Was ist die GU (GRU) ? Russlands Tödlicher Militärgeheimdienst Enthüllt

Was ist die GU (GRU) ? Russlands Tödlicher Militärgeheimdienst Enthüllt
Russia behind massive cyber attack on Georgia, say Western allies ...

GRU Zentrale in Moskau

Die GRU hatte nach dem russischen Krieg mit Georgien im Jahr 2008 an Geldmangel verloren und an Größe verloren, als sie nicht feststellte, dass Georgien neue Flugabwehrraketen beschafft hatte. Aber seine Spezialeinheiten spielten später eine entscheidende Rolle bei der Eroberung der Krim und der Unterstützung pro-russischer Separatisten in der Ostukraine im Jahr 2014. GRU-Hacker, genannt „Fancy Bear“, tobten im Cyberspace und drangen vom deutschen Parlament bis zur Kampagne von Emmanuel Macron für die Franzosen vor Präsidentschaft. Einige dieser Aktivitäten erwiesen sich jedoch als peinlich. Im Mai entlarvte Bellingcat, eine Ermittlungswebsite, den Namen eines GRU-Offiziers, der am Absturz eines Fluges von Malaysian Airlines über die Ukraine beteiligt war. Der unglückliche Spion hatte Online-Einkäufe an die Adresse des GRU-Hauptquartiers geschickt. Zwei Monate später enthüllte Robert Mueller, Amerikas Sonderberater, die Namen, Ränge und Adressen von einem Dutzend GRU-Hackern. Solche gelegentlichen Fehltritte können eine Organisation nicht davon abhalten, Risiken einzugehen, aber sie hat andere Gründe zur Sorge. Es wird angenommen, dass es in den letzten Jahren unter schweren Defekten gelitten hat. Massenvertreibungen haben die Reihen der russischen Spione unter diplomatischer Deckung im Westen dezimiert und die Operationen erschwert. Und Großbritannien hat auf Cyber-Angriffe auf die Kommunikation und die Finanzen der GRU hingewiesen. Möglicherweise ist es an der Zeit, dass James Bond im nächsten Film der Franchise gegen einen GRU-Bösewicht antritt.

 

GRU Chef  Igor Kostyukov

Hintergrund:
Die Hauptverwaltung des Generalstabs der Streitkräfte der Russischen Föderation (russisch: Главное управление Генерального штаба Вооружённых Сил Российской Федерации), abgekürzt GU, früher der Hauptverwaltung Aufklärung (russisch. Главное разведывательное управление, tr Glavnoye razvedyvatel ‘noye upravleniye, IPA: [ˈɡlavnəjə rɐzˈvʲɛdɨvətʲɪlʲnəjə ʊprɐˈvlʲenʲɪjə]) und immer noch allgemein bekannt unter der vorherigen Abkürzung GRU [1] (russisch: ГРУ, IPA: [ɡeeˈru]), ist der ausländische Militärgeheimdienst des Generalstabs des Generalstabs Streitkräfte der Russischen Föderation (ehemals Generalstab der UdSSR). Im Gegensatz zu anderen russischen Sicherheits- und Geheimdiensten wie dem SVR, dem FSB und dem BFS, deren Leiter direkt dem Präsidenten Russlands Bericht erstatten, untersteht der Direktor der GRU dem russischen Militärkommando, direkt dem Verteidigungsminister und der Chef des Generalstabs. Bis 2010 und ab 2013 kontrollierte die GRU den militärischen Geheimdienst und die GRU-Spezialeinheiten.

Die Direktion ist angeblich Russlands größter ausländischer Geheimdienst. Nach unbestätigten Aussagen von Stanislav Lunev, einem Überläufer der GRU, entsandte die Agentur 1997 sechsmal so viele Agenten im Ausland wie der SVR, der Nachfolger der Direktion für Auslandsoperationen des KGB (PGU KGB). Ab 1997 befehligte es auch rund 25.000 Spetsnaz-Truppen.

Das erste russische Gremium für militärische Geheimdienste aus dem Jahr 1810: Der Kriegsminister Michael Andreas Barclay de Tolly schlug dem Kaiser Alexander I. von Russland die Einrichtung eines ständigen Gremiums für strategische militärische Geheimdienste vor. Im Januar 1810 wurde die Expedition für geheime Angelegenheiten unter dem Kriegsministerium (russisch: Экспедиция секретных дел при военном министерстве) gegründet. Zwei Jahre später wurde es in Special Bureau (russisch: Особая канцелярия) umbenannt.

1815 wurde das Büro die erste Abteilung unter dem Generalstabschef. 1836 wurden die Geheimdienstfunktionen unter dem Generalstabschef an die Zweite Abteilung übertragen. Nach vielen Namensänderungen im Laufe der Jahre, im April 1906, wurde der militärische Geheimdienst von der Fünften Abteilung unter dem Generalstabschef des Kriegsministeriums durchgeführt.

Der erste Vorgänger der GRU in Sowjetrußland wurde durch den am 5. November 1918 von Jukums Vācietis, dem ersten Oberbefehlshaber der Roten Armee (RKKA), unterzeichneten geheimen Befehl und von Ephraim Sklyansky, dem damaligen Stellvertreter von Leo Trotzki (Trotzki), gegründet der zivile Führer der Roten Armee). Seit 2006 hat die Russische Föderation das Datum des 5. November offiziell als Berufsfeiertag des militärischen Geheimdienstes (russisch: День военного разведчика) in Russland begangen.

Ceremonial event to mark centenary of GRU • President of Russia

Putin mit GRU Genossen

Der so eingerichtete militärische Geheimdienst war ursprünglich als Registrierungsagentur (Registrupravlenie oder Registrupr; russisch: Региструпр) des Hauptquartiers des Revolutionären Militärrates der Republik bekannt. Simon Aralov war sein erster Kopf. In seiner Geschichte der frühen Jahre der GRU schreibt Raymond W. Leonard: “Wie ursprünglich festgelegt, war die Registrierungsabteilung nicht direkt dem Generalstab unterstellt (zu der Zeit als Feldstab der Roten Armee bezeichnet – Polevoi Shtab). Administrativ war es die dritte Abteilung der Einsatzdirektion des Außendienstes. Im Juli 1920 wurde die EVU zur zweiten von vier Hauptabteilungen in der Betriebsdirektion ernannt. Bis 1921 wurde es normalerweise als Registrupr (Registrierungsabteilung) bezeichnet. In diesem Jahr, nach dem sowjetisch-polnischen Krieg, wurde es zum zweiten (Geheimdienst-) Direktorat des Stabes der Roten Armee erhoben und war danach als Razvedupr bekannt. Dies resultierte wahrscheinlich aus seiner neuen primären Friedensverantwortung als Hauptquelle ausländischer Geheimdienste für die sowjetische Führung. Im Rahmen einer umfassenden Neuorganisation der Roten Armee wurde die RU (damals Razvedyvatelnoe Upravlenye) 1925 oder 1926 zur vierten Direktion des Geheimdienstes der Roten Armee und danach auch einfach als “Vierte Abteilung” bezeichnet. Während des größten Teils der Zwischenkriegszeit nannten es die Männer und Frauen, die für den Geheimdienst der Roten Armee arbeiteten, entweder die Vierte Abteilung, den Geheimdienst, den Razvedupr oder die RU. […] Infolge der Neuorganisation [1926], die teilweise durchgeführt wurde, um Trotzkis Einfluss auf die Armee aufzulösen, scheint die Vierte Abteilung direkt unter die Kontrolle des Staatsverteidigungsrates (Gosudarstvennaia komissiia oborony) gestellt worden zu sein oder GKO), der Nachfolger des RVSR. Danach gingen seine Analysen und Berichte direkt an die GKO und das Politbüro, anscheinend sogar unter Umgehung des Stabes der Roten Armee.”

Der erste Leiter der 4. Direktion war Yan Karlovich Berzin, der von März 1924 bis April 1935 im Amt blieb (später, 1938, wurde er verhaftet und als Trotzkist hingerichtet).

Witness in the MH17 case Colonel Geranin of the Russian GRU ...

Flug MH17 – Opfer der GRU

Der militärische Geheimdienst war in der Sowjetregierung für seine starke Unabhängigkeit von den rivalisierenden “internen Geheimdienstorganisationen” wie dem NKWD und später dem KGB bekannt. Das Hauptquartier des militärischen Geheimdienstes befand sich in der Prechistenka-Straße [ru] westlich des Kremls, während sich der NKWD im Zentrum von Moskau neben dem Gebäude befand, in dem sich das Volkskommissariat für auswärtige Angelegenheiten am Fuße von Kusnezki Most befand. Aufgrund dieser Tatsache wurde der sowjetische Militärgeheimdienst im Gegensatz zu nahen Nachbarn, d. H. Den Geheimdienstoffizieren des NKWD / KGB, in der Neigung der sowjetischen Diplomaten als entfernte Nachbarn (russisch: дальние соседи) bekannt. Nach öffentlichen Aussagen von Veteranen des sowjetischen Militärgeheimdienstes war die GRU dem KGB operativ immer untergeordnet.

Die GRU an sich (unter diesem Namen) wurde durch Joseph Stalins Befehl vom 16. Februar 1942 gegründet. Ab April 1943 befasste sich die GRU ausschließlich außerhalb der UdSSR mit menschlicher Intelligenz.

Die GRU betrieb weltweit “legale” (in sowjetischen Botschaften ansässige) und “illegale” Rezidenturas sowie die SIGINT-Station (Signals Intelligence) in Lourdes, Kuba und in den Ländern des ehemaligen Sowjetblocks.

Die Existenz der GRU wurde während der Sowjetzeit nicht veröffentlicht, aber Dokumente darüber wurden Ende der 1920er Jahre im Westen verfügbar, und sie wurde in den Memoiren des ersten OGPU-Überläufers, Georges Agabekov, von 1931 erwähnt und in der 1939 Autobiographie (Ich war Stalins Agent) von Walter Krivitsky, dem höchsten Geheimdienstoffizier der Roten Armee, der jemals übergelaufen ist. Es wurde in Russland und im Westen außerhalb der engen Grenzen der Geheimdienste während der Perestroika weithin bekannt, unter anderem dank der Schriften von “Viktor Suworow” (Vladimir Rezun), einem GRU-Offizier, der 1978 nach Großbritannien abwanderte schrieb über seine Erfahrungen im sowjetischen Militär und Geheimdienst. Laut Suworow musste sogar der Generalsekretär der Kommunistischen Partei der Sowjetunion, um das GRU-Hauptquartier zu betreten, eine Sicherheitsüberprüfung durchlaufen.

