy Bear. Russian State Hackers - YouTube

Aufgrund von Hinweisen auf weit verbreitetes Doping durch russische Athleten empfahl die WADA, russischen Athleten die Teilnahme an den Olympischen und Paralympischen Spielen 2016 in Rio zu verweigern. Analysten sagten, sie glaubten, der Hack sei teilweise ein Akt der Vergeltung gegen die Whistleblowing-Sportlerin Yuliya Stepanova, deren persönliche Informationen im Rahmen des Verstoßes veröffentlicht wurden. Im August 2016 gab die WADA bekannt, dass gegen ihre Systeme verstoßen wurde, und erklärte, dass Hacker von Fancy Bear ein vom Internationalen Olympischen Komitee (IOC) erstelltes Konto verwendet hatten, um Zugriff auf ihre ADAMS-Datenbank (Anti-Doping Administration and Management System) zu erhalten. Die Hacker nutzten dann die Website, um die olympischen Drogentestdateien mehrerer Athleten zu veröffentlichen, die Ausnahmen von der therapeutischen Verwendung erhalten hatten, darunter die Turnerin Simone Biles, die Tennisspieler Venus und Serena Williams sowie die Basketballspielerin Elena Delle Donne. Die Hacker haben sich auf Athleten konzentriert, denen von der WADA aus verschiedenen Gründen Ausnahmen gewährt worden waren. Nachfolgende Lecks schlossen Athleten aus vielen anderen Ländern ein.

Eliot Higgins und andere Journalisten, die mit Bellingcat in Verbindung stehen, einer Gruppe, die den Abschuss von Malaysia Airlines Flug 17 über der Ukraine untersucht, wurden von zahlreichen Spearphishing-E-Mails angesprochen. Die Nachrichten waren gefälschte Google Mail-Sicherheitshinweise mit verkürzten und TinyCC-URLs. Laut ThreatConnect stammten einige der Phishing-E-Mails von Servern, die Fancy Bear bei früheren Angriffen an anderer Stelle verwendet hatte. Bellingcat ist am besten dafür bekannt, Russland beschuldigt zu haben, für den Abschuss von MH17 verantwortlich zu sein, und wird in den russischen Medien häufig verspottet.

The fur is not gonna fly: Uncle Sam charges seven Russians with ...

Ähnliche Phishing E-Mails erhielt der Autor dieser Zeilen, neben Morddrohungen seit mehr als 10 Jahren.

Die Gruppe richtete sich vor und nach der Veröffentlichung des Abschlussberichts des Boards an die niederländische Sicherheitsbehörde, die die offizielle Untersuchung des Absturzes durchführte. Sie richten gefälschte SFTP- und VPN-Server ein, um die eigenen Server des Boards nachzuahmen, wahrscheinlich um Benutzernamen und Passwörter zu speeren. Ein Sprecher des DSB sagte, die Angriffe seien nicht erfolgreich gewesen.

Demokratisches Nationalkomitee (2016)
Fancy Bear führte im ersten Quartal 2016 Spear-Phishing-Angriffe auf E-Mail-Adressen des Demokratischen Nationalkomitees durch. Am 10. März kamen Phishing-E-Mails an, die hauptsächlich an alte E-Mail-Adressen der Mitarbeiter der Demokratischen Kampagne 2008 gerichtet waren. Eines dieser Konten hat möglicherweise aktuelle Kontaktlisten geliefert. Am nächsten Tag weiteten sich Phishing-Angriffe auf die nicht öffentlichen E-Mail-Adressen hochrangiger Beamter der Demokratischen Partei aus. Die Adressen von wurden angegriffen, für den Zugriff war jedoch eine Zwei-Faktor-Authentifizierung erforderlich. Der Angriff wurde am 19. März auf Google Mail-Konten umgeleitet. Das Google Mail-Konto von Podesta wurde am selben Tag mit 50.000 gestohlenen E-Mails verletzt. Die Phishing-Angriffe verschärften sich im April, obwohl die Hacker für den Tag am 15. April, der in Russland ein Feiertag zu Ehren der elektronischen Kriegsdienste des Militärs war, plötzlich inaktiv zu werden schienen. Die bei dem Angriff verwendete Malware hat gestohlene Daten an dieselben Server gesendet, die für den Angriff der Gruppe 2015 auf das deutsche Parlament verwendet wurden.

Am 14. Juni veröffentlichte CrowdStrike einen Bericht, in dem der DNC-Hack veröffentlicht und Fancy Bear als Schuldige identifiziert wurde. Dann erschien eine Online-Person, Guccifer 2.0, die den alleinigen Verdienst für den Verstoß geltend machte.

