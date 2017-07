(Bild: dpa, Uli Deck)

Der Konzern fährt jetzt offenbar seine vielleicht wirkungsvollste Waffe gegen die Hacher-Crew Fancy Bear auf, die vermutlich den Bundestag und die amerikanischen Demokraten gehackt haben: Juristen.

Mit einer Serie von Domain-Beschlagnahmungen geht Microsoft gegen einer Hacker-Gruppe vor. Fancy Bear, Pawn Storm, APT28 und bei Microsoft Strontium – die Gruppe hat viele Namen. Experten sehen sie hinter dem Einbruch in den Bundestag, die Hacking-Angriffe auf die amerikanischen Demokraten, die die Präsidentschaftswahlen beeinflusst haben und eine Reihe anderer hochkarätiger Einbrüche.

Eine der Gemeinsamkeiten der Einbrüche sind Command-&-Control-Server (C&C) mit Namen wie "livemicrosoft.net" or "rsshotmail.com", die an Microsoft-Produkte erinnern. Über diese Server erhielten die infizierten Systeme neue Befehle und dort lieferten sie auch ihre gestohlenen Daten ab. Über 70 solcher C&C-Server, die die Hacker in Rechenzentren rund um die Welt angemietet haben, haben die Redmonder ausgemacht und jetzt unter ihre Kontrolle gebracht.

Microsoft vs John Doe

Da es sehr aufwändig ist, an die Rechner selbst heranzukommen, klagte Microsoft auf Herausgabe der Domains unter anderem wegen Markenzeichen-Verletzung und -Verwässerung (Trademark Infringement und Dilution). "Jedes Mal, wenn ein infizierter Computer versucht, einen der Command & Control Server zu erreichen, verbindet er sich statt dessen mit einem von Microsoft kontrollierten, sicheren Server", erklärt Microsofts Vertreter das Ziel der Aktion. Durch die Analyse des Datenverkehrs habe Microsoft bereits 122 weitere Spionage-Opfer identifiziert, berichtet Kevin Poulson auf The Daily Beast.

Microsofts Klagen richten sich gegen John Does – also gegen Unbekannt. Offenbar ist es den Sicherheitsexperten des Konzerns nicht gelungen, die Taten konkreten Personen zuzuordnen. Auch Russland kommt in den veröffentlichten Dokumenten der Klagen nicht vor; Microsoft spricht lediglich neutral von einer "raffinierten, gut ausgestatteten Organisation". Allerdings sind sich die Experten, die die Fancy Bear zugeschriebenen Einbrüche untersucht haben, ziemlich einig, dass die recht sicher in Russland beheimatet ist. Amerikanische Geheimdienste sehen sogar direkte Verbindungen zum russischen Militärgeheimdienst GRU; Experten des BSI sind da zurückhaltender und weisen darauf hin, dass es durchaus auch denkbar sei, dass es sich um eine in Russland beheimatete, kriminelle Organisationen handle.

Wie Experten zu solchen Aussagen kommen und wie sie sich bewerten lassen, erklärt der c't-Artikel Hacker-Jagd im Cyberspace. (ju)