Nach der Auflösung der UdSSR im Dezember 1991 war die GRU weiterhin ein wichtiger Bestandteil der russischen Geheimdienste, zumal sie (im Gegensatz zum KGB) nie aufgeteilt wurde. Der KGB wurde aufgelöst, nachdem er 1991 einen gescheiterten Putsch gegen den damaligen sowjetischen Präsidenten Michail Gorbatschow unterstützt hatte. Es wurde inzwischen in den Foreign Intelligence Service (SVR) und den Federal Security Service (FSB) unterteilt.

Investigative journalists discover data of 305 Russian GRU ...

Enttarnte GRU Agenten im Einsatz

Im Jahr 2006 zog die GRU in einen neuen Hauptquartierkomplex in Khoroshovskoye Shosse [ru] um, dessen Bau 9,5 Milliarden Rubel kostete und 70.000 Quadratmeter umfasste.

Im April 2009 entließ Präsident Dmitri Medwedew den damaligen GRU-Chef Valentin Korabelnikov, der die GRU seit 1997 geleitet hatte, Berichten zufolge wegen Korabelnikovs Einwänden gegen vorgeschlagene Reformen.

Im Jahr 2010 wurde der offizielle Name der Einheit von “GRU” in “Hauptdirektion des russischen Generalstabschefs” oder “GU” geändert, aber “GRU” wurde weiterhin häufig in den Medien verwendet.

Der Tod des GRU-Chefs Igor Sergun Anfang Januar 2016 verursachte Spekulationen über foul play. Igor Sergun, der seit Ende 2011 an der Spitze der GRU steht, soll die Agentur nach den drastischen Kürzungen des Dienstes übernommen haben, die im Zuge einer radikalen Umstrukturierung des Militärs durch Verteidigungsminister Anatoliy Serdyukov vorgenommen wurden.

GRU erlangte einen Teil ihres früheren Einflusses zurück, insbesondere durch eine herausragende Rolle bei der Eroberung der Krim im Jahr 2014 und bei der russischen Intervention in der Ostukraine nach dem FSB- orchestrierte pro-russische Unruhen weitgehend ausliefen.

Die Amtszeit von Serguns Nachfolger Igor Korobov war geprägt von den Nachrichtenmedien, die mehrere hochkarätige Misserfolge publizierten, wie den vereitelte Staatsstreichversuch 2016 in Montenegro und die gescheiterte Salisbury-Vergiftung von 2018 sowie eine beispiellose Anzahl der offenbarten GRU-Agenten. Korobov starb am 21. November 2018 “nach einer schweren und anhaltenden Krankheit”, so die offizielle Erklärung des Verteidigungsministeriums. Sein Tod provozierte Spekulationen und unbestätigte Berichte darüber, dass er im Oktober dieses Jahres krank geworden war, nachdem Präsident Wladimir Putin sich hart gegen ihn gewandt hatte.

Der frühere CIA-Stationschef Daniel Hoffman warnte jedoch 2017, dass einige der jüngsten Operationen des russischen Geheimdienstes, die verpfuscht zu sein schienen, “Operationen mit erkennbarem Einfluss” gewesen sein könnten, d. H. Operationen, die entdeckt werden sollten. In ähnlicher Weise meinte Eerik-Niiles Kross, ein ehemaliger Geheimdienstkoordinator der estnischen Regierung (1995–2000), 2019 zu der offensichtlichen Schlamperei der GRU: “Diese Art von Geheimdienstoperation ist Teil der psychologischen Kriegsführung geworden. Sie wollen gefühlt werden. Es ist Teil des Spiels.”

Am 2. November 2018 schlug Präsident Putin vor, den früheren Namen der GU wiederherzustellen: Главное разведывательное управление (GRU).

Organisatorische Struktur

Die GRU ist in zahlreiche Direktionen organisiert. Nach den in offenen Quellen verfügbaren Daten besteht die Struktur der Hauptdirektion aus 12 Direktionen und mehreren Hilfsabteilungen.

Die Erste Direktion ist für den Geheimdienst in Europa zuständig.

Die Zweite Direktion ist geografisch für die westliche Hemisphäre verantwortlich.

Die Dritte Direktion ist geografisch für Asien zuständig.

Die Vierte Direktion ist geografisch für Afrika und den Nahen Osten zuständig.

Die fünfte Direktion ist für den Geheimdienst der militärischen Operationen zuständig, einschließlich des Geheimdienstes der Marine und der Luftwaffe.

Die Sechste Direktion ist für die Signalaufklärung (SIGINT) zuständig.

Die Siebte Direktion ist speziell für die NATO zuständig.

Die Achte Direktion befasst sich mit der Verwaltung von Sonderzwecken.

Die Neunte Direktion ist für die Militärtechnologie zuständig.

Die zehnte Direktion ist die Abteilung für Kriegsökonomie.

Die elfte Direktion ist die Abteilung für strategische Lehren und Waffen.

Die zwölfte Direktion ist für die Informationskriegsführung zuständig.

Die Einheit 54777, die alternativ als 72. Special Service Center bezeichnet wird, ist eine der wichtigsten psychologischen Kampffähigkeiten der GRU. Einheit 54777 behält mehrere Frontorganisationen, einschließlich InfoRos und des Instituts der russischen Diaspora.

SATCOM
Seit Mitte der 1970er Jahre unterhält die GRU einen Abhörposten für Satellitenkommunikation in der Nähe von Andreyevka, etwa fünfzig Meilen von Spassk-Dalny in der Region Primorsky entfernt.

GRU-Illegale
Nach einer westlichen Einschätzung der GRU, die Reuters im Herbst 2018 gesehen hatte, hatte die GRU ein langjähriges Programm, um “illegale” Spione zu führen, dh diejenigen, die ohne diplomatische Deckung arbeiten und unter einer vermuteten Identität im Ausland leben Jahre. In der Bewertung heißt es: „Es spielt eine immer wichtigere Rolle bei der Entwicklung des Informationskriegs in Russland (sowohl defensiv als auch offensiv). Es ist eine aggressive und gut finanzierte Organisation, die die direkte Unterstützung von und den Zugang zu [russischem Präsidenten Wladimir] Putin hat und Zugang zu ihren Aktivitäten und Nachsicht in Bezug auf diplomatische und legislative Kontrolle gewährt.”

Spezialeinheiten der Hauptdirektion
Spezialeinheiten der Hauptdirektion des Generalstabs der russischen Streitkräfte
Allgemein bekannt als Spetsnaz GRU, wurde sie 1949 gegründet. Nach der Auflösung der Sowjetunion im Jahr 1991 blieb die Spetsnaz GRU als Teil der russischen GRU intakt, bis sie 2010 anderen Agenturen zugewiesen wurde. Im Jahr 2013 wurde die Entscheidung jedoch rückgängig gemacht und die GRU-Einheiten von Spetsnaz wurden den GRU-Abteilungen zugewiesen und erneut unter die GRU-Autorität gestellt.

Did Batman Steal the Soviet GRU Symbol? (Or is Batman a GRU Agent ...

Putin  bei der GRU zu Besuch

Bildung
GRU-Offiziere trainieren an einer Militärakademie des Verteidigungsministeriums in der Narodnoe Opolchenie Street 50, wobei Geheimdienstagenten zusätzliche Schulungen an der Cherepovets Higher Military School für Radioelektronik erhalten. Die A.F. Mozhaysky Military-Space Academy wurde auch zur Ausbildung von GRU-Offizieren eingesetzt.

Aktivitäten nach Ländern
Laut der Federation of American Scientists: “Obwohl manchmal im Vergleich zur US Defense Intelligence Agency, umfassen die Aktivitäten der [GRU] diejenigen, die von fast allen gemeinsamen US-Militärgeheimdiensten sowie anderen nationalen US-Organisationen durchgeführt werden. Die GRU sammelt menschliche Intelligenz durch Militär Anhänge und ausländische Agenten. Außerdem werden wichtige Funktionen für Signalaufklärung (SIGINT) und Bildaufklärung (IMINT) sowie Satellitenbilder beibehalten.” Die sowjetische GRU-Direktion für Weltrauminformationen hatte mehr als 130 SIGINT-Satelliten in die Umlaufbahn gebracht. Das Netzwerk von GRU und KGB SIGINT beschäftigte rund 350.000 Spezialisten.

Austria
Am 9. November 2018 sagte der österreichische Bundeskanzler Sebastian Kurz, dass ein 70-jähriger Oberst der Armee im Ruhestand vermutlich jahrelang für Russland ausspioniert habe. Der betreffende Beamte, dessen Name nicht bekannt gegeben wurde und der möglicherweise unter falscher Flagge angesprochen wurde, soll von 1992 bis September 2018 offizielle Geheimnisse an seine GRU-Mitarbeiter verkauft haben. Im Juli 2019 bestätigte das österreichische Innenministerium, dass es sich bei dem Oberstführer um einen in Moskau geborenen GRU-Offizier, Igor Egorovich Zaytsev, einen russischen Staatsbürger handelte, für den ein internationaler Haftbefehl ausgestellt worden war.

Bulgarien
Eine Untersuchung von Bellingcat und Capital identifizierte den GRU-Offizier Denis Vyacheslavovich Sergeev (unter dem Pseudonym Sergey Vyacheslavovich Fedotov) als Verdächtigen der Vergiftung des bulgarischen Geschäftsmanns Emilian Gebrev in Sofia im Jahr 2015 nach einem Angriff, der die bei der Vergiftung von Sergei und Yulia verwendeten Techniken widerspiegelte Skripal. Dieser Angriff wurde speziell an Einheit 29155 gebunden.

Kanada
Die GRU erhielt Informationen von Jeffrey Delisle von der Royal Canadian Navy, was zur Ausweisung mehrerer Mitarbeiter der russischen Botschaft führte, einschließlich des Verteidigungsattachés in Ottawa.

Estland
Ein russischer Staatsbürger namens Artem Zinchenko wurde im Mai 2017 wegen Spionage Estlands für die GRU verurteilt. 2007 wurde Deniss Metsavas, ein in Lasnamäe geborenes Mitglied der estnischen Landstreitkräfte, bei einem Besuch in Smolensk mit einer Honigfangoperation angegriffen. Anschließend wurde er erpresst, um GRU-Handlern Informationen zur Verfügung zu stellen. Sein Vater, Pjotr ​​Volin, wurde ebenfalls von GRU-Agenten als Hebel gegen Deniss rekrutiert und diente als Kurier für Verschlusssachen. Am 5. September 2018 wurden Major Deniss Metsavas und Pjotr ​​Volin beschuldigt, der GRU Verschlusssachen gegeben zu haben. Die beiden wurden im Februar 2019 verurteilt.

Finnland
Im September 2018 führte die finnische Polizei eine groß angelegte Operation gegen zahlreiche Standorte der Airiston Helmi Oy durch, bei denen über Jahre hinweg Grundstücke und Gebäude in der Nähe von national bedeutenden Schlüsselstraßen, Häfen, Ölraffinerien und anderen strategischen Standorten sowie zwei finnische Marineschiffe angesammelt wurden . Die Sicherheitsoperation wurde parallel an mehreren Orten durchgeführt, an denen das finnische nationale Untersuchungsbüro, die örtliche Polizei, die Steuerverwaltung, der Grenzschutz und die finnischen Streitkräfte beteiligt waren. Während der Operation wurde eine Flugverbotszone über dem Turku-Archipel eingerichtet, in der sich wichtige Objekte befanden. Während der offizielle Grund für die Razzia Geldwäsche in mehreren Millionen Euro und Steuerbetrug war, spekulierten die Medien, dass das Unternehmen eine Deckung für die GRU gewesen sein könnte, die im Falle einer Konfliktsituation die Infrastruktur für einen Überraschungsangriff auf finnische Standorte vorbereitet.

Frankreich
Viktor Ilyushin, ein GRU-Agent, der als stellvertretender Luftwaffenattaché arbeitet, wurde 2014 wegen versuchter Spionage des Personals von François Hollande aus Frankreich ausgewiesen. Im August 2015 schaltete eine GRU-Einheit, die sich als islamischer Staat im Irak ausgibt, und die Levant-Anhänger namens CyberCaliphate TV5Monde für ungefähr 18 Stunden offline.

GRU-Mitarbeiter von Fancy Bear / APT 28 verwendeten gefälschte Facebook-Konten, um sich als Mitarbeiter des Wahlkampfpersonals von Emmanuel Macron auszugeben, mit dem Ziel, die französischen Präsidentschaftswahlen 2017 zu stören. Georgy Petrovich Roshka, ein Mitglied der GRU-Einheit 26165, war am Diebstahl von Macrons E-Mails und der anschließenden Verbreitung über WikiLeaks beteiligt.

Im Dezember 2019 berichtete Le Monde, dass die gemeinsamen Bemühungen der britischen, schweizerischen, französischen und US-amerikanischen Geheimdienste eine offensichtliche “hintere Basis” der GRU im Südosten Frankreichs entdeckt hatten, die vermutlich von der GRU für die geheimen Operationen in ganz Europa verwendet wurde. Die Ermittler hatten 15 Agenten identifiziert – alle Mitglieder der GRU-Einheit 29155 -, die von 2014 bis 2018 Haute-Savoie in der französischen Region Auvergne-Rhône-Alpes besuchten, darunter Alexander Petrov und Ruslan Boshirov, von denen angenommen wird, dass sie hinter der Vergiftung des ehemaligen GRU-Obersten und britischen Doppelagenten Sergei Skripal in Salisbury im Jahr 2018.

UK blames Russian GRU for cyber attacks - and vows to respond | UK ...

Putins Cyberwar wird vor allem durch GRU orchestriert

Georgia
Während der georgisch-russischen Spionage-Kontroverse 2006 wurden vier Beamte der GRU Alexander Savva, Dmitry Kazantsev, Aleksey Zavgorodny und Alexander Baranov von der Abteilung für Spionageabwehr des georgischen Innenministeriums festgenommen und wegen Spionage und Sabotage angeklagt. Dieses Spionagenetzwerk wurde von GRU-Oberst Anatoly Sinitsin aus Armenien verwaltet. Einige Tage später wurden die verhafteten Beamten über die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) an Russland übergeben.

Die Spetsnaz GRU-Einheit Nr. 48427, eine Luftlandeeinheit, nahm am russisch-georgischen Krieg teil.

Japan
Im September 2000 wies Japan Kapitän Viktor Bogatenkov, einen Militärattaché der russischen Botschaft in Tokio, wegen Spionagevorwürfen aus. [69] Bogatenkov war ein GRU-Agent, der Verschlusssachen von Shigehiro Hagisaki (萩 嵜 繁 博) erhielt, einem Forscher am Nationalen Institut für Verteidigungsstudien.

Moldawien
Im Juni 2017 hat Moldawien fünf russische GRU-Aktivisten mit diplomatischer Deckung aus der russischen Botschaft in Chisinau ausgewiesen, da sie vermutlich versuchen, Kämpfer aus Gagausien zu rekrutieren, um im anhaltenden Konflikt mit der Ukraine zu kämpfen. Der stellvertretende russische Außenminister Grigory Karasin wies die Vorwürfe zurück.

Montenegro
Es wird angenommen, dass die beiden russischen Staatsangehörigen, die von der montenegrinischen Staatsanwaltschaft als Organisatoren des Putschversuchs in Montenegro im Oktober 2016 angeklagt wurden, GRU-Offiziere sind. Einer von ihnen, Eduard Vadimovich Shishmakov (“Shirokov”), war im Oktober 2014 offiziell als GRU identifiziert worden, als Shishmakov, der damals die Position eines stellvertretenden Militärattachés in der russischen Botschaft in Polen innehatte, von den Polen zur Persona non grata erklärt wurde Regierung.

Russland
Berichten zufolge dienten Dmitry Kozak und Vladislav Surkov, Mitglieder der Wladimir Putin-Regierung, in der GRU. Zwei Tschetschenen, Said-Magomed Kakiev und der frühere Kriegsherr Sulim Yamadayev, waren Kommandeure der Spezialbataillone Wostok und Zapad (“Ost” und “West”), die von der GRU kontrolliert wurden. Zu den Bataillonen gehörten bis zu ihrer Auflösung im Jahr 2008 jeweils fast tausend Kämpfer.

Ungefähr 300 Kommandos, Geheimdienstoffiziere und anderes GRU-Personal starben während der Kämpfe in Tschetschenien.

GRU-Abteilungen aus Tschetschenien wurden nach dem Libanonkrieg 2006 unabhängig von der Interimstruppe der Vereinten Nationen im Libanon in den Libanon versetzt.

Zelimkhan Yandarbiyev wurde von zwei GRU-Offizieren ermordet. GRU-Offiziere wurden auch beschuldigt, kriminelle Todesschwadronen geschaffen zu haben.

Spanien
Laut Berichten von Bellingcat, El País und der Civica Media Foundation untersucht die Audiencia Nacional eine GRU-Gruppe namens Unit 29155 und ihre Aktivitäten in Spanien. Die GRU-Mitglieder Denis Sergeev, Alexey Kalinin und Mikhail Opryshko sollen zur Zeit des katalanischen Unabhängigkeitsreferendums 2017 in Barcelona operiert haben.

Syrien
Siehe auch: Russische militärische Intervention im syrischen Bürgerkrieg
Die Sechste Direktion war für die Aufrechterhaltung des verdeckten Abhörpostens des Zentrums S in Syrien verantwortlich, bevor es 2014 an die Freie Syrische Armee verloren wurde. Die Sechste Direktion betreibt auch einen Signalaufklärungsposten auf der Hmeimim Air Base in der Nähe von Latakia.

Im Jahr 2015 sind Berichten zufolge Soldaten der GRU-Spezialeinheiten in Aleppo und Homs erschienen. GRU-Beamte haben auch Qamischli nahe der Grenze zur Türkei besucht.

Türkei
Im Jahr 2018 veröffentlichte die türkische Regierung Videoüberwachungsvideos von der Ermordung eines tschetschenischen Kommandanten Abdulvahid Edelgiriev, der 2015 in Istanbul getötet wurde

Ukraine
Die GRU Spetsnaz waren an der Annexion der Krim durch die Russische Föderation und am Krieg in Donbass beteiligt. Während des Vorfalls in der Kertsch-Straße im November 2018 sandte die Einheit 54777 der GRU Textnachrichten an ukrainische Männer in der Grenzregion, in denen sie aufgefordert wurden, sich zum Militärdienst zu melden.

Großbritannien
Im September 2018 ernannte die Kronstaatsanwaltschaft offiziell zwei russische Staatsangehörige, Alexander Petrov und Ruslan Boshirov (die Namen, die die Männer bei ihrer Einreise nach Großbritannien verwendeten), zu mutmaßlichen Tätern des Attentats auf den ehemaligen GRU-Offizier Sergei Skripal und seine Tochter in März 2018. Im Rahmen der Anklageerhebung veröffentlichte Scotland Yard einen detaillierten Überblick über die 48 Stunden der Personen in Großbritannien. Dies umfasste ihre Ankunft in Großbritannien am Flughafen Gatwick, die Reise nach Salisbury am Tag vor dem Angriff, die Reise nach Salisbury am Tag des Angriffs und die Rückkehr nach Moskau über den Flughafen Heathrow. Die beiden Männer verbrachten beide Nächte im City Stay Hotel an der Bow Road in East London, und Novichok wurde in ihrem Zimmer gefunden, nachdem die Polizei es am 4. Mai 2018 abgeriegelt hatte. Die britische Premierministerin Theresa May teilte den Commons am selben Tag mit, dass die Verdächtigen Teil der G.U. Der Geheimdienst (früher bekannt als GRU) und das Attentat waren keine Schurkenoperation und wurden “mit ziemlicher Sicherheit” auf hoher Ebene des russischen Staates genehmigt.

Als Nebeneffekt der Skripal-Vergiftungsuntersuchung berichteten russische und westliche Medien über Schlussfolgerungen von Open-Source-Geheimdiensten, wonach GRU-Mitarbeiter russische Auslandsreisepässe mit bestimmten Merkmalen erhalten hätten, die ihre vorläufige Identifizierung ermöglichen würden. Durch weitere Forschungen wurde “Boshirov” im Herbst 2018 öffentlich als Anatoliy Chepiga, ein ausgezeichneter GRU-Offizier, und “Petrov” als Alexander Mishkin entlarvt.

Vereinigte Staaten
Der GRU-Offizier Stanislav Lunev, der 1992 in die USA abwanderte, als er unter dem Deckmantel eines Korrespondenten der TASS-Nachrichtenagentur in Washington stationiert war, veröffentlichte in den 1990er Jahren seine Behauptungen, dass kleine Atomwaffen in einen Rucksack, eine Aktentasche oder einen Koffer passen könnten war in den USA und anderen Ländern der Welt heimlich vorpositioniert worden, um von russischen Agenten im Kriegsfall zur Sabotage eingesetzt zu werden. Der US-Kongressabgeordnete Curt Weldon verfolgte diese Behauptungen öffentlich und gab zu, dass sie vom FBI als weitgehend falsch befunden worden waren. Durchsuchungen der von Lunev identifizierten Gebiete – der zugab, in den USA niemals Waffen gepflanzt zu haben – wurden durchgeführt, “aber Strafverfolgungsbeamte haben solche Waffen-Caches mit oder ohne tragbare Atomwaffen nie gefunden”.

What is the Russian military agency GRU, accused of nefarious ...

GRU in den sozialen Medien stark aktiv – die Trolle aus Moskau agieren global

Wahlbeeinflussung
Der stellvertretende Generalstaatsanwalt der Vereinigten Staaten, Rod Rosenstein, kündigte 2018 eine Anklage gegen 12 russische Geheimdienstoffiziere wegen Hacking-Straftaten im Zusammenhang mit den US-Präsidentschaftswahlen 2016 an.
Am 29. Dezember 2016 sanktionierte das Weiße Haus die neun Unternehmen und Einzelpersonen, einschließlich der GRU und des FSB, für ihre angeblichen Aktivitäten, um Desinformation während der US-Präsidentschaftswahlen 2016 zu stören und zu verbreiten. Darüber hinaus erklärte das US-Außenministerium 35 russische Diplomaten und Beamte zur Persona non grata und verweigerte russischen Regierungsbeamten den Zugang zu zwei Einrichtungen in russischem Besitz in Maryland und New York. Am 13. Juli 2018 wurde eine Anklage gegen mehrere GRU-Mitarbeiter erhoben. Die GRU-Einheiten 26165 und 74455 sollen sich hinter der DCLeaks-Website befinden und wurden angeklagt, Zugang zu und Verbreitung von Informationen aus Daten von etwa 500.000 Wählern von einer Website des State Election Board sowie den E-Mail-Konten von John Podesta, Hillary Clinton und Freiwilligen erhalten zu haben und Mitarbeiter der Präsidentschaftskampagne der Vereinigten Staaten von Hillary Clinton, des Komitees für demokratische Kongresskampagnen und des Demokratischen Nationalkomitees (DNC). Nach Informationen von Reality Winner versuchte die GRU, den Wahlmaschinenhersteller VR Systems sowie lokale Wahlbeamte zu hacken.

Im Juli 2018 veröffentlichte der stellvertretende Generalstaatsanwalt Rod Rosenstein eine Anklageschrift, die von einer großen Jury zurückgegeben wurde, in der zwölf GRU-Beamte wegen Verschwörung zur Einmischung in die Wahlen 2016 angeklagt wurden.

Laut Microsoft-Vizepräsident Tom Burt war eine von der GRU geführte Gruppe namens Strontium (alternativ bekannt als APT28, Sofacy und Pawn Strorm sowie Fancy Bear) bei den Zwischenwahlen 2018 an Spear-Phishing-Angriffen gegen mindestens drei Kampagnen beteiligt.

Bemerkenswerte Überläufer und Doppelagenten
Igor Gouzenko, ein GRU-Chiffrierangestellter, der in Kanada übergelaufen ist
Walter Krivitsky, ein GRU-Überläufer, der voraussagte, dass Joseph Stalin und Adolf Hitler einen nationalsozialistischen Nichtangriffspakt abschließen würden, wurde 1941 tot aufgefunden
Stanislav Lunev
Oleg Penkovsky, ein GRU-Offizier, der während der Kubakrise eine Rolle spielte
Dmitri Polyakov, angeblich der ranghöchste GRU-Doppelagent, der dem sowjetischen Geheimdienst während seiner 25-jährigen Arbeit für die CIA den größten Schaden zugefügt hat
Ignace Reiss, ein GRU-Überläufer, der im Juli 1937 ein Überfallschreiben an Stalin sandte, wurde im September 1937 tot aufgefunden
Sergei Skripal
Viktor Suworow (Vladimir Bogdanovich Rezun)

Direktoren
Der Chef des russischen Militärgeheimdienstes ist ein Militäroffizier. Er ist der primäre militärische Geheimdienstberater des russischen Verteidigungsministers und des russischen Stabschefs und antwortet in gewissem Umfang auch dem russischen Präsidenten, wenn er dazu aufgefordert wird.

GRU Chef Igor Korobov (rechts) starb unter mysteriösen Umständen, links der Verteidigungsminister Sergey Shoigu

 

Nr.  Name Dienstzeit Staatschef
1 Yevgeny Timokhin November 1991 – August 1992 Boris Yeltsin
2 Fyodor Ladygin August 1992 – Mai 1997 Boris Yeltsin
3 Valentin Korabelnikov Mai 1997 – 24 April 2009 Boris Yeltsin
Vladimir Putin
Dmitry Medvedev
4 Alexander Shlyakhturov 24 April 2009 – 25 Dezember 2011 Dmitry Medvedev
5 Igor Sergun 26 Dezember 2011 – 3 Januar 2016 Dmitry Medvedev
Vladimir Putin
— vakante Position 3 Januar – 1 Februar 2016 Vladimir Putin
6 Igor Korobov 2 Februar 2016 – 21 November 2018 Vladimir Putin
7 Igor Kostyukov 22 November 2018 – gegenwärtig

Fancy Bear – Die GRU – Hacking – Abteilung Unter Der Lupe

Fancy Bear APT Uses New Cannon Trojan to Target Government Entities

Fancy Bear (auch bekannt als APT28 (von Mandiant), Pawn Storm, Sofacy Group (von Kaspersky), Sednit, Tsar Team (von FireEye) und STRONTIUM (von Microsoft)) ist eine russische Cyberspionagegruppe. Das Cybersicherheitsunternehmen CrowdStrike hat analysiert, dass es mit dem russischen Militärgeheimdienst GRU in Verbindung steht. Das britische Außen- und Commonwealth-Amt sowie die Sicherheitsfirmen SecureWorks ThreatConnect und Fireeyes Mandiant haben ebenfalls erklärt, dass die Gruppe von der russischen Regierung gesponsert wird. Im Jahr 2018 identifizierte eine Anklage des United States Special Counsel Fancy Bear als zwei GRU-Einheiten, bekannt als Unit 26165 und Unit 74455.

Der Name “Fancy Bear” stammt von einem Sicherheitsforscher des Codierungssystems, mit dem Dmitri Alperovitch Hacker identifiziert.

Die Methoden von Fancy Bear, die wahrscheinlich seit Mitte der 2000er Jahre in Betrieb sind, stimmen mit den Fähigkeiten staatlicher Akteure überein. Die Gruppe richtet sich gegen Regierungs-, Militär- und Sicherheitsorganisationen, insbesondere an transkaukasische und NATO-ausgerichtete Staaten. Fancy Bear soll für Cyber-Angriffe auf das deutsche Parlament, den französischen Fernsehsender TV5Monde, das Weiße Haus, die NATO, das Demokratische Nationalkomitee, die Organisation für Sicherheit und Zusammenarbeit in Europa und die Kampagne des französischen Präsidentschaftskandidaten Emmanuel Macron verantwortlich sein.

Die Gruppe fördert die politischen Interessen der russischen Regierung und ist dafür bekannt, E-Mails des Demokratischen Nationalkomitees hehackt zu haben, um zu versuchen, das Ergebnis der Präsidentschaftswahlen 2016 in den USA zu beeinflussen.

Fancy Bear wird von Fireeye als fortgeschrittene, anhaltende Bedrohung eingestuft. Unter anderem werden Zero-Day-Exploits, Spear-Phishing und Malware verwendet, um Zielpersonen zu gefährden.

Trend Micro hat die Akteure hinter der Sofacy-Malware am 22. Oktober 2014 als Operation Pawn Storm bezeichnet. Der Name war darauf zurückzuführen, dass die Gruppe “zwei oder mehr verbundene Werkzeuge / Taktiken einsetzte, um ein bestimmtes Ziel anzugreifen, das der Schachstrategie ähnelt”, das als Bauernsturm bekannt ist.

Das Netzwerksicherheitsunternehmen FireEye veröffentlichte im Oktober 2014 einen detaillierten Bericht über Fancy Bear. In dem Bericht wurde die Gruppe als “Advanced Persistent Threat 28” (APT28) bezeichnet und beschrieben, wie die Hacking-Gruppe Zero-Day-Exploits des Microsoft Windows-Betriebssystems und von Adobe Flash verwendete. Der Bericht enthielt betriebliche Details, die darauf hinweisen, dass die Quelle ein “Regierungsgesponsor mit Sitz in Moskau” ist. Von FireEye gesammelte Beweise deuten darauf hin, dass die Malware von Fancy Bear hauptsächlich in einer russischsprachigen Build-Umgebung kompiliert wurde und hauptsächlich während der Arbeitszeit parallel zur Moskauer Zeitzone auftrat. Laura Galante, Direktorin für Bedrohungsinformationen bei FireEye, bezeichnete die Aktivitäten der Gruppe als “Staatsspionage” und sagte, dass zu den Zielen auch “Medien oder Influencer” gehören.

Der Name “Fancy Bear” leitet sich von dem Codierungssystem ab, das Dmitri Alperovitch für Hacker-Gruppen verwendet. “Bär” zeigt an, dass die Hacker aus Russland stammen. Fancy bezieht sich auf “Sofacy”, ein Wort in der Malware, das den Analysten, der es gefunden hat, an Iggy Azaleas Song “Fancy” erinnerte.

Zu den Zielen von Fancy Bear gehörten osteuropäische Regierungen und Militärs, das Land Georgien und der Kaukasus, die Ukraine, sicherheitsrelevante Organisationen wie die NATO sowie US-amerikanische Verteidigungsunternehmen Academi (früher bekannt als Blackwater) und Science Applications International Corporation (SAIC), Boeing, Lockheed Martin und Raytheon. Fancy Bear hat auch Bürger der Russischen Föderation angegriffen, die politische Feinde des Kremls sind, darunter den ehemaligen Ölmagnaten Mikhail Khodorkovsky und Maria Alekhina von der Band Pussy Riot. SecureWorks, ein Cybersicherheitsunternehmen mit Hauptsitz in den USA, kam zu dem Schluss, dass die Zielliste “Fancy Bear” von März 2015 bis Mai 2016 nicht nur das Demokratische Nationalkomitee der USA, sondern Zehntausende Feinde Putins und des Kremls in den USA umfasste USA, Ukraine, Russland, Georgien und Syrien. Es wurden jedoch nur eine Handvoll Republikaner ins Visier genommen. Eine AP-Analyse von 4.700 E-Mail-Konten, die von Fancy Bear angegriffen worden waren, ergab, dass kein anderes Land als Russland daran interessiert sein würde, so viele sehr unterschiedliche Ziele zu hacken, die nichts anderes gemeinsam zu haben schienen, als dass sie für die russische Regierung von Interesse waren.

The West fights back against Putin's cyber war - NEWSCABAL

Fancy Bear scheint auch zu versuchen, politische Ereignisse zu beeinflussen, damit Freunde oder Verbündete der russischen Regierung an die Macht kommen.

In den Jahren 2011–2012 war die Malware von Fancy Bear in der ersten Phase das Implantat “Sofacy” oder SOURFACE. Im Jahr 2013 fügte Fancy Bear weitere Werkzeuge und Hintertüren hinzu, darunter CHOPSTICK, CORESHELL, JHUHUGIT und ADVSTORESHELL.

Von Mitte 2014 bis Herbst 2017 richtete sich Fancy Bear gegen zahlreiche Journalisten in den USA, der Ukraine, Russland, Moldawien, dem Baltikum und anderen Ländern, die Artikel zur Diskreditierung Putins und des Kremls veröffentlicht hatten. Laut AP und SecureWorks ist diese Gruppe von Journalisten nach diplomatischem Personal und US-Demokraten die drittgrößte Gruppe, auf die Fancy Bear abzielt. Auf der Zielliste von Fancy Bear stehen Adrian Chen, die armenische Journalistin Maria Titizian, Eliot Higgins von Bellingcat, Ellen Barry und mindestens 50 andere Reporter der New York Times, mindestens 50 in Moskau ansässige Auslandskorrespondenten, die für unabhängige Nachrichtenagenturen arbeiteten, Josh Rogin, der Kolumnist der Washington Post, Shane Harris, ein Daily Beast-Autor, der 2015 über Geheimdienstfragen berichtete, Michael Weiss, ein CNN-Sicherheitsanalyst, Jamie Kirchick von der Brookings Institution, 30 Medienziele in der Ukraine, viele von der Kyiv Post, Reporter, die über den Russen berichteten -unterstützter Krieg in der Ostukraine sowie in Russland, wo die Mehrheit der von den Hackern angegriffenen Journalisten für unabhängige Nachrichten (z. B. Novaya Gazeta oder Vedomosti) wie Ekaterina Vinokurova bei Znak.com und die russischen Mainstream-Journalisten Tina Kandelaki, Ksenia Sobchak, arbeitete. und der russische Fernsehmoderator Pavel Lobkov, der alle für Dozhd arbeitete.

DMITRIY SERGEYEVICH BADIN — FBI

Fancy Bear soll für einen sechsmonatigen Cyber-Angriff auf das deutsche Parlament verantwortlich gewesen sein, der im Dezember 2014 begann. Am 5. Mai 2020 erließ die deutsche Bundesanwaltschaft im Zusammenhang mit den Anschlägen einen Haftbefehl gegen Dmitry Badin. Der Angriff hat die IT-Infrastruktur des Bundestages im Mai 2015 vollständig gelähmt. Um ihn zu stoppen, musste das gesamte Parlament tagelang offline geschaltet werden. IT-Experten schätzen, dass im Rahmen des Angriffs insgesamt 16 Gigabyte Daten aus dem Parlament heruntergeladen wurden.

Es wird auch vermutet, dass die Gruppe im August 2016 hinter einem Spear-Phishing-Angriff auf Mitglieder des Bundestages und mehrere politische Parteien wie die Linken-Fraktionsführerin Sahra Wagenknecht, die Junge Union und die CDU des Saarlandes steckt. Die Behörden befürchteten, dass Hacker sensible Informationen sammeln könnten, um die Öffentlichkeit später vor Wahlen wie den nächsten Bundestagswahlen in Deutschland, die im September 2017 stattfinden sollten, zu manipulieren.

CYBER-STASI – Page 10 – BERNDPULCH.ORG – BERND-PULCH.ORG – Stasi ...

Zudem scheint Fancy Bear wohl auch mit der berüchtigten Neo-STASI-Organisation “GoMoPa” zu kooperieren, speziell mit dem in Berlin ansässigen und in Dresden geborenen Sven Schmidt (Eagle IT).

 

Weitere Attacken von Fancy Bear:

Fünf Ehefrauen von US-Militärangehörigen erhielten am 10. Februar 2015 Morddrohungen von einer Hacker-Gruppe, die sich “CyberCaliphate” nennt und behauptet, eine Tochtergesellschaft des islamischen Staates zu sein. Später wurde festgestellt, dass dies ein Angriff unter falscher Flagge von Fancy Bear war, als festgestellt wurde, dass die E-Mail-Adressen der Opfer in der Phishing-Zielliste von Fancy Bear enthalten waren. Es ist auch bekannt, dass russische Social-Media-Trolle die Gefahr potenzieller Terroranschläge des islamischen Staates auf US-amerikanischem Boden übertreiben und Gerüchte verbreiten, um Angst und politische Spannungen zu säen.

Am 8. April 2015 wurde das französische Fernsehsender TV5Monde Opfer eines Cyber-Angriffs einer Hacker-Gruppe, die sich “CyberCaliphate” nennt und behauptet, Verbindungen zur Terrororganisation Islamischer Staat Irak und Levante (ISIL) zu haben. Französische Ermittler lehnten später die Theorie ab, dass militante Islamisten hinter dem Cyberangriff stecken, und vermuteten stattdessen die Beteiligung von Fancy Bear.

Hacker verstießen gegen die internen Systeme des Netzwerks, möglicherweise unterstützt durch Passwörter, die offen von TV5 ausgestrahlt wurden, und überschrieben das Rundfunkprogramm der 12 Kanäle des Unternehmens über drei Stunden lang. Der Dienst wurde in den frühen Morgenstunden des folgenden Morgens nur teilweise wiederhergestellt, und die normalen Rundfunkdienste wurden bis spät in den 9. April unterbrochen. Verschiedene computergestützte interne Verwaltungs- und Support-Systeme, einschließlich E-Mail, wurden aufgrund des Angriffs ebenfalls immer noch heruntergefahren oder waren auf andere Weise nicht zugänglich. Die Hacker entführten auch die Facebook- und Twitter-Seiten von TV5Monde, um die persönlichen Informationen von Verwandten französischer Soldaten, die an Aktionen gegen ISIS beteiligt waren, sowie Nachrichten zu veröffentlichen, die Präsident François Hollande kritisierten, und argumentierten, dass die Terroranschläge vom Januar 2015 “Geschenke” für seinen “unverzeihlichen Fehler” seien “an Konflikten teilzunehmen, die” keinen Zweck erfüllen “.

Der Generaldirektor von TV5Monde, Yves Bigot, sagte später, dass der Angriff das Unternehmen fast zerstört hätte: Wenn die Wiederherstellung des Rundfunks länger gedauert hätte, hätten Satellitenvertriebskanäle wahrscheinlich ihre Verträge gekündigt. Der Angriff sollte sowohl die Ausrüstung als auch das Unternehmen selbst zerstören und nicht wie die meisten anderen Cyber-Angriffe Propaganda oder Spionage betreiben. Der Angriff wurde sorgfältig geplant; Die erste bekannte Durchdringung des Netzwerks erfolgte am 23. Januar 2015. Die Angreifer führten dann eine Aufklärung von TV5Monde durch, um die Art und Weise zu verstehen, in der sie ihre Signale sendeten, und entwickelten maßgeschneiderte schädliche Software, um die mit dem Internet verbundene Hardware, die den Betrieb des Fernsehsenders kontrollierte, wie z. B. die Encodersysteme, zu beschädigen und zu zerstören. Sie verwendeten sieben verschiedene Einstiegspunkte, nicht alle Teil von TV5Monde oder sogar in Frankreich – einer war ein in den Niederlanden ansässiges Unternehmen, das die ferngesteuerten Kameras lieferte, die in den Studios von TV5 verwendet wurden. Zwischen dem 16. Februar und dem 25. März sammelten die Angreifer Daten auf internen TV5-Plattformen, einschließlich des internen IT-Wikis, und überprüften, ob die Anmeldeinformationen noch gültig waren. Während des Angriffs führten die Hacker eine Reihe von Befehlen aus, die aus TACACS-Protokollen extrahiert wurden, um die Firmware von Switches und Routern zu löschen.

Obwohl der Angriff angeblich vom IS stammte, forderte die französische Cyber-Agentur Bigot auf, nur zu sagen, dass die Nachrichten angeblich vom IS stammen. Später wurde ihm mitgeteilt, dass Beweise dafür gefunden worden seien, dass es sich bei den Angreifern um die APT 28-Gruppe russischer Hacker handele. Es wurde kein Grund für die Ausrichtung von TV5Monde gefunden, und die Quelle des Angriffsbefehls und die Finanzierung dafür sind nicht bekannt. Es wurde spekuliert, dass es wahrscheinlich ein Versuch war, Formen von Cyberwaffen zu testen. Die Kosten wurden im ersten Jahr auf 5 Mio. EUR (5,6 Mio. USD; 4,5 Mio. GBP) geschätzt, gefolgt von wiederkehrenden jährlichen Kosten von über 3 Mio. EUR (3,4 Mio. USD; 2,7 Mio. GBP) für neuen Schutz. Die Arbeitsweise des Unternehmens musste sich mit der Authentifizierung von E-Mails, der Überprüfung von Flash-Laufwerken vor dem Einfügen usw. ändern, was die Effizienz eines Nachrichtenmedienunternehmens, das Informationen verschieben muss, erheblich beeinträchtigte.

Die Sicherheitsfirma root9B veröffentlichte im Mai 2015 einen Bericht über Fancy Bear, in dem die Entdeckung eines gezielten Spear-Phishing-Angriffs gegen Finanzinstitute angekündigt wurde. In dem Bericht wurden internationale Bankinstitute aufgeführt, auf die abgezielt wurde, darunter die United Bank für Afrika, die Bank of America, die TD Bank und die UAE Bank. Laut root9B begannen die Vorbereitungen für die Angriffe im Juni 2014, und die verwendete Malware trug “spezifische Signaturen, die historisch nur für eine Organisation, Sofacy, einzigartig waren”. Der Sicherheitsjournalist Brian Krebs stellte die Richtigkeit der Behauptungen von root9B in Frage und postulierte dies Die Angriffe stammten tatsächlich von nigerianischen Phishern. Im Juni 2015 veröffentlichte der angesehene Sicherheitsforscher Claudio Guarnieri einen Bericht, der auf seiner eigenen Untersuchung eines gleichzeitigen SOFACY-Exploits gegen den Deutschen Bundestag basiert, und schrieb root9B die Meldung zu, dass “dieselbe IP-Adresse wie der Command & Control-Server in der Angriff gegen den Bundestag (176.31.112.10) “und fuhr fort, dass aufgrund seiner Untersuchung des Bundestag-Angriffs” zumindest einige “Indikatoren im Bericht von root9B korrekt erschienen, einschließlich eines Vergleichs des Hashs der Malware-Stichprobe von beiden Vorfälle. root9B veröffentlichte später einen technischen Bericht, in dem Claudios Analyse von SOFACY-zugeschriebener Malware mit ihrer eigenen Stichprobe verglichen wurde, was die Richtigkeit ihres ursprünglichen Berichts erhöht.

EFF-Parodie, Angriff des Weißen Hauses und der NATO (August 2015)
Im August 2015 nutzte Fancy Bear einen Zero-Day-Exploit von Java, um die Electronic Frontier Foundation zu fälschen und Angriffe auf das Weiße Haus und die NATO zu starten. Die Hacker verwendeten einen Spear-Phishing-Angriff und leiteten E-Mails an die falsche URL electronicfrontierfoundation.org.

Im August 2016 meldete die Welt-Anti-Doping-Agentur den Empfang von Phishing-E-Mails, die an Benutzer ihrer Datenbank gesendet wurden und behaupteten, offizielle WADA-Mitteilungen zu sein, in denen ihre Anmeldedaten angefordert wurden. Nach Durchsicht der beiden von der WADA bereitgestellten Domains wurde festgestellt, dass die Registrierungs- und Hosting-Informationen der Websites mit der russischen Hacking-Gruppe Fancy Bear übereinstimmten. Laut WADA waren einige der von den Hackern veröffentlichten Daten gefälscht worden.

Hacker Whois: Fancy Bear. Russian State Hackers - YouTube

Aufgrund von Hinweisen auf weit verbreitetes Doping durch russische Athleten empfahl die WADA, russischen Athleten die Teilnahme an den Olympischen und Paralympischen Spielen 2016 in Rio zu verweigern. Analysten sagten, sie glaubten, der Hack sei teilweise ein Akt der Vergeltung gegen die Whistleblowing-Sportlerin Yuliya Stepanova, deren persönliche Informationen im Rahmen des Verstoßes veröffentlicht wurden. Im August 2016 gab die WADA bekannt, dass gegen ihre Systeme verstoßen wurde, und erklärte, dass Hacker von Fancy Bear ein vom Internationalen Olympischen Komitee (IOC) erstelltes Konto verwendet hatten, um Zugriff auf ihre ADAMS-Datenbank (Anti-Doping Administration and Management System) zu erhalten. Die Hacker nutzten dann die Website Fantasiebear.net, um die olympischen Drogentestdateien mehrerer Athleten zu veröffentlichen, die Ausnahmen von der therapeutischen Verwendung erhalten hatten, darunter die Turnerin Simone Biles, die Tennisspieler Venus und Serena Williams sowie die Basketballspielerin Elena Delle Donne. Die Hacker haben sich auf Athleten konzentriert, denen von der WADA aus verschiedenen Gründen Ausnahmen gewährt worden waren. Nachfolgende Lecks schlossen Athleten aus vielen anderen Ländern ein.

Eliot Higgins und andere Journalisten, die mit Bellingcat in Verbindung stehen, einer Gruppe, die den Abschuss von Malaysia Airlines Flug 17 über der Ukraine untersucht, wurden von zahlreichen Spearphishing-E-Mails angesprochen. Die Nachrichten waren gefälschte Google Mail-Sicherheitshinweise mit verkürzten Bit.ly- und TinyCC-URLs. Laut ThreatConnect stammten einige der Phishing-E-Mails von Servern, die Fancy Bear bei früheren Angriffen an anderer Stelle verwendet hatte. Bellingcat ist am besten dafür bekannt, Russland beschuldigt zu haben, für den Abschuss von MH17 verantwortlich zu sein, und wird in den russischen Medien häufig verspottet.

The fur is not gonna fly: Uncle Sam charges seven Russians with ...

Ähnliche Phishing E-Mails erhielt der Autor dieser Zeilen, neben Morddrohungen seit mehr als 10 Jahren.

Die Gruppe richtete sich vor und nach der Veröffentlichung des Abschlussberichts des Boards an die niederländische Sicherheitsbehörde, die die offizielle Untersuchung des Absturzes durchführte. Sie richten gefälschte SFTP- und VPN-Server ein, um die eigenen Server des Boards nachzuahmen, wahrscheinlich um Benutzernamen und Passwörter zu speeren. Ein Sprecher des DSB sagte, die Angriffe seien nicht erfolgreich gewesen.

Demokratisches Nationalkomitee (2016)
Fancy Bear führte im ersten Quartal 2016 Spear-Phishing-Angriffe auf E-Mail-Adressen des Demokratischen Nationalkomitees durch. Am 10. März kamen Phishing-E-Mails an, die hauptsächlich an alte E-Mail-Adressen der Mitarbeiter der Demokratischen Kampagne 2008 gerichtet waren. Eines dieser Konten hat möglicherweise aktuelle Kontaktlisten geliefert. Am nächsten Tag weiteten sich Phishing-Angriffe auf die nicht öffentlichen E-Mail-Adressen hochrangiger Beamter der Demokratischen Partei aus. Die Adressen von Hillaryclinton.com wurden angegriffen, für den Zugriff war jedoch eine Zwei-Faktor-Authentifizierung erforderlich. Der Angriff wurde am 19. März auf Google Mail-Konten umgeleitet. Das Google Mail-Konto von Podesta wurde am selben Tag mit 50.000 gestohlenen E-Mails verletzt. Die Phishing-Angriffe verschärften sich im April, obwohl die Hacker für den Tag am 15. April, der in Russland ein Feiertag zu Ehren der elektronischen Kriegsdienste des Militärs war, plötzlich inaktiv zu werden schienen. Die bei dem Angriff verwendete Malware hat gestohlene Daten an dieselben Server gesendet, die für den Angriff der Gruppe 2015 auf das deutsche Parlament verwendet wurden.

Am 14. Juni veröffentlichte CrowdStrike einen Bericht, in dem der DNC-Hack veröffentlicht und Fancy Bear als Schuldige identifiziert wurde. Dann erschien eine Online-Person, Guccifer 2.0, die den alleinigen Verdienst für den Verstoß geltend machte.

IRON TWILIGHT Supports Active Measures | Secureworks

Eine andere hoch entwickelte Hacking-Gruppe, die der Russischen Föderation zugeschrieben wird, mit dem Spitznamen Cosy Bear, war zur gleichen Zeit auch auf den Servern der DNC präsent. Die beiden Gruppen schienen sich jedoch der anderen nicht bewusst zu sein, da jede unabhängig voneinander dieselben Passwörter stahl und ihre Bemühungen auf andere Weise verdoppelte. Cosy Bear scheint eine andere Agentur zu sein, die sich mehr für traditionelle Langzeitspionage interessiert. Ein CrowdStrike-Forensikteam stellte fest, dass Cosy Bear zwar seit über einem Jahr im DNC-Netzwerk war, Fancy Bear jedoch nur wenige Wochen dort.

Laut CrowdStrike nutzte die Gruppe von 2014 bis 2016 Android-Malware, um auf die Raketentruppen und die Artillerie der ukrainischen Armee abzuzielen. Sie verteilten eine infizierte Version einer Android-App, deren ursprünglicher Zweck darin bestand, die Zieldaten für die D-30-Haubitzenartillerie zu steuern. Die von ukrainischen Offizieren verwendete App wurde mit der X-Agent-Spyware geladen und online in Militärforen veröffentlicht. CrowdStrike behauptete zunächst, dass mehr als 80% der ukrainischen D-30-Haubitzen im Krieg zerstört wurden, der höchste prozentuale Verlust aller Artilleriegeschütze in der Armee (ein Prozentsatz, der zuvor noch nie gemeldet worden war und den Verlust fast des gesamten Arsenals bedeuten würde des größten Artilleriegeschützes der ukrainischen Streitkräfte. Nach Angaben der ukrainischen Armee waren die Zahlen von CrowdStrike falsch und die Verluste an Artillerie-Waffen “lagen weit unter den gemeldeten” und diese Verluste “haben nichts mit der angegebenen Ursache zu tun”. CrowdStrike hat diesen Bericht inzwischen überarbeitet, nachdem das Internationale Institut für strategische Studien (IISS) seinen ursprünglichen Bericht abgelehnt hatte und behauptete, dass die Malware-Hacks zu Verlusten von 15 bis 20% statt zu ihrer ursprünglichen Zahl von 80% geführt hätten.

Fancy Bear: Russische Hacker griffen 200 Journalisten an | ZEIT ONLINE

Windows Zero-Day (Oktober 2016)
Am 31. Oktober 2016 hat die Threat Analysis Group von Google in den meisten Microsoft Windows-Versionen eine Zero-Day-Sicherheitsanfälligkeit festgestellt, die Gegenstand aktiver Malware-Angriffe ist. Am 1. November 2016 veröffentlichte Terry Myerson, Executive Vice President der Windows- und Gerätegruppe von Microsoft, einen Beitrag im Microsoft-Blog für Bedrohungsforschung und -reaktion, in dem er die Sicherheitsanfälligkeit anerkannte und erklärte, dass in einer “Spear-Phishing-Kampagne mit geringem Volumen” für bestimmte Benutzer zwei verwendet wurden Zero-Day-Schwachstellen in Adobe Flash und im Windows-Kernel auf niedrigerer Ebene. ” Microsoft wies auf Fancy Bear als Bedrohungsakteur hin und bezog sich auf die Gruppe mit ihrem internen Codenamen STRONTIUM.

Niederländische Ministerien (Februar 2017)
Im Februar 2017 gab der niederländische General Intelligence and Security Service (AIVD) bekannt, dass Fancy Bear und Cosy Bear in den vergangenen sechs Monaten mehrere Versuche unternommen hatten, sich in niederländische Ministerien, einschließlich des Ministeriums für allgemeine Angelegenheiten, einzumischen. Rob Bertholee, Leiter der AIVD, sagte auf EenVandaag, dass die Hacker Russen seien und versucht hätten, Zugang zu geheimen Regierungsdokumenten zu erhalten.

In einem Briefing an das Parlament kündigte der niederländische Innen- und Königreichsminister Ronald Plasterk an, dass die Stimmen für die niederländischen Parlamentswahlen im März 2017 von Hand gezählt würden.

IAAF-Hack (Februar 2017)
Die Beamten des Internationalen Verbandes der Leichtathletikverbände (IAAF) gaben im April 2017 an, dass seine Server von der Gruppe “Fancy Bear” gehackt wurden. Der Angriff wurde von der Cybersicherheitsfirma Context Information Security entdeckt, die feststellte, dass am 21. Februar ein nicht autorisierter Fernzugriff auf die Server der IAAF stattgefunden hatte. Die IAAF gab an, dass die Hacker auf die Anträge auf Ausnahmegenehmigung für die therapeutische Verwendung zugegriffen hatten, die für die Verwendung von von der WADA verbotenen Medikamenten erforderlich waren.

FANCY BEAR Archives - Security AffairsSecurity Affairs

Forscher von Trend Micro veröffentlichten 2017 einen Bericht, in dem die Versuche von Fancy Bear, Zielgruppen im Zusammenhang mit den Wahlkämpfen von Emmanuel Macron und Angela Merkel anzusprechen, beschrieben wurden. Dem Bericht zufolge haben sie die Macron-Kampagne mit Phishing und dem Versuch, Malware auf ihrer Website zu installieren, ins Visier genommen. Die Cybersicherheitsbehörde ANSSI der französischen Regierung bestätigte, dass diese Angriffe stattgefunden haben, konnte jedoch die Verantwortung von APT28 nicht bestätigen. Die Kampagne von Marine Le Pen scheint nicht von APT28 ins Visier genommen worden zu sein, was möglicherweise auf die russische Präferenz für ihre Kampagne hinweist. Putin hatte zuvor die Vorteile für Russland angepriesen, wenn Marine Le Pen gewählt wurde.