IRON TWILIGHT Supports Active Measures | Secureworks

Eine andere hoch entwickelte Hacking-Gruppe, die der Russischen Föderation zugeschrieben wird, mit dem Spitznamen Cosy Bear, war zur gleichen Zeit auch auf den Servern der DNC präsent. Die beiden Gruppen schienen sich jedoch der anderen nicht bewusst zu sein, da jede unabhängig voneinander dieselben Passwörter stahl und ihre Bemühungen auf andere Weise verdoppelte. Cosy Bear scheint eine andere Agentur zu sein, die sich mehr für traditionelle Langzeitspionage interessiert. Ein CrowdStrike-Forensikteam stellte fest, dass Cosy Bear zwar seit über einem Jahr im DNC-Netzwerk war, Fancy Bear jedoch nur wenige Wochen dort.

Laut CrowdStrike nutzte die Gruppe von 2014 bis 2016 Android-Malware, um auf die Raketentruppen und die Artillerie der ukrainischen Armee abzuzielen. Sie verteilten eine infizierte Version einer Android-App, deren ursprünglicher Zweck darin bestand, die Zieldaten für die D-30-Haubitzenartillerie zu steuern. Die von ukrainischen Offizieren verwendete App wurde mit der X-Agent-Spyware geladen und online in Militärforen veröffentlicht. CrowdStrike behauptete zunächst, dass mehr als 80% der ukrainischen D-30-Haubitzen im Krieg zerstört wurden, der höchste prozentuale Verlust aller Artilleriegeschütze in der Armee (ein Prozentsatz, der zuvor noch nie gemeldet worden war und den Verlust fast des gesamten Arsenals bedeuten würde des größten Artilleriegeschützes der ukrainischen Streitkräfte. Nach Angaben der ukrainischen Armee waren die Zahlen von CrowdStrike falsch und die Verluste an Artillerie-Waffen “lagen weit unter den gemeldeten” und diese Verluste “haben nichts mit der angegebenen Ursache zu tun”. CrowdStrike hat diesen Bericht inzwischen überarbeitet, nachdem das Internationale Institut für strategische Studien (IISS) seinen ursprünglichen Bericht abgelehnt hatte und behauptete, dass die Malware-Hacks zu Verlusten von 15 bis 20% statt zu ihrer ursprünglichen Zahl von 80% geführt hätten.

Fancy Bear: Russische Hacker griffen 200 Journalisten an | ZEIT ONLINE

Windows Zero-Day (Oktober 2016)
Am 31. Oktober 2016 hat die Threat Analysis Group von Google in den meisten Microsoft Windows-Versionen eine Zero-Day-Sicherheitsanfälligkeit festgestellt, die Gegenstand aktiver Malware-Angriffe ist. Am 1. November 2016 veröffentlichte Terry Myerson, Executive Vice President der Windows- und Gerätegruppe von Microsoft, einen Beitrag im Microsoft-Blog für Bedrohungsforschung und -reaktion, in dem er die Sicherheitsanfälligkeit anerkannte und erklärte, dass in einer “Spear-Phishing-Kampagne mit geringem Volumen” für bestimmte Benutzer zwei verwendet wurden Zero-Day-Schwachstellen in Adobe Flash und im Windows-Kernel auf niedrigerer Ebene. ” Microsoft wies auf Fancy Bear als Bedrohungsakteur hin und bezog sich auf die Gruppe mit ihrem internen Codenamen STRONTIUM.

Niederländische Ministerien (Februar 2017)
Im Februar 2017 gab der niederländische General Intelligence and Security Service (AIVD) bekannt, dass Fancy Bear und Cosy Bear in den vergangenen sechs Monaten mehrere Versuche unternommen hatten, sich in niederländische Ministerien, einschließlich des Ministeriums für allgemeine Angelegenheiten, einzumischen. Rob Bertholee, Leiter der AIVD, sagte auf EenVandaag, dass die Hacker Russen seien und versucht hätten, Zugang zu geheimen Regierungsdokumenten zu erhalten.

In einem Briefing an das Parlament kündigte der niederländische Innen- und Königreichsminister Ronald Plasterk an, dass die Stimmen für die niederländischen Parlamentswahlen im März 2017 von Hand gezählt würden.

IAAF-Hack (Februar 2017)
Die Beamten des Internationalen Verbandes der Leichtathletikverbände (IAAF) gaben im April 2017 an, dass seine Server von der Gruppe “Fancy Bear” gehackt wurden. Der Angriff wurde von der Cybersicherheitsfirma Context Information Security entdeckt, die feststellte, dass am 21. Februar ein nicht autorisierter Fernzugriff auf die Server der IAAF stattgefunden hatte. Die IAAF gab an, dass die Hacker auf die Anträge auf Ausnahmegenehmigung für die therapeutische Verwendung zugegriffen hatten, die für die Verwendung von von der WADA verbotenen Medikamenten erforderlich waren.

FANCY BEAR Archives - Security AffairsSecurity Affairs

Forscher von Trend Micro veröffentlichten 2017 einen Bericht, in dem die Versuche von Fancy Bear, Zielgruppen im Zusammenhang mit den Wahlkämpfen von Emmanuel Macron und Angela Merkel anzusprechen, beschrieben wurden. Dem Bericht zufolge haben sie die Macron-Kampagne mit Phishing und dem Versuch, Malware auf ihrer Website zu installieren, ins Visier genommen. Die Cybersicherheitsbehörde ANSSI der französischen Regierung bestätigte, dass diese Angriffe stattgefunden haben, konnte jedoch die Verantwortung von APT28 nicht bestätigen. Die Kampagne von Marine Le Pen scheint nicht von APT28 ins Visier genommen worden zu sein, was möglicherweise auf die russische Präferenz für ihre Kampagne hinweist. Putin hatte zuvor die Vorteile für Russland angepriesen, wenn Marine Le Pen gewählt wurde.

Dem Bericht zufolge richteten sie sich dann gegen die deutsche Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, Gruppen, die mit der Christlich-Demokratischen Union von Angela Merkel bzw. der Sozialdemokratischen Partei der Opposition verbunden sind. Fancy Bear hat Ende 2016 gefälschte E-Mail-Server eingerichtet, um Phishing-E-Mails mit Links zu Malware zu senden.

Internationales Olympisches Komitee
Am 10. Januar 2018 hat die Online-Persona “Fancy Bears Hack Team” die scheinbar gestohlenen E-Mails des Internationalen Olympischen Komitees (IOC) und des US-amerikanischen Olympischen Komitees von Ende 2016 bis Anfang 2017 als offensichtliche Vergeltung für das Verbot des IOC durchgesickert von russischen Athleten von den Olympischen Winterspielen 2018 als Sanktion für Russlands systematisches Dopingprogramm. Der Angriff ähnelt den früheren Lecks der World Anti-Doping Agency (WADA). Es ist nicht bekannt, ob die E-Mails vollständig authentisch sind, da Fancy Bear in der Vergangenheit gestohlene E-Mails mit Desinformation gesalzen hat. Die Art des Angriffs war ebenfalls nicht bekannt, war aber wahrscheinlich Phishing.

Cyber-Sicherheitsexperten haben auch behauptet, dass Angriffe offenbar auch auf das professionelle Abfüllunternehmen für Sportdrogentests gerichtet waren, das als Berlinger Group bekannt ist.

Fancy Bear verwendet fortschrittliche Methoden, die den Fähigkeiten staatlicher Akteure entsprechen. Sie verwenden Spear-Phishing-E-Mails, als Nachrichtenquellen getarnte Websites zum Löschen von Malware und Zero-Day-Schwachstellen. Eine Forschungsgruppe für Cybersicherheit stellte fest, dass 2015 nicht weniger als sechs verschiedene Zero-Day-Exploits verwendet wurden. Dies ist eine beachtliche technische Leistung, die eine große Anzahl von Programmierern erfordern würde, die nach bisher unbekannten Schwachstellen in kommerzieller Software der Spitzenklasse suchen. Dies ist ein Zeichen dafür, dass Fancy Bear ein staatliches Programm ist und keine Bande oder ein einsamer Hacker.

The Newcomer's Guide to Cyber Threat Actor Naming - Florian Roth ...

Eines der bevorzugten Ziele von Fancy Bear sind webbasierte E-Mail-Dienste. Ein typischer Kompromiss besteht darin, dass webbasierte E-Mail-Benutzer eine E-Mail erhalten, in der sie dringend aufgefordert werden, ihre Kennwörter zu ändern, um nicht gehackt zu werden. Die E-Mail enthält einen Link zu einer gefälschten Website, die eine echte Webmail-Oberfläche imitiert. Benutzer versuchen, sich anzumelden, und ihre Anmeldeinformationen werden gestohlen. Die URL wird häufig als verkürzter verdeckt, um Spamfilter zu umgehen. Fancy Bear sendet diese Phishing-E-Mails hauptsächlich montags und freitags. Sie senden auch E-Mails, die angeblich Links zu Nachrichten enthalten, aber stattdessen Links zu Malware-Drop-Sites, die Toolkits auf dem Computer des Ziels installieren. Fancy Bear registriert auch Domains, die legitimen Websites ähneln, und erstellt dann eine Parodie der Website, um ihren Opfern Anmeldeinformationen zu stehlen. Es ist bekannt, dass Fancy Bear seinen Befehlsverkehr über Proxy-Netzwerke von Opfern weiterleitet, die es zuvor kompromittiert hat.

Zu der von Fancy Bear verwendeten Software gehören ADVSTORESHELL, CHOPSTICK, JHUHUGIT und XTunnel. Fancy Bear verwendet eine Reihe von Implantaten, darunter Foozer, WinIDS, X-Agent, X-Tunnel, Sofacy und DownRange-Tropfer. Basierend auf den Kompilierungszeiten kam FireEye zu dem Schluss, dass Fancy Bear seine Malware seit 2007 ständig aktualisiert hat. Um die Erkennung zu verhindern, kehrt Fancy Bear in die Umgebung zurück, um die Implantate zu wechseln, die Befehls- und Kontrollkanäle zu ändern und die persistenten Methoden zu ändern. Die Bedrohungsgruppe implementiert Gegenanalysetechniken, um ihren Code zu verschleiern. Sie fügen codierten Strings Junk-Daten hinzu, was das Decodieren ohne den Junk-Entfernungsalgorithmus schwierig macht. Fancy Bear ergreift Maßnahmen, um eine forensische Analyse seiner Hacks zu verhindern, die Zeitstempel für Dateien zurückzusetzen und die Ereignisprotokolle regelmäßig zu löschen.

Javelin vs. APT28 (Fancy Bear) – Javelin Networks Blog

Laut einer Anklage des United States Special Counsel wurde X-Agent von GRU-Leutnant Captain Nikolay Yuryevich Kozachek “entwickelt, angepasst und überwacht”.

Es ist bekannt, dass Fancy Bear Implantate für Zielumgebungen zuschneidet und sie beispielsweise für die Verwendung lokaler E-Mail-Server neu konfiguriert. Im August 2015 entdeckte und blockierte Kaspersky Lab eine Version des ADVSTORESHELL-Implantats, mit der Verteidigungsunternehmen angegriffen wurden. Eineinhalb Stunden nach dem Block hatten die Schauspieler von Fancy Bear eine neue Hintertür für das Implantat zusammengestellt und geliefert.

Einheit 26165 war an der Gestaltung des Lehrplans an mehreren öffentlichen Schulen in Moskau beteiligt, einschließlich der Schule 1101.

Verwandte Personas
Fancy Bear erstellt manchmal Online-Personas, um Desinformation zu säen, Schuldzuweisungen abzulenken und plausible Leugnung für ihre Aktivitäten zu schaffen.

Guccifer 2.0
Eine Online-Person, die zum ersten Mal auftauchte und die Verantwortung für die DNC-Hacks übernahm, am selben Tag, an dem die Geschichte bekannt wurde, dass Fancy Bear verantwortlich war. Guccifer 2.0 behauptet, ein rumänischer Hacker zu sein, aber als sie vom Motherboard-Magazin interviewt wurden, wurden ihnen Fragen auf Rumänisch gestellt und sie schienen nicht in der Lage zu sein, die Sprache zu sprechen. Einige Dokumente, die sie veröffentlicht haben, scheinen Fälschungen zu sein, die aus Material früherer Hacks und öffentlich zugänglichen Informationen zusammengeschustert und dann mit Desinformation gesalzen wurden.

Fancy Bears ‘Hack Team
Eine Website, die erstellt wurde, um Dokumente zu verlieren, die bei den WADA- und IAAF-Angriffen aufgenommen wurden, wurde mit einem kurzen Manifest vom 13. September 2016 versehen, in dem verkündet wurde, dass die Website dem “Fancy Bears ‘Hack-Team” gehört, das angeblich ein “internationales Hack-Team” ist. die “für Fairplay und sauberen Sport stehen”. Die Seite übernahm die Verantwortung für das Hacken der WADA und versprach, “einen sensationellen Beweis dafür zu liefern, dass berühmte Athleten Dopingsubstanzen einnehmen”, beginnend mit der US-Olympiamannschaft, die “ihren Namen durch verdorbene Siege beschämt” habe. Die WADA sagte, einige der unter diesem Namen durchgesickerten Dokumente seien Fälschungen, und diese Daten seien geändert worden.

Russia hacked French election, Trend Micro says in report on ...

Anonymes Polen
Ein Twitter-Account mit dem Namen “Anonymous Poland” (@anpoland) übernahm die Verantwortung für den Angriff auf die Welt-Anti-Doping-Agentur und veröffentlichte Daten, die vom Schiedsgericht für Sport, einem sekundären Ziel, gestohlen wurden. ThreatConnect unterstützt die Ansicht, dass das anonyme Polen eine Strohpuppe von Fancy Bear ist, und bemerkt den Wechsel von einem historischen Fokus auf die Innenpolitik. Ein von Anonymous Poland hochgeladenes Screenshot-Video zeigt ein Konto mit polnischen Spracheinstellungen, aber der Browserverlauf hat gezeigt, dass sie in (Russland) und (USA) gesucht hatten, aber nicht in (Polen).

Fancy Bear zielte auf europäische Think Tanks ab

Internet of Things: Neue Angriffe der Hackergruppe Fancy Bear ...

In einem Blogbeitrag gab Microsoft bekannt, dass Hacker Ende letzten Jahres versucht haben, Konten europäischer Think Tanks zu verletzen. Während der laufenden Ermittlungen ist Microsoft “zuversichtlich”, dass viele der Versuche von der Spionagegruppe Fancy Bear stammen, die die US-Regierung Russland zugeschrieben hat.

Das große Ganze: Fancy Bear – oder wie Microsoft die Gruppe Strontium nennt – ist in den USA am bekanntesten dafür, dass er das Democratic National Committee und andere politische Ziele während der Wahlen 2016 gehackt hat. Insbesondere betreibt der German Marshall Fund eine russische Desinformations-Tracking-Site für soziale Medien namens Hamilton 68.

Die europäischen Hacking-Versuche fanden laut Microsoft zwischen September und Dezember statt.

Die Hacker richteten sich gegen 104 Konten von Mitarbeitern des Deutschen Rates für auswärtige Beziehungen sowie gegen die europäischen Büros des Aspen Institute und des German Marshall Fund in Belgien, Frankreich, Deutschland, Polen, Rumänien und Serbien.
Die Hacker versuchten, mithilfe von Phishing-Websites und E-Mails Anmeldeinformationen zu stehlen und Malware bereitzustellen.
Microsoft hat die betroffenen Think Tanks schnell benachrichtigt.
Think Tanks sind ein wertvolles Ziel für Spione, da sie häufig enge Beziehungen zu Regierungsbeamten und Daten über die Regierungsführung oder von der Regierung hinter den Kulissen haben.

Die Hacking-Gruppe “Fancy Bear” fügt neue Funktionen und Ziele hinzu

Russian Fancy Bear hackers' UK link revealed - BBC News

Die in Russland ansässige Cyberspionage-Gruppe Fancy Bear, die in den letzten Jahren hochkarätige Cyberangriffe gegen Regierungen und Botschaften geführt hat, hat laut Untersuchungen des Sicherheitsunternehmens ESET eine Phishing-Kampagne gestartet, die eine neu gestaltete Hintertür (backdoor) umfasst.

Die Kampagne von Fancy Bear, auch bekannt als APT28, Sofacy, Strontium und Tsar Team, ist seit dem 20. August 2018 aktiv. Die Gruppe, die dem russischen Militärgeheimdienst GRU angeschlossen ist, war an den Hack des Demokratischen Nationalkomitees federführend beteiligt.

Jetzt zielt Fancy Bear hauptsächlich auf Außenministerien und Botschaften in Osteuropa und Zentralasien ab, sagen die Forscher. Die Ermittler fanden auch Hinweise auf eine neu gestaltete Hintertür sowie einen neuen Downloader, den die Hacker mit Nim erstellt haben, einer neuen Art von Programmiersprache, die Aspekte von Python, Ada und Modula kombiniert.

Diese neueste Kampagne beinhaltet Phishing-E-Mails an Opfer, die einen böswilligen Anhang enthalten, sagen die Forscher. Wenn das Ziel den Anhang öffnet, werden Downloader gestartet, die mit der Installation der Hintertür auf einem infizierten Gerät enden, heißt es in dem Bericht.

iese Hintertür ist in der Programmiersprache Golang oder Go geschrieben – eine weitere Ergänzung zum Toolset der Gruppe, so die Forscher.

Taktik überarbeiten
ESET-Forscher haben den Namen der Botschaften, auf die sich diese letzte Kampagne bezieht, nicht bekannt gegeben, aber der Bericht stellt fest, dass die Kampagne weiterhin aktiv ist.

Ein Grund, warum ESET diese neue Hintertür jetzt erkannt hat, ist, dass Fancy Bear-Hacker beschlossen haben, Taktiken und Tools zu wechseln, um der Sicherheitserkennung durch die Organisationen, auf die die Gruppe abzielt, besser zu entgehen. Dies ist ein Grund, warum Fancy Bear Tools wie die Programmiersprachen Golang und Nim verwendet, sagen ESET-Forscher.

“Während es für uns unmöglich ist, genau zu wissen, warum sie es tun, besteht eine wahrscheinliche Erklärung darin, Sicherheitslösungen zu umgehen, die bereits andere Varianten ihrer Tools erkennen”, sagt ein ESET-Forscher gegenüber der Information Security Media Group. “Es könnte auch die Zuordnung erschweren, da es einfacher ist, einer Gruppe eine Variation eines bestimmten Werkzeugs zuzuweisen, das in einer bestimmten Sprache geschrieben ist, als wenn eines in einer völlig neuen Sprache geschrieben ist.”

Die Angriffe im August begannen mit einer Phishing-E-Mail, die ein angehängtes Microsoft Word-Dokument enthielt, obwohl es dem Opfer nach Ansicht der Forscher den Anschein hatte, dass diese bestimmte Datei leer ist. Die E-Mail enthält auch einen Verweis auf eine Dropbox-Vorlage, die laut Bericht einen Link – wordData.dotm – enthält.

Neben der Verwendung der neuen Programmiersprachen zum Umschreiben ihrer schädlichen Tools ist laut ESET auch die Verwendung von Dropbox durch Fancy Bear zur Bereitstellung von zusätzlichem Code neu.

“Der anfängliche Kompromissvektor bleibt unverändert, aber die Verwendung eines Dienstes wie Dropbox zum Herunterladen einer Remote-Vorlage ist für die Gruppe ungewöhnlich”, heißt es in dem Bericht.

Wenn ein Opfer auf den Link für die Dropbox-Vorlage klickt, werden im Hintergrund schädliche Makros heruntergeladen, die den Nim-basierten Downloader sowie einen Trojaner enthalten, den ESET Zebrocy aufruft.

Der Nim-basierte Downloader ist nur ein Teil eines sechsstufigen Prozesses dieses Angriffs. Sobald alle diese anderen Komponenten heruntergeladen sind, wird die endgültige Nutzlast geliefert: Die Hintertür, die in Golang geschrieben ist, sagen die Forscher.

Diese neue Hintertür ähnelt früheren Hintertüren, die von der Fancy Bear-Gruppe bereitgestellt wurden, ist jedoch in einer anderen Programmiersprache geschrieben. Neben dem Zurücksenden von Daten an den Befehls- und Steuerungsserver und der Verwendung der Verschlüsselung zum Ausblenden der Kommunikation umfassen diese anderen gemeinsamen Funktionen:

Dateimanipulation wie Erstellen, Ändern und Löschen;
Planen von Aufgaben in einem Teil von Windows, mit denen die Angreifer die Persistenz auf einem infizierten Gerät aufrechterhalten können.
“Es scheint, dass [Fancy Bear] den Originalcode in andere Sprachen portiert oder in andere Sprachen implementiert, in der Hoffnung, der Erkennung zu entgehen”, heißt es im ESET-Bericht.

Fancy Bear verfolgen
Fancy Bear ist seit etwa 2004 aktiv und hat Berichten zufolge Verbindungen zur russischen Regierung sowie zur Hauptnachrichtendirektion für das russische Militär oder zur GRU.

Die Gruppe war an mehrere hochkarätige Angriffe gebunden, darunter das Hacken von E-Mails des Demokratischen Nationalkomitees während der US-Präsidentschaftswahlen 2016 (siehe: Feds klagen 7 Russen wegen Hacking und Desinformation an).

Im Jahr 2017 versuchte Fancy Bear angeblich, die französischen Präsidentschaftswahlen 2017 zu beeinflussen, indem er einen Dump mit gehackten Daten veröffentlichte, die den Mitarbeitern des damaligen Präsidentschaftskandidaten Emmanuel Macron gehörten. Zu den gehackten Daten gehörten E-Mails, Buchhaltungsdokumente und Verträge der Personen, die an Macrons Kampagnenbewegung beteiligt waren (siehe: Au Revoir, angebliche russische “Fancy Bear” -Hacker).

