Die jüngste Ankündigung des US-Justizministeriums, die berüchtigte Cyberspionage-Malware der russischen Regierung, Snake, auszuschalten, stellt einen wichtigen Meilenstein in der Cyberkriegsführung dar. Die hochentwickelte Malware infiziert seit über 20 Jahren Ziele in mindestens 50 Ländern und sammelt sensible Informationen von hochrangigen Zielen wie Regierungsnetzwerken, Forschungseinrichtungen und Journalisten.
Die erfolgreiche Operation mit dem Namen „Operation Medusa“ war eine länderübergreifende Aktion, an der Behörden aus den USA, dem Vereinigten Königreich, Kanada, Australien und Neuseeland beteiligt waren, was die Bedeutung des Informationsaustauschs und der Zusammenarbeit zwischen Sicherheitsorganisationen unterstreicht.
Snake gilt als das fortschrittlichste Instrument der Cyberspionage, das der russische Geheimdienst FSB bisher entwickelt und eingesetzt hat. In den letzten zwei Jahrzehnten wurde es in über 50 Ländern in Nordamerika, Südamerika, Europa, Afrika, Asien und Australien entdeckt, darunter auch in den Vereinigten Staaten und Russland selbst. Die Malware wurde in erster Linie dazu verwendet, über lange Zeiträume – Monate und in einigen Fällen sogar Jahre – sensible Informationen von hochrangigen Zielen zu sammeln. Aus diesem Grund wurde Snake im Laufe der Jahre immer wieder umgestaltet, um eine extrem unauffällige und hartnäckige Malware zu sein, die eine erhebliche Bedrohung für die nationale Sicherheit und die Privatsphäre darstellt. Auch in Deutschland wurde die Spionage-Malware bereits eingesetzt. 2017 wurde damit das IT-System der Hochschule des Bundes im nordrhein-westfälischen Brühl gehackt. Die Institution stellte hierbei aber nur das Einfallstor dar, anschließend griffen die Bedrohungsakteure dann ihr eigentliches Ziel an: das Auswärtige Amt in Berlin, wobei sie sich sensible Dokumente über die Osteuropa-Politik der Bundesregierung beschaffen konnten.
Um die Malware heimlich zu deaktivieren, startete die US-Regierung die „Operation Medusa“ und entwickelte ein Cybertool namens „Perseus“. Einigen Berichten zufolge forderte Perseus die Snake-Malware mittels eines Codes auf, sich selbst zu überschreiben. Diese Operation stellt einen bedeutenden Sieg gegen staatlich geförderte Cyberspionage dar und unterstreicht die Bedeutung koordinierter internationaler Bemühungen zur Bekämpfung der Cyberkriegsführung.
Dieser Vorfall unterstreicht auch die Bedeutung von Verteidigungspakten in der Cyberkriegsführung, ebenso wie in der konventionellen Kriegsführung. Das Gleiche gilt für kommerzielle Sicherheitsanbieter, die Informationen austauschen und zusammenarbeiten sollten, um raffinierte Angreifer zu Fall zu bringen. Die Tatsache, dass die Jagd auf Snake seit etwa 20 Jahren im Gange ist, erinnert daran, dass die Cyberkriegsführung kein neues Konzept ist. Mit der zunehmenden Verbreitung von intelligenten Geräten und dem Internet der Dinge (IoT) entstehen jedoch neue Risiken für Einzelpersonen und Organisationen, und die Auswirkungen werden immer deutlicher.
Die öffentliche Bekanntmachung dieser Verteidigungsmaßnahme durch die teilnehmenden Behörden, ist sowohl selten als auch faszinierend. Die umfassende technische Dokumentation der CISA, die jedem Cybersicherheitsforscher zur Lektüre empfohlen wird, gibt uns nicht nur einen Einblick in das Innenleben eines Cyberspionageprogramms auf nationaler Ebene, sondern stattet auch Sicherheitsanbieter mit wertvollen Werkzeugen für eine wirksame Abwehr aus. Bemerkenswert ist, dass Armis seit 2021 erfolgreich Varianten von Snake entdeckt hat.
Fazit
Die Zerschlagung der Snake-Malware stellt einen wichtigen Meilenstein in der sich ständig weiterentwickelnden Welt der Cyberkriegsführung dar. Diese erfolgreiche Operation unterstreicht die Bedeutung der internationalen Zusammenarbeit und des Informationsaustauschs zwischen Sicherheitsorganisationen. Es kommt nicht jeden Tag vor, dass eine solche Verteidigungsoperation öffentlich bekannt wird und ein beeindruckend ausgeklügeltes und selten gesehenes Angriffswerkzeug ans Licht bringt. Es ist eine Erinnerung daran, dass Cyberkriegsführung eine ständige Bedrohung ist, die ernst genommen werden muss und zu deren Abwehr ständige Wachsamkeit und Zusammenarbeit erforderlich sind. Die Aktualität und die Tragweite der internationalen Bedrohungslage verdeutlicht auch die von Armis durchgeführte Studie unter IT-Sicherheitsfachleuten in EMEA. Die Erkenntnisse daraus führen auch zu der Annahme, dass viele Unternehmen in Deutschland nicht ausreichend auf entsprechende Cyberattacken vorbereitet sind und die Ressourcen für die Cybersicherheit deutlich ausgebaut werden sollten.
Tom Gol, CTO für Research bei Armis