Dem Bericht zufolge richteten sie sich dann gegen die deutsche Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, Gruppen, die mit der Christlich-Demokratischen Union von Angela Merkel bzw. der Sozialdemokratischen Partei der Opposition verbunden sind. Fancy Bear hat Ende 2016 gefälschte E-Mail-Server eingerichtet, um Phishing-E-Mails mit Links zu Malware zu senden.

Internationales Olympisches Komitee
Am 10. Januar 2018 hat die Online-Persona “Fancy Bears Hack Team” die scheinbar gestohlenen E-Mails des Internationalen Olympischen Komitees (IOC) und des US-amerikanischen Olympischen Komitees von Ende 2016 bis Anfang 2017 als offensichtliche Vergeltung für das Verbot des IOC durchgesickert von russischen Athleten von den Olympischen Winterspielen 2018 als Sanktion für Russlands systematisches Dopingprogramm. Der Angriff ähnelt den früheren Lecks der World Anti-Doping Agency (WADA). Es ist nicht bekannt, ob die E-Mails vollständig authentisch sind, da Fancy Bear in der Vergangenheit gestohlene E-Mails mit Desinformation gesalzen hat. Die Art des Angriffs war ebenfalls nicht bekannt, war aber wahrscheinlich Phishing.

Cyber-Sicherheitsexperten haben auch behauptet, dass Angriffe offenbar auch auf das professionelle Abfüllunternehmen für Sportdrogentests gerichtet waren, das als Berlinger Group bekannt ist.

Fancy Bear verwendet fortschrittliche Methoden, die den Fähigkeiten staatlicher Akteure entsprechen. Sie verwenden Spear-Phishing-E-Mails, als Nachrichtenquellen getarnte Websites zum Löschen von Malware und Zero-Day-Schwachstellen. Eine Forschungsgruppe für Cybersicherheit stellte fest, dass 2015 nicht weniger als sechs verschiedene Zero-Day-Exploits verwendet wurden. Dies ist eine beachtliche technische Leistung, die eine große Anzahl von Programmierern erfordern würde, die nach bisher unbekannten Schwachstellen in kommerzieller Software der Spitzenklasse suchen. Dies ist ein Zeichen dafür, dass Fancy Bear ein staatliches Programm ist und keine Bande oder ein einsamer Hacker.

The Newcomer's Guide to Cyber Threat Actor Naming - Florian Roth ...

Eines der bevorzugten Ziele von Fancy Bear sind webbasierte E-Mail-Dienste. Ein typischer Kompromiss besteht darin, dass webbasierte E-Mail-Benutzer eine E-Mail erhalten, in der sie dringend aufgefordert werden, ihre Kennwörter zu ändern, um nicht gehackt zu werden. Die E-Mail enthält einen Link zu einer gefälschten Website, die eine echte Webmail-Oberfläche imitiert. Benutzer versuchen, sich anzumelden, und ihre Anmeldeinformationen werden gestohlen. Die URL wird häufig als verkürzter bit.ly-Link verdeckt, um Spamfilter zu umgehen. Fancy Bear sendet diese Phishing-E-Mails hauptsächlich montags und freitags. Sie senden auch E-Mails, die angeblich Links zu Nachrichten enthalten, aber stattdessen Links zu Malware-Drop-Sites, die Toolkits auf dem Computer des Ziels installieren. Fancy Bear registriert auch Domains, die legitimen Websites ähneln, und erstellt dann eine Parodie der Website, um ihren Opfern Anmeldeinformationen zu stehlen. Es ist bekannt, dass Fancy Bear seinen Befehlsverkehr über Proxy-Netzwerke von Opfern weiterleitet, die es zuvor kompromittiert hat.

Zu der von Fancy Bear verwendeten Software gehören ADVSTORESHELL, CHOPSTICK, JHUHUGIT und XTunnel. Fancy Bear verwendet eine Reihe von Implantaten, darunter Foozer, WinIDS, X-Agent, X-Tunnel, Sofacy und DownRange-Tropfer. Basierend auf den Kompilierungszeiten kam FireEye zu dem Schluss, dass Fancy Bear seine Malware seit 2007 ständig aktualisiert hat. Um die Erkennung zu verhindern, kehrt Fancy Bear in die Umgebung zurück, um die Implantate zu wechseln, die Befehls- und Kontrollkanäle zu ändern und die persistenten Methoden zu ändern. Die Bedrohungsgruppe implementiert Gegenanalysetechniken, um ihren Code zu verschleiern. Sie fügen codierten Strings Junk-Daten hinzu, was das Decodieren ohne den Junk-Entfernungsalgorithmus schwierig macht. Fancy Bear ergreift Maßnahmen, um eine forensische Analyse seiner Hacks zu verhindern, die Zeitstempel für Dateien zurückzusetzen und die Ereignisprotokolle regelmäßig zu löschen.

Javelin vs. APT28 (Fancy Bear) – Javelin Networks Blog

Laut einer Anklage des United States Special Counsel wurde X-Agent von GRU-Leutnant Captain Nikolay Yuryevich Kozachek “entwickelt, angepasst und überwacht”.

Es ist bekannt, dass Fancy Bear Implantate für Zielumgebungen zuschneidet und sie beispielsweise für die Verwendung lokaler E-Mail-Server neu konfiguriert. Im August 2015 entdeckte und blockierte Kaspersky Lab eine Version des ADVSTORESHELL-Implantats, mit der Verteidigungsunternehmen angegriffen wurden. Eineinhalb Stunden nach dem Block hatten die Schauspieler von Fancy Bear eine neue Hintertür für das Implantat zusammengestellt und geliefert.

Bildung
Einheit 26165 war an der Gestaltung des Lehrplans an mehreren öffentlichen Schulen in Moskau beteiligt, einschließlich der Schule 1101.

Verwandte Personas
Fancy Bear erstellt manchmal Online-Personas, um Desinformation zu säen, Schuldzuweisungen abzulenken und plausible Leugnung für ihre Aktivitäten zu schaffen.

Guccifer 2.0
Eine Online-Person, die zum ersten Mal auftauchte und die Verantwortung für die DNC-Hacks übernahm, am selben Tag, an dem die Geschichte bekannt wurde, dass Fancy Bear verantwortlich war. Guccifer 2.0 behauptet, ein rumänischer Hacker zu sein, aber als sie vom Motherboard-Magazin interviewt wurden, wurden ihnen Fragen auf Rumänisch gestellt und sie schienen nicht in der Lage zu sein, die Sprache zu sprechen. Einige Dokumente, die sie veröffentlicht haben, scheinen Fälschungen zu sein, die aus Material früherer Hacks und öffentlich zugänglichen Informationen zusammengeschustert und dann mit Desinformation gesalzen wurden.

Fancy Bears ‘Hack Team
Eine Website, die erstellt wurde, um Dokumente zu verlieren, die bei den WADA- und IAAF-Angriffen aufgenommen wurden, wurde mit einem kurzen Manifest vom 13. September 2016 versehen, in dem verkündet wurde, dass die Website dem “Fancy Bears ‘Hack-Team” gehört, das angeblich ein “internationales Hack-Team” ist. die “für Fairplay und sauberen Sport stehen”. Die Seite übernahm die Verantwortung für das Hacken der WADA und versprach, “einen sensationellen Beweis dafür zu liefern, dass berühmte Athleten Dopingsubstanzen einnehmen”, beginnend mit der US-Olympiamannschaft, die “ihren Namen durch verdorbene Siege beschämt” habe. Die WADA sagte, einige der unter diesem Namen durchgesickerten Dokumente seien Fälschungen, und diese Daten seien geändert worden.

Russia hacked French election, Trend Micro says in report on ...

Anonymes Polen
Ein Twitter-Account mit dem Namen “Anonymous Poland” (@anpoland) übernahm die Verantwortung für den Angriff auf die Welt-Anti-Doping-Agentur und veröffentlichte Daten, die vom Schiedsgericht für Sport, einem sekundären Ziel, gestohlen wurden. ThreatConnect unterstützt die Ansicht, dass das anonyme Polen eine Strohpuppe von Fancy Bear ist, und bemerkt den Wechsel von einem historischen Fokus auf die Innenpolitik. Ein von Anonymous Poland hochgeladenes Screenshot-Video zeigt ein Konto mit polnischen Spracheinstellungen, aber der Browserverlauf hat gezeigt, dass sie in Google.ru (Russland) und Google.com (USA) gesucht hatten, aber nicht in Google.pl (Polen).

Fancy Bear zielte auf europäische Think Tanks ab

Internet of Things: Neue Angriffe der Hackergruppe Fancy Bear ...

In einem Blogbeitrag gab Microsoft bekannt, dass Hacker Ende letzten Jahres versucht haben, Konten europäischer Think Tanks zu verletzen. Während der laufenden Ermittlungen ist Microsoft “zuversichtlich”, dass viele der Versuche von der Spionagegruppe Fancy Bear stammen, die die US-Regierung Russland zugeschrieben hat.

Das große Ganze: Fancy Bear – oder wie Microsoft die Gruppe Strontium nennt – ist in den USA am bekanntesten dafür, dass er das Democratic National Committee und andere politische Ziele während der Wahlen 2016 gehackt hat. Insbesondere betreibt der German Marshall Fund eine russische Desinformations-Tracking-Site für soziale Medien namens Hamilton 68.

Die europäischen Hacking-Versuche fanden laut Microsoft zwischen September und Dezember statt.

Die Hacker richteten sich gegen 104 Konten von Mitarbeitern des Deutschen Rates für auswärtige Beziehungen sowie gegen die europäischen Büros des Aspen Institute und des German Marshall Fund in Belgien, Frankreich, Deutschland, Polen, Rumänien und Serbien.
Die Hacker versuchten, mithilfe von Phishing-Websites und E-Mails Anmeldeinformationen zu stehlen und Malware bereitzustellen.
Microsoft hat die betroffenen Think Tanks schnell benachrichtigt.
Think Tanks sind ein wertvolles Ziel für Spione, da sie häufig enge Beziehungen zu Regierungsbeamten und Daten über die Regierungsführung oder von der Regierung hinter den Kulissen haben.

Die Hacking-Gruppe “Fancy Bear” fügt neue Funktionen und Ziele hinzu

Russian Fancy Bear hackers' UK link revealed - BBC News

Die in Russland ansässige Cyberspionage-Gruppe Fancy Bear, die in den letzten Jahren hochkarätige Cyberangriffe gegen Regierungen und Botschaften geführt hat, hat laut Untersuchungen des Sicherheitsunternehmens ESET eine Phishing-Kampagne gestartet, die eine neu gestaltete Hintertür (backdoor) umfasst.

Die Kampagne von Fancy Bear, auch bekannt als APT28, Sofacy, Strontium und Tsar Team, ist seit dem 20. August 2018 aktiv. Die Gruppe, die dem russischen Militärgeheimdienst GRU angeschlossen ist, war an den Hack des Demokratischen Nationalkomitees federführend beteiligt.

Jetzt zielt Fancy Bear hauptsächlich auf Außenministerien und Botschaften in Osteuropa und Zentralasien ab, sagen die Forscher. Die Ermittler fanden auch Hinweise auf eine neu gestaltete Hintertür sowie einen neuen Downloader, den die Hacker mit Nim erstellt haben, einer neuen Art von Programmiersprache, die Aspekte von Python, Ada und Modula kombiniert.

Diese neueste Kampagne beinhaltet Phishing-E-Mails an Opfer, die einen böswilligen Anhang enthalten, sagen die Forscher. Wenn das Ziel den Anhang öffnet, werden Downloader gestartet, die mit der Installation der Hintertür auf einem infizierten Gerät enden, heißt es in dem Bericht.

iese Hintertür ist in der Programmiersprache Golang oder Go geschrieben – eine weitere Ergänzung zum Toolset der Gruppe, so die Forscher.

Taktik überarbeiten
ESET-Forscher haben den Namen der Botschaften, auf die sich diese letzte Kampagne bezieht, nicht bekannt gegeben, aber der Bericht stellt fest, dass die Kampagne weiterhin aktiv ist.

Ein Grund, warum ESET diese neue Hintertür jetzt erkannt hat, ist, dass Fancy Bear-Hacker beschlossen haben, Taktiken und Tools zu wechseln, um der Sicherheitserkennung durch die Organisationen, auf die die Gruppe abzielt, besser zu entgehen. Dies ist ein Grund, warum Fancy Bear Tools wie die Programmiersprachen Golang und Nim verwendet, sagen ESET-Forscher.

“Während es für uns unmöglich ist, genau zu wissen, warum sie es tun, besteht eine wahrscheinliche Erklärung darin, Sicherheitslösungen zu umgehen, die bereits andere Varianten ihrer Tools erkennen”, sagt ein ESET-Forscher gegenüber der Information Security Media Group. “Es könnte auch die Zuordnung erschweren, da es einfacher ist, einer Gruppe eine Variation eines bestimmten Werkzeugs zuzuweisen, das in einer bestimmten Sprache geschrieben ist, als wenn eines in einer völlig neuen Sprache geschrieben ist.”

Phishing-Schema
Die Angriffe im August begannen mit einer Phishing-E-Mail, die ein angehängtes Microsoft Word-Dokument enthielt, obwohl es dem Opfer nach Ansicht der Forscher den Anschein hatte, dass diese bestimmte Datei leer ist. Die E-Mail enthält auch einen Verweis auf eine Dropbox-Vorlage, die laut Bericht einen Link – wordData.dotm – enthält.

Neben der Verwendung der neuen Programmiersprachen zum Umschreiben ihrer schädlichen Tools ist laut ESET auch die Verwendung von Dropbox durch Fancy Bear zur Bereitstellung von zusätzlichem Code neu.

“Der anfängliche Kompromissvektor bleibt unverändert, aber die Verwendung eines Dienstes wie Dropbox zum Herunterladen einer Remote-Vorlage ist für die Gruppe ungewöhnlich”, heißt es in dem Bericht.

Wenn ein Opfer auf den Link für die Dropbox-Vorlage klickt, werden im Hintergrund schädliche Makros heruntergeladen, die den Nim-basierten Downloader sowie einen Trojaner enthalten, den ESET Zebrocy aufruft.

Der Nim-basierte Downloader ist nur ein Teil eines sechsstufigen Prozesses dieses Angriffs. Sobald alle diese anderen Komponenten heruntergeladen sind, wird die endgültige Nutzlast geliefert: Die Hintertür, die in Golang geschrieben ist, sagen die Forscher.

Diese neue Hintertür ähnelt früheren Hintertüren, die von der Fancy Bear-Gruppe bereitgestellt wurden, ist jedoch in einer anderen Programmiersprache geschrieben. Neben dem Zurücksenden von Daten an den Befehls- und Steuerungsserver und der Verwendung der Verschlüsselung zum Ausblenden der Kommunikation umfassen diese anderen gemeinsamen Funktionen:

Dateimanipulation wie Erstellen, Ändern und Löschen;
Screenshot-Funktionen;
Laufwerksaufzählung;
Befehlsausführung.
Planen von Aufgaben in einem Teil von Windows, mit denen die Angreifer die Persistenz auf einem infizierten Gerät aufrechterhalten können.
“Es scheint, dass [Fancy Bear] den Originalcode in andere Sprachen portiert oder in andere Sprachen implementiert, in der Hoffnung, der Erkennung zu entgehen”, heißt es im ESET-Bericht.

Fancy Bear verfolgen
Fancy Bear ist seit etwa 2004 aktiv und hat Berichten zufolge Verbindungen zur russischen Regierung sowie zur Hauptnachrichtendirektion für das russische Militär oder zur GRU.

Die Gruppe war an mehrere hochkarätige Angriffe gebunden, darunter das Hacken von E-Mails des Demokratischen Nationalkomitees während der US-Präsidentschaftswahlen 2016 (siehe: Feds klagen 7 Russen wegen Hacking und Desinformation an).

Im Jahr 2017 versuchte Fancy Bear angeblich, die französischen Präsidentschaftswahlen 2017 zu beeinflussen, indem er einen Dump mit gehackten Daten veröffentlichte, die den Mitarbeitern des damaligen Präsidentschaftskandidaten Emmanuel Macron gehörten. Zu den gehackten Daten gehörten E-Mails, Buchhaltungsdokumente und Verträge der Personen, die an Macrons Kampagnenbewegung beteiligt waren (siehe: Au Revoir, angebliche russische “Fancy Bear” -Hacker).

Im November 2018 richtete die Gruppe ihre Aufmerksamkeit wieder auf die USA und führte einen gezielten Angriff gegen den Senat durch. Laut einem Bericht von Trend Micro startete die Gruppe mehrere Phishing-Sites, die die Active Directory Federation Services des Senats imitierten, um Zugriffsrechte auf verschiedene Regierungssysteme und -anwendungen zu erhalten

GRU-KGB Mord an Putin-Feind mitten in Berlin – die Spur führt nach Moskau

GRU-KGB Mord an Putin-Feind mitten in Berlin – die Spur führt nach Moskau

Langsam dämmert es auch den Mainstream-Medien, das GRU/KGB und Neo-STASI weiterhin aktiv sind und unbequeme Gegner überall auf der Welt ermorden – auch in BERLIN. So berichtet nunmehr auch die wachgeküsste Tagesschau:

“Zelimkhan Khangoshvili fürchtete um sein Leben. Der russische Staat sei hinter ihm her, berichtete der Tschetschene mit georgischem Pass bei seiner Asylanhörung im brandenburgischen Eisenhüttenstadt im Januar 2017. Mehrere Mordanschläge habe es in den vergangenen Jahren auf ihn gegeben, so der ehemalige Rebellenkommandeur. Er sei ein gesuchter Mann – im Kaukasus und darüber hinaus. Was er denn befürchte, wenn er nach Russland zurückkehren müsste, wollte der Mitarbeiter des Bundesamtes für Migration und Flüchtlinge (BAMF) von ihm wissen. Khangoshvilis Antwort: “Die russischen Organe werden einen Mord inszenieren.”

Am 23. August 2019, gegen 11:58 Uhr, wurde Zelimkhan Khangoshvili schließlich ermordet. Nicht in Russland oder im Kaukasus, sondern mitten in Berlin. Im Kleinen Tiergarten im Ortsteil Moabit war der 40-Jährige gerade auf dem Weg zum Freitagsgebet in der Moschee, als sich ein Mann auf einem Fahrrad näherte und ihm aus kurzer Distanz mit einer Pistole samt Schalldämpfer in den Kopf schoss. Khangoshvili war sofort tot.

Der Mord an dem Georgier gibt seitdem Rätsel auf: Wer steckt hinter dem Attentat? War es ein Auftragsmord aus dem kriminellen Milieu? Eine Fehde unter Kaukasiern? Oder gar ein Attentat im Auftrag des Kreml?

Der mutmaßliche Todesschütze hatte nach der Tat versucht mit einem E-Roller zu fliehen, war jedoch festgenommen worden: Es ist ein stämmiger Mann mit Schnauzbart und auffälligen Tätowierungen. Laut Pass handelt es sich um den russischen Staatsbürger Vadim Sokolov. Er sitzt in Berlin in Untersuchungshaft und schweigt. Einmal soll er Besuch von Diplomaten aus der russischen Botschaft bekommen haben, die ihn konsularisch betreuen.

Die Ermittlungen in dem Fall führt das Berliner Landeskriminalamt (LKA). Der Vorwurf gegen den festgenommenen Tatverdächtigen lautete bislang: Mord. Weil die Tat aber eine so große Brisanz birgt, lässt sich der Generalbundesanwalt seit Beginn an über den Stand der Ermittlungen informieren. Und auch das Bundeskriminalamt (BKA) ist beteiligt.

Jetzt könnte der Fall allerdings eine neue Dimension bekommen: Die Bundesanwaltschaft will das Verfahren nach Informationen von WDR, NDR und “Süddeutscher Zeitung” noch in dieser Woche übernehmen. Und zwar wegen eines möglichen Geheimdienst-Hintergrunds. In Karlsruhe geht man inzwischen davon aus, dass der russische Staat den Mord in Berlin-Moabit in Auftrag gegeben haben könnte. Auch der “Spiegel” hatte darüber berichtet.

Ein Abgleich der biometrischen Daten der damaligen Fahndungsbilder ergab nun eine hohe Ähnlichkeit mit dem in Berlin festgenommenen Tatverdächtigen Sokolov. Auffällig war allerdings: Russland hatte die internationale Fahndung nach Vadim K. im Jahr 2015 ganz plötzlich eingestellt. Der Verdacht der deutschen Ermittler ist nun: Russische Dienste könnten den mutmaßlichen Mörder gefunden und für ein Attentat rekrutiert haben. Und schufen daraufhin die Falschidentität Sokolov.”

In Geheimdienstkreisen ist man sich sicher, es war Putins langer Arm in Berlin.

Must See Video – Russian GRU-Agent Colonel Georgy Viktorovich Kleban meets Serbian Spy

Russian spies are corrupting Serbia. This is video of the Russian military main intelligence directorate (GRU) officer Colonel Georgy Viktorovich Kleban paying his Serbian agent who is senior Serbian official. Kleban works in Russian Embassy in Belgrade. This is what the Russians do to us, there ‘friends’.