Im November 2018 richtete die Gruppe ihre Aufmerksamkeit wieder auf die USA und führte einen gezielten Angriff gegen den Senat durch. Laut einem Bericht von Trend Micro startete die Gruppe mehrere Phishing-Sites, die die Active Directory Federation Services des Senats imitierten, um Zugriffsrechte auf verschiedene Regierungssysteme und -anwendungen zu erhalten

Must See Video – GRU-HACKER: Cyberattacken wohl Werk vom russischen Militärgeheimdienst

Der Westen wirft Russland offiziell vor, hinter vielen großen Hackerangriffen der vergangenen Jahre zu stecken. Die USA klagten sieben Agenten des Militärgeheimdiensts GRU unter anderem wegen der Cyberattacke auf Welt-Anti-Doping-Agentur WADA an. Niederländische Behörden erwischten nach eigenen Angaben GRU-Agenten beim Versuch, sich ins Computernetz der Organisation für ein Verbot von Chemiewaffen (OPCW) zu hacken. Die britische Cyberabwehr rechnet dem GRU auch die Hackergruppe APT 28 zu, die hinter den Cyberattacken auf den Deutschen Bundestag und das Datennetzwerk des Bundes vermutet wird. Die Enthüllungen aus London, Den Haag und Washington sind die bisher schärfsten Anschuldigungen im Zusammenhang mit mutmaßlich russischen Hackerangriffen. Besonders ausführlich und gut dokumentiert waren die Vorwürfe der Niederländer. Sie veröffentlichten am Donnerstag unter anderem Bilder von der Spionageausrüstung sowie Daten von beschlagnahmten Geräten. Nach Angaben der Ermittler wollten die GRU-Agenten im April ins WLAN-Netz der OPCW eindringen. Die Organisation untersuchte damals Chemiewaffen-Angriffe in Syrien sowie die Nervengift-Attacke auf den ehemaligen russischen Doppelagenten Sergej Skripal und seineTochterJulia in Großbritannien. Aus den Gerätedaten gehe hervor, dass auch Hacker-Attacken in der Schweiz und auf die strafrechtliche Untersuchung zum Abschuss des Passagierfluges MH17 geplant gewesen seien, hieß es. Mit den Angriffen auf die WADA und den Leichtathletikverband IAAF wollten die russischen Hacker nach Darstellung der US-Ermittler von den Vorwürfen eines staatlich Betriebenen Dopings gegen Russland ablenken. Sie hätten aber auch versucht, sich in den US-Atomkonzern Westinghouse zu hacken. Details dazu – etwa, ob die Attacke Erfolg hatte – gab es nicht. Bereits am Morgen veröffentlichte die britische Cyberabwehr eine Liste von Hackergruppen, hinter denen «so gut wie sicher» der GRU stehe. Darunter ist auch «APT 28», die hinter den Angriffen in Deutschland vermutet wird. Experten gingen bereits davon aus, die offizielle Anschuldigung aus London untermauert nun den Verdacht. Bei dem Angriff auf den Bundestag im Jahr 2015 hatten sich Angreifer so weitreichenden Zugang verschafft, dass die Bundestags-IT ausgetauscht werden musste. Bei dem im Februar bekannt gewordenen Angriff auf das Datennetzwerk des Bundes hatten Cyberspione unter anderem das deutsche Außen- und das Verteidigungsministerium attackiert. Dabei sollen sie auch Daten erbeutet haben. Das britische National Cyber ​​Security Center fand nach eigenen Angaben heraus, dass der GRU auch für Attacken auf die Demokratische Partei vor den US-Präsidentschaftswahlen 2016, einen Flughafen in der Ukraine sowie eine TV-Station in Großbritannien verantwortlich ist. Politiker griffen zu scharfen Worten: Laut dem britischen Außenminister Jeremy Hunt zeigen die Angriffe, dass Russland agiere, ohne das Völkerrecht zu beachten. Verteidigungsminister Gavin Williamson sagte am Rande eines Nato-Treffens in Brüssel: «So handelt keine Großmacht, das sind Handlungen eines Pariastaates.» «Ich habe genügend Beweise gesehen, um sagen zu können, dass die Niederländer und Briten zu 100 Prozent richtig liegen», sagte US-Verteidigungsminister James Mattis. EU-Ratspräsident Donald Tusk und Kommissionschef Jean-Claude Juncker verurteilten das Vorgehen.

