Die berüchtigte russische Hackergruppe Fancy Bear hat gezielt Rüstungsfirmen angegriffen, die Waffen an die Ukraine liefern. Das geht aus einer aktuellen Studie des deutschen Sicherheitsunternehmens Eset aus Jena hervor, die watson vorab einsehen konnte.
Gemäss Eset-Bericht richteten sich die Cyberangriffe bei der aktuellen Spionagekampagne mit dem Namen «Operation RoundPress» hauptsächlich gegen Hersteller ehemals sowjetischer Waffentechnik in Bulgarien, Rumänien und der Ukraine. Es sind Unternehmen, die eine Schlüsselrolle beim Abwehrkampf gegen den Überfall Russlands spielen. Betroffen waren aber auch Rüstungsbetriebe in Afrika und Südamerika.
Die russische Hackergruppe Fancy Bear ist auch unter dem Namen Sednit oder APT28 bekannt. Sie soll auch für die Angriffe auf den Deutschen Bundestag (2015), die US-Politikerin Hillary Clinton (2016) und die Parteizentrale der SPD (2023) verantwortlich gewesen sein.
Die Gruppe ist nach Ansicht von Experten Teil einer grösseren Strategie russischer Geheimdienste, Cyberangriffe als Mittel der politischen Einflussnahme und Destabilisierung einzusetzen. Neben Spionage stehen dabei auch gezielte Desinformationskampagnen im Fokus, die sich gegen westliche Demokratien richten.
Nach den Erkenntnissen der Eset-Forscher wurden die Angriffe in der Regel mit manipulierten E-Mails gestartet, die sich als Nachrichtenmeldungen tarnen. Es wurden gezielt Personen, respektive Organisationen ins Visier genommen. Dies wird von Cybersicherheits-Fachleuten als Spearphishing bezeichnet.
Als vermeintliche Absender dienten scheinbar seriöse Quellen wie die Kyiv Post oder das bulgarische Nachrichtenportal News.bg. Sobald die E-Mail im Browser geöffnet wird, wird ein versteckter Schadcode ausgeführt. Spamfilter werden dabei erfolgreich umgangen.
Die russischen Elitehacker nutzen Schwachstellen in verbreiteter Webmail-Software aus, darunter die Programme Roundcube, Zimbra, Horde und MDaemon. So gelang es ihnen, bösartigen JavaScript-Code in die Webmail-Seite des Opfers zu injizieren. Etliche Schwachstellen hätten durch eine gute Software-Wartung beseitigt werden können, wie der Eset-Bericht konstatiert.
«Viele Firmen betreiben veraltete Webmail-Server», erklärt dazu der Eset-Forscher Matthieu Faou. «Schon das blosse Anzeigen einer E-Mail im Browser kann ausreichen, um Schadcode auszuführen, ohne dass der Empfänger aktiv etwas anklickt.»
In einem Fall waren die betroffenen Firmen aber quasi machtlos, weil die Angreifer eine bis dahin unbekannte Sicherheitslücke in MDaemon ausnutzen konnten, die zunächst nicht geschlossen werden konnte. Eine solche Angriffsmethode wird Zero Day Exploit genannt.
Die Experten aus Jena konnten bei der Analyse der Angriffe die Schadsoftware «SpyPress.MDAEMON» identifizieren. Das Hackerprogramm sei nicht nur in der Lage, Zugangsdaten auszulesen und E-Mails mitzuverfolgen. Es könne sogar die Zwei-Faktor-Authentifizierung aushebeln.
Die Zwei-Faktor-Authentifizierung (kurz 2FA) ist eine zusätzliche Sicherheitsmassnahme beim Einloggen in Online-Konten oder beim Zugriff auf sensible Daten. Sie sorgt dafür, dass nicht nur ein Passwort ausreicht, um Zugang zu bekommen, sondern noch ein zweiter Nachweis verlangt wird. Den Hackern von Fancy Bear sei es jedoch in mehreren Fällen gelungen, den 2FA-Schutz zu umgehen und mit sogenannten Anwendungspasswörtern dauerhaft auf Postfächer zuzugreifen.
(dsc)
