Westliche Geheimdienste hacken russisches Yandex

Hacker, die für westliche Geheimdienste arbeiten, drangen Ende 2018 in das russische Internet-Suchunternehmen Yandex ein, um Benutzerkonten auszuspionieren.

Ich berichte hier ja immer wieder von Hacks, die mutmaßlich von Hackern, die der chinesischen, nordkoreanischen oder russischen Regierung nahestehen, ausgeführt werden. Gibt ja regelmäßig Kritik, dass das nicht bewiesen wäre. Mir ist das klar, und mir ist bewusst, dass die Schlapphüte der Five Eyes keine Chorknaben sind, sondern viel Dreck am Stecken haben. Daher ist es mir eine besondere Freude, diesen Artikel hier im Blog einzustellen.

Reuters berichtet von Angriff auf Yandex

Die Nachrichtenagentur Reuters berichtet hier exklusiv von dem Hack aus dem Umfeld westlicher Geheimdienste, der sich gegen die russische Plattform Yandex richtete. Reuters beruft sich dabei auf vier Quellen, die Kenntnisse über diese Angelegenheit haben.

(Quelle: Pexels /Pixabay)

Das Unternehmen Yandex ist als "Russlands Google" bekannt, bietet es doch eine Reihe von Online-Diensten von der Internetsuche bis hin zu E-Mail- und Taxibuchungen an. Es hat mehr als 108 Millionen monatliche Nutzer in Russland, ist aber auch in Weißrussland, Kasachstan und der Türkei tätig.

Regin Malware für den Hack eingesetzt

Was Reuters berichtet: Hacker im Umfeld der Five Eyes-Geheimdienste haben den Trojaner Regin eingesetzt, um in die Netzwerke der russischen Suchmaschine Yandex einzudringen. Ziel war es Benutzerkonten auszuspionieren. Der Angriff erfolgte zwischen Oktober und November 2018, wobei nicht klar ist, welches der Länder aus der Gruppe der Five Eyes dahinter steckt.

Die Quellen, die gegenüber Reuters den Angriff beschrieben, sagten, dass die Hacker nach technischen Informationen zu suchen schienen. Man wollte wohl herausfinden, Yandex Benutzerkonten authentifiziert. Solche Informationen könnten Geheimdiensten oder Hackern helfen, sich als gegenüber Yandex als legitimer Benutzer auszugeben, um auf die privaten Nachrichten dieser Benutzer zuzugreifen.

Der Hack der Forschungs- und Entwicklungseinheit von Yandex war, laut den Reuters-Quellen, auf Spionage ausgelegt, und hatte nicht das Ziel, geistiges Eigentum zu stehlen oder den Betrieb der Plattform zu stören. Die Hacker sollen den Quellen zufolge für mindestens mehrere Wochen einen Zugang zu Yandex gehabt haben, ohne entdeckt zu werden.

Hintergründe zu Regin

Laut den Reuters-Quellen wird die Malware Regin von den Geheimdiensten der "Five Eyes" (Vereinigten Staaten, Großbritannien, Australien, Neuseeland und Kanada) verwendet. Die Geheimdienste dieser Ländern lehnten natürlich eine diesbezügliche Stellungnahme ab. Aber es gibt andere Quellen, die Belege liefern.

Die Regin-Malware wurde 2014 als Five Eyes-Tool identifiziert, nachdem der ehemalige Auftragnehmer der U.S. National Security Agency (NSA), Edward Snowden, diverse Dokumente an die Plattform The Intercept zur Veröffentlichung übergeben hatte.

The Intercept berichtete in Partnerschaft mit einer belgischen und niederländischen Zeitung auch, dass eine frühere Version von Regin beim Hack des belgischen Telekommunikationsunternehmen Belgacom im Jahr 2013 verwendet wurde. Es stand der Vorwurf im Raum, der britische Geheimdienst Government Communications Headquarters (GCHQ) und die NSA für diesen Hack verantwortlich waren. Beide Geheimdienste stritten das ab oder verweigerten einen Kommentar. Aber die Spurenlage ist deutlich.

Viele Nebelkerzen in diesem Bereich

Solche Angriffe westlicher Cybergruppen gegen Russland bzw. russische Angriffe werden selten in der Öffentlichkeit bekannt. Manches bleibt auch nach der Veröffentlichung im Dunkeln. So meldeten Nachrichtenagenturen wie heise voriges Wochenende Cyberwar: USA legen iranische Computer lahm. Inzwischen werden aber durchaus Zweifel an dieser Geschichte laut, die wohl aus Quellen in den USA an die Presse lanciert wurde.

Diverse Quellen aus Russland und Indizien

Reuters beruft sich im aktuellen Fall jedoch auf Quellen aus Russland und aus anderen Ländern, wobei drei Personen direkte Kenntnisse des Hacks haben wollen. Sicherheitsexperten wissen, dass die Zuweisung von Cyberangriffen aufgrund der von Hackern verwendeten Verschleierungsverfahren schwierig sein kann.

Aber einige der Regin-Code-Varianten, die man auf den Systemen von Yandex gefunden hat, wurden in allen bisher bekannten früheren Cyberangriffen nicht eingesetzt, so die Quellen. Laut Reuters wird es damit unwahrscheinlicher, dass fremde Hacker mit dem Einsatz dieser Tools die Urheberschaft verschleiern wollte. Die Hacker müssen sich schon sehr gut mit dem Regin-Code auskennen, was schon einen Fingerzeig auf die Urheber des Angriffs liefert.

Yandex beauftragte Kaspersky

Yandex beauftragte Russland Cybersicherheit Firma Kaspersky mit der Aufarbeitung des Falls. Kaspersky fand, laut drei Reuters-Quellen, heraus, dass die Angreifer es auf eine eine Gruppe von Entwicklern innerhalb von Yandex abgesehen hatten. Offiziell verweigerte Kaspersky gegenüber Reuters jegliche Stellungnahmen. Reuters liegt wohl eine private Bewertung durch Kaspersky, vor. Laut Reuters kam Kasperky zum Schluss, dass die Hacker wahrscheinlich aus dem Umfeld westlicher Geheimdienste stammen.

Yandex bestätigt den Angriff

Yandex Sprecher Ilya Grabovsky bestätigte gegenüber Reuters den Vorfall, weigerte sich aber, weitere Details zu liefern. "Dieser spezielle Angriff wurde sehr früh vom Yandex-Sicherheitsteam erkannt. Es wurde vollständig neutralisiert, bevor ein Schaden entstand", so der Sprecher. Laut Yandex verhinderten deren Sicherheitsteams, dass Benutzerdaten durch den Angriff gefährdet wurden.

Natürlich verweigerten der US-Geheimdienst, die US-Regierung und auch der Kremel jegliche Stellungnahme gegenüber Reuters. Was nun der Wahrheit einspricht und was Dichtung ist, kann ich nicht beurteilen. The Register aus Großbritannien hat hier auch so seine Gedanken zu diesem Thema offen gelegt und fragt 'Sind wir die Bösen'.