Digital
Ukraine

Fancy Bear: Russische Elite-Hacker hebeln Zwei-Faktor-Schutz aus

Russische Elite-Hacker hebeln Zwei-Faktor-Schutz aus – und attackieren Rüstungsbetriebe

Die dem russischen Militärgeheimdienst zugeordnete Hackergruppe «Fancy Bear» sorgt erneut für Schlagzeilen im Ukraine-Krