Die russische Hackergruppe Fancy Bear, auch bekannt als APT28 oder Sednit, hat gezielt Rüstungsfirmen angegriffen, die Waffen an die Ukraine liefern. Diese Angriffe konzentrieren sich vor allem auf Hersteller sowjetischer Waffentechnik in Bulgarien, Rumänien und der Ukraine. Doch die Auswirkungen sind global, denn betroffen sind auch Rüstungsbetriebe in Afrika und Südamerika. Experten sehen diese Aktivitäten als Teil einer umfassenderen Strategie russischer Geheimdienste zur politischen Einflussnahme und Destabilisierung, wie die Süddeutsche berichtet.
Im Rahmen ihrer aktuellen Spionagekampagne, die den Namen „Operation RoundPress“ trägt, nutzen die Hacker Schwachstellen in Webmail-Software wie Roundcube, Zimbra, Horde und MDaemon aus. Es hat sich gezeigt, dass viele der betroffenen Firmen veraltete Webmail-Server betreiben, wodurch die Angriffe erleichtert werden. In einem besonders alarmierenden Fall wurde eine unbekannte Sicherheitslücke in MDaemon verwendet. Die Angriffe beginnen meist mit manipulierten E-Mails, die sich als seriöse Nachrichtenmeldungen tarnen, sodass der Zugriff auf die Systeme der Firmen ermöglicht wird.
Verbreitete Methoden und Techniken
Die im Einsatz befindliche Schadsoftware „SpyPress.MDAEMON“ hat die Fähigkeit, Zugangsdaten auszulesen, E-Mails zu verfolgen und Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Dies zeigt, dass die Hacker bei ihren Angriffen äußerst raffiniert vorgehen. In mehreren Fällen gelang es ihnen, den 2FA-Schutz zu überlisten und somit dauerhaft auf Postfächer zuzugreifen. Eset-Forscher Matthieu Faou hebt hervor, dass das bloße Anzeigen einer E-Mail im Browser bereits ausreichen kann, um Schadcode auszuführen, was die Verwundbarkeit vieler Plattformen verdeutlicht.
Darüber hinaus haben deutsche Sicherheitsbehörden an einer USA-geführten Operation zur Ausschaltung eines russischen Computer-Spionagenetzes mitgewirkt. Dies umfasst die Bekämpfung von APT28, welche im Auftrag des russischen Militärgeheimdienstes (GRU) agiert. Bei den Angriffen auf Hunderte von Routern in Büros und Haushalten wurde eine Botnet-Struktur geschaffen, die als globale Cyberspionage-Plattform genutzt wird, wie Watson berichtet.
Schutzmaßnahmen und Ausblick
Die Angriffe zielten nicht nur auf militärische Unterstützung für die Ukraine ab, sondern betrafen auch andere EU- und NATO-Staaten. Die eingesetzten Methoden, wie die Kompromittierung von Routern, zeigen, dass die Hacker strategisch vorgehen, um ihre Angriffe zu verschleiern. Hierbei wurden Geräte angegriffen, die Standard-Administrator-Passwörter verwendeten, was die Notwendigkeit unterstreicht, grundlegende Sicherheitsvorkehrungen zu treffen.
In der sich stetig wandelnden Landschaft der Cybersicherheit wird die Herausforderung, gegen diese hochorganisierten und fortschrittlichen Hackergruppen wie Fancy Bear vorzugehen, immer größer. Die aktuelle Situation zeigt, dass sowohl staatliche als auch private Akteure dringend an der Verbesserung ihrer Sicherheitssysteme arbeiten müssen, um sich besser vor solchen gezielten Cyberangriffen zu schützen.
