Nach Attacken auf Bundestag und SPD Russische Hacker greifen Rüstungslieferanten der Ukraine an
Die Cyberkriegertruppe Fancy Bear gilt als eine der einflussreichsten staatlich gesteuerten Hackergruppen weltweit. Nun haben Experten eine neue Kampagne der Hacker aus Russland aufgedeckt.
Die berüchtigte russische Hackergruppe Fancy Bear hat gezielt Rüstungsfirmen angegriffen, die Waffen an die Ukraine liefern. Das geht aus einer aktuellen Studie des deutschen Sicherheitsunternehmens Eset aus Jena hervor. Danach richteten sich die Angriffe vorwiegend gegen Hersteller sowjetischer Waffentechnik in Bulgarien, Rumänien und der Ukraine, die eine Schlüsselrolle beim Abwehrkampf gegen den Überfall Russlands spielen. Betroffen waren aber auch Rüstungsbetriebe in Afrika und Südamerika.
Die Hackergruppe Fancy Bear ist auch unter Namen wie Sofacy Group, Sednit oder APT28 bekannt. Sie soll für die Angriffe auf den Deutschen Bundestag (2015), die US-Politikerin Hillary Clinton (2016) und die Parteizentrale der SPD (2023) verantwortlich sein. Die Gruppe ist nach Ansicht von Experten Teil einer größeren Strategie russischer Geheimdienste, Cyberangriffe als Mittel der politischen Einflussnahme und Destabilisierung einzusetzen. Neben Spionage stehen dabei auch gezielte Desinformationskampagnen im Fokus, die sich gegen westliche Demokratien richten.
Angriff über manipulierte Webmail-Systeme
Bei der aktuellen Spionagekampagne mit dem Namen "Operation RoundPress" nutzten die Hacker Schwachstellen in verbreiteter Webmail-Software aus, darunter die Programme Roundcube, Zimbra, Horde und MDaemon. Etliche Schwachstellen hätten durch adäquate Software-Wartung beseitigt werden können. In einem Fall waren die betroffenen Firmen aber weitestgehend machtlos, weil die Angreifer eine bis dahin unbekannte Sicherheitslücke in MDaemon ausnutzen konnten, die zunächst nicht geschlossen werden konnte.
Nach den Erkenntnissen der Eset-Forscher wurden die Angriffe in der Regel mit manipulierten E-Mails gestartet, die sich als Nachrichtenmeldungen tarnen. Als Absender dienen scheinbar seriöse Quellen wie die "Kyiv Post" oder das bulgarische Nachrichtenportal "News.bg". Sobald die E-Mail im Browser geöffnet wird, startet ein versteckter Schadcode. Spamfilter werden dabei erfolgreich umgangen.
Zwei-Faktor-Schutz ausgehebelt
Die Experten aus Jena konnten bei der Analyse der Angriffe die Schadsoftware "SpyPress.MDAEMON" identifizieren. Das Hackerprogramm sei nicht nur in der Lage, Zugangsdaten auszulesen und E-Mails mitzuverfolgen. Es könne sogar die Zwei-Faktor-Authentifizierung aushebeln. Die Zwei-Faktor-Authentifizierung (kurz 2FA) ist eine zusätzliche Sicherheitsmaßnahme beim Einloggen in Online-Konten oder beim Zugriff auf sensible Daten.
Ist 2FA aktiviert, reicht eine einfache Passworteingabe nicht aus, um Zugang zu bekommen, stattdessen wird im Anschluss noch ein zweiter Authentifizierungsschritt verlangt. Den Hackern von Fancy Bear sei es jedoch in mehreren Fällen gelungen, den 2FA-Schutz zu umgehen und mit sogenannten Anwendungspasswörtern dauerhaft auf Postfächer zuzugreifen.
"Viele Firmen betreiben veraltete Webmail-Server", sagte Eset-Forscher Matthieu Faou. "Schon das bloße Anzeigen einer E-Mail im Browser kann ausreichen, um Schadcode auszuführen, ohne dass der Empfänger aktiv etwas anklickt."
- Nachrichtenagentur dpa
