Cozy Bear oder APT29 ist eine Gruppe Cracker vermutlich des Auslandsgeheimdienstes SWR Alternative Namen sind CozyCar Co

Cozy Bear ist seit mindestens 2008 aktiv. Den Crackern werden eine Reihe von Cyber-Attacken zugeschrieben.

MiniDuke Bearbeiten

Aus den Vulkan Files und Recherchen der Threat Analysis Group (TAG) von Google ergibt sich, dass die Gruppe bereits im Jahr 2012 in eine Malware-Kampagne russischer Hacker involviert gewesen sein soll, unter Verwendung von Schadprogrammen der NTC Vulkan. Das Kaspersky Lab entdeckte am 27. Februar 2013 in 20 Ländern auf den Rechnern von Europäischen Regierungsorganisationen und Firmen den Computervirus „MiniDuke“. Die Verbindung von Software-Schmiede und Hackergruppe wurde Ende 2012 von Google entdeckt: Eine E-Mail-Adresse, die man später MiniDuke zuschreiben konnte, sandte eine Testnachricht an NTC-Vulkan. Mit solchen Testnachrichten werden Schadprogramme auf ihre Tauglichkeit getestet. Mit der Malware wurden die Rechner von zahlreichen westlichen Diplomaten, Beamten und Militärangehörige infiziert.

Mutmaßlich mit derselben Schadsoftware wurden im Jahr 2013 Attacken auf Europäische Außenministerien gestartet. Diese subversiven Angriffe wurden – unter dem Namen Operation Ghost – der Gruppe angelastet, sie erhielt in Folge auch den alternativen Namen The Dukes. Seit dem Jahr 2016 soll die Gruppe die Duke-Malware weiter entwickelt und neue hochkarätige Ziele kompromittiert haben. Die Malware-Tools PolyglotDuke, RegDuke and FatDuke waren schwerer aufzuspüren und sollen ab Mitte 2019 zum Einsatz gekommen sein. Das Unternehmen für Sicherheitssoftware ESET erstellte eine Timeline.

Weitere Hackerangriffe Bearbeiten

Der Crack auf das Democratic National Committee (DNC) im Jahr 2016 soll gemeinsam von den Hackergruppen APT28 und Cozy Bear (APT29) durchgeführt worden sein. Eine Malware names WellMess griff im Jahr 2018 japanische Firmen an. Nach anfänglichem Unwissen über die Identität des Angreifers konnte sie im Jahr 2020 der APT29 zugeschrieben werden, nachdem kanadische, US-amerikanische und britische Stellen Attacken auf pharmazeutische Ziele im Zuge der Covid-19-Pandemie feststellten. Eine weitere Attacke der Gruppe richtete sich gegen SolarWinds. 2021 war Cozy Bear zudem erfolgreich in das Netz der Dänischen Nationalbank eingedrungen. Die Gruppe blieb über sechs Monate in der Bank unentdeckt.

Im Jahr 2014 gelangte es Zeitungsberichten zufolge dem niederländischen Geheimdienst AIVD, bei der Gruppe Cozy Bear einzudringen. Der AIVD konnte damit die Aktivitäten verfolgen, welche die russische Einheit durchführte, und zudem auch die Sicherheitskameras der Einheit abschöpfen und so herausfinden, welche Personen hinter der Gruppe stecken. Auch konnte der Geheimdienst mitverfolgen, wie die Gruppe das DNC angriff, er übergab einige Unterlagen dem NSA und dem FBI. Von den Niederlanden wurden die genannten Tätigkeiten nicht bestätigt.

1. ↑ APT Profile: Cozy Bear / APT29. 17. März 2023, abgerufen am 2. April 2023 (englisch). 
2. Josh Meyer: Cozy Bear Explained: What You Need to Know About the Russian Hacks. The attacks, and what could happen next, are keeping U.S. intelligence officials awake at night. 15. September 2016, abgerufen am 2. April 2023 (englisch). 
3. Der Standard: Das sind die Hacking-Tools, die russische Geheimdienste laut den Vulkan-Files bestellen,1. April 2023
4. Spiegel Online: Neuer Computervirus: MiniDuke spioniert Europas Regierungen aus vom 27. Februar 2013
5. Der Spiegel: Sandwurm und Schlange, N. 14, 1. April 2023, S. 80f
6. ESET: Operation Ghost: The Dukes Malware‑Update, abgerufen am 6. April 2023
7. Joshua Ball: Russian Hacker Group Cozy Bear Was Hacked By Dutch Intelligence Service. The Netherlands’ AIVD gave the FBI critical evidence of the Russian government’s involvement in the 2016 hacking of the U.S. Democratic National Committee. In: Global Security Review. 10. Juni 2019, abgerufen am 5. April 2023 (englisch).