VG-Wort Pixel

Ungewöhnlicher Schritt APT32: Facebook lässt berüchtigte Hacker-Gruppe auffliegen

APT28 Fancy Bear Sofacy Hacker
Hinter APT32 soll eine Sicherheitsfirma stecken
© FangXiaNuo / Getty Images
Wenn Sicherheitsfirmen oder Geheimdienste auf die Spur einer Hacker-Gruppe kommen, sind sie mit Informationen in der Regel sparsam. Jetzt hat ausgerechnet Facebook eine international aktive Gruppe aufgedeckt - und sie öffentlich angeprangert. 

Hacker gibt es mittlerweile wie Sand am Meer. Die meisten von ihnen verwenden einfache Schadsoftware aus dem Baukasten, um das schnelle Geld zu machen. Fortgeschrittene Gruppen, die hochkomplexe Angriffe wagen, sind da schon deutlich seltener. Nun haben Facebooks Sicherheitsteams eine von ihnen identifiziert. Doch während sich die Sicherheits-Gemeinschaft meist mit Anschuldigungen zurückhält, geht der Internetgigant einen ungewöhnlichen Weg - und nennt klar Verdächtige.

Hinter der Hackertruppe APT32 steckt nach Ansicht des Unternehmens eine vietnamesische Firma, die eigentlich selbst Sicherheitslösungen anbietet. Das hätten Ermittlungen ergeben, erklärt Facebook in einem Blogpost. Die Spur nach Vietnam ist nicht neu. Die auch als OceanLotus bekannte Gruppe wurde schon länger mit dem südostasischen Staat in Verbindung gebracht.

Kein unbekannter Angreifer

Das liegt auch am Fokus der Hacker. Als "Advanced Persistant Thread", also als konsequent immer wieder auftauchende und technisch fortgeschrittene Bedrohung - daher auch die Abkürzung APT32 -  waren sie in Sicherheitskreisen wiederholt mit Angriffen in Verbindung gebracht worden. Dabei fiel bald auf, dass die Ziele sehr oft mit den Staatsinteressen Vietnams in Verbindung standen. So waren Dissidenten und Journalisten aus dem Land unter den Opfern. Aber auch internationale Ziele nahm man aufs Korn. Angriffe der Gruppe auf Automobilfirmen wie BMW werden etwa auf den Versuch zurückgeführt, Industriegeheimnisse für die heimischen Hersteller auszuschnüffeln.

Dass Facebook die Hacker nun so konkret einer Firma zuordnen zu können glaubt, liegt an den umtriebigen Aktivitäten der Hacker auf der Plattform. Dort hätten sie immer wieder versucht, über Fakeprofile und -Seiten Malware zu verbreiten, erklärte Facebook. Sie hätten sich als Aktivisten oder Unternehmen ausgeben und die falschen Profile sogar mit speziell präparierten Webseiten untermauert, um sie glaubwürdiger erscheinen zu lassen. Wie genau Facebook nun die Hacker und die Sicherheitsfirma miteinander verknüpfen konnte, ist nicht bekannt. Man habe sämtliche Zugänge der Hacker abgestellt, erklärte der Internetriese.

Wider der Zurückhaltung

Die Entscheidung, eine konkrete Firma als Urheber von Angriffen zu benennen, ist höchst alles andere als normal. Normalerweise ist die US-Justizbehörde eine der wenigen Stellen, die Hacker namentlich nennt - und das auch nur, wenn Anklagen gegen sie verkündet werden. Die zahlreichen Sicherheits-Firmen halten sich mit konkreten Verdächtigungen meist vornehm zurück. Lediglich ein vermutetes Herkunftsland wird in der Regel genannt, gelegentlich wird auch der Verdacht staatlicher Unterstützung geäußert. Eine elegante Art, Vorwürfe gegen bestimmte Geheimdienste zu vermeiden.

Das Vorgehen dürfte durchaus begründet sein - schließlich hat man es mit hochversierten Cyberkriminellen zu tun, deren Aufmerksamkeit selten ein gutes Zeichen ist. Nachdem das Unternehmen Fireeye den russischen Militär-Geheimdienst GRU als Verdächtigen für einen Angriff genannt hatte, war es etwa diese Woche Opfer einer hochkomplexen und extrem zielgenauen Attacke geworden. Auch wenn nicht genau klar ist, wer dahinter steckt, dürfte das Warnsignal in der Branche durchaus wahrgenommen worden sein.

Quelle:Facebook, Malpedia


Mehr zum Thema


Wissenscommunity


Newsticker