chevron_left
chevron_right

EU im Visier russischer Cyber-Aktivitäten

Beispiel für eine Spearphishing-Email von APT28 an die rumänische Botschaft in Moskau.
FireEye

FireEye deckt auf: Vermutlich von Moskau geförderte Gruppierungen fokussieren im Auftakt zur Europawahl vor allem Regierungen von NATO-Mitgliedern.

Im Auftakt zur anstehenden Europawahl haben IT-Experten von FireEye Cyber-Spionageaktivitäten von zwei russischen Bedrohungs-Zirkeln gegen Regierungen europäischer Staaten identifiziert. Unter den entdeckten Zielen liegen besonders NATO-Mitgliedsstaaten im Fokus. Die beobachteten Aktivitäten sind seit einer deutlichen Steigerung Mitte 2018 kontinuierlich. FireEye geht davon aus, dass die zwei Gruppen hinter diesen Aktivitäten, APT28 und Sandworm Team, staatliche Förderung aus Russland erhalten. Zu den Spionagezielen gehören neben europäischen Regierungsorganisationen auch Medienhäuser in Frankreich und Deutschland, politische Oppositionsgruppen in Russland, sowie LGBT-Organisationen mit Verbindungen nach Russland.

Beide Gruppen dringen am häufigsten durch Spearphishing das erste Mal in ein Zielsystem ein. Hierfür schicken die Angreifer E-Mails an ihre Ziele, mit der Absicht, dass diese auf einen schädlichen Link klicken oder einen bösartigen Anhang öffnen. So kann schädlicher Code in angehängten Dokumenten ausgeführt, oder Passwörter durch eine gefälschte Login-Seite ausgelesen werden. Angreifer können ihre Erfolgschancen maximieren, indem sie Internetadressen registrieren, die Ähnlichkeit mit vertrauten Webseiten aufweisen. So erhielten Ziele in europäischen Regierungsorganisationen Links, die scheinbar zu echten staatlichen Webseiten führen. Auch als angeblicher Absender werden vertraute oder authentische Namen gewählt. Solche E-Mails können ihre Ziele dazu führen, auf einen Link zu klicken um ihr Passwort zu ändern, und dabei ihre Login-Daten an den Angreifer zu vermitteln.

„Die Gruppierungen könnten versuchen, sich Zugriff auf ihre Zielnetzwerke zu verschaffen, um Informationen zu sammeln, die Russland bei politischen Entscheidungen helfen sollen. Sie könnten auch einen Daten-Leak vorbereiten, der bestimmten politischen Parteien oder Kandidaten kurz vor den anstehenden Europawahlen erheblichen Schaden zufügen soll“, kommentiert Mike Hart, Vice President Central and Eastern Europe bei FireEye. „Eine konkrete Verbindung zwischen diesen Aktivitäten und der Europawahl ist noch nicht bestätigt, aber die Vielzahl an Wahlsystemen und Parteien in dieser Wahl bietet Hackern eine große Angriffsfläche." Zwar scheinen APT28 und Sandworm Team mit ihren Aktivitäten die gleichen Ziele zu verfolgen, doch die zwei Gruppen unterscheiden sich in ihren Tools und Methoden. Sandworm Team nutzt vor allem öffentlich verfügbare Tools, während APT28 auf eigens teuer hergestellte Tools zurückgreift und auch von Zero-Day-Exploits Gebrauch macht. Diese Art von Angriff macht sich zuvor unbekannte Softwareschwächen zu Nutze, bevor es dafür Fixes gibt. FireEye hat Organisationen, die als Ziel eines Angriffs erkannt wurden, nach Möglichkeit auf diese Aktivitäten hingewiesen.