FBI Cyber Research revealed

The FBI identified incidents over the past few months in which cyber actors scanned for and sought to exploit audio and visual communication devices on networks to identify vulnerabilities which could later be used to gain access and unlawfully acquire information about the organization. In addition to targeting corporate information, vulnerable devices may be targeted for compromise for use in botnets or other criminal activities. The types of devices targeted include: Voice over Internet Protocol (VoIP) phones, video conferencing equipment, conference phones, VoIP routers, and cloud-based communication systems. While cyber actors have targeted VoIP and other communication devices in the past, the FBI continues to see these devices scanned by cyber actors for vulnerabilities.


Specifically, the FBI observed cyber actors identifying and probing communication devices by issuing HTTP GET requestsa to a business server or network to retrieve device configuration files. Information contained in configuration files often reveals IP addresses, usernames, passwords, system management URLs, and assigned phone numbers – all of which could be used by cyber actors for malicious purposes. Many of the requests are specific to particular brands of devices. Victims will often receive several GET requests in succession with the actors scanning for multiple brands of devices.

In addition, cyber actors retrieve IP addresses for further exploitation by using businesses’ customer service VoIP hyperlinks, which are traditionally made available for customers to use in contacting the business. Once those hyperlinked calls are answered, the actor retrieves the IP address belonging to the phone which answered the call. Once the IP address is retrieved, an actor could send a large volume of packets to the IP address, overloading it and taking the service offline for the targeted business and its legitimate customers.

In addition to the above techniques, cyber actors target devices with brute-force attacks, attempting unauthorized access through the use of common usernames and passwords. Open source scanning tools can also be used to identify vulnerable communication devices and any associated ports.

All of the information obtained through scans and other methods are likely used for specific targeting efforts by cyber actors. This includes leveraging access to compromised audio and video devices to eavesdrop on meetings or conference calls, placing fraudulent international phone calls, leveraging the compromised device for use in botnets, and conducting man-in-the-middle attacks to redirect corporate network traffic.


The following recommendations may limit the success of these types of attacks:

Conduct daily server log reviews to identify unusual activity, including GET and POST requests from external IP addresses.

Work with the communication device/system providers to ensure servers are patched and updated regularly.

Consider restricting access to configuration files or configuring firewalls to block traffic from unauthorized IP addresses.

Restrict communication devices/systems to only non-sensitive business networks.

Conduct regular penetration testing exercises on communication devices to identify and address vulnerabilities in a timely matter.

Enable encryption on teleconference programs and applications and consider disabling auto-answer capabilities.

Password protect configuration files, if possible.

Regularly review and update users with access to administrative accounts.

Segment configuration files on the network. Be sure to protect configuration and other device-related files after getting the device out of the box. Don’t just plug and play.


Revealed – The U.S. DoD Forensic Science Lexicon

DoD Forensic Science Lexicon
May 27, 2018

Department of Defense Forensic Science Lexicon
Page Count: 99 pages
Date: January 2018
Restriction: None
Originating Organization: Defense Forensics and Biometrics Agency
File Type: pdf
File Size: 956,884 bytes
File Hash (SHA-256): 4C47BA0C862DB9F0E3775053480ED5715945EAEB78510D786286A554C8C2BDC1

Download File


1 Introduction

The Department of Defense (DoD) performs forensic science in a collaborative environment which necessitates the clear communication of all activities and their results. A critical enabler of communication is the use of a clear, internally consistent vocabulary.

1.1 Purpose

The goal of the Department of Defense Forensics Lexicon is to provide an operational vocabulary to address Forensics. A shared vocabulary enables a common understanding of Forensics, enhances the fidelity and the utility of operational reporting, facilitates structured data sharing, and strengthens the decision making processes across the DoD.

1.2 Scope

This lexicon encompasses the broad spectrum of scientific disciplines, processes, and equipment associated with performing forensic activities. Additional terms include those related to the programmatic support domains (e.g., doctrine, policy, standards, and accreditation) which enable forensic activity within the DoD.

Excluded from this lexicon are terms and definitions that describe the various types of Improvised Explosive Devices (IEDs) and the specific components of IEDs, as those have been previously defined in other well established lexicons.

1.3 Approach

This Department of Defense Forensics Lexicon was authored by subject matter experts from key organizations and agencies engaged in the full range of forensic activities and the personnel that provide programmatic support to those experts. It was then staffed multiple times across the Defense Forensics Enterprise in order to obtain support and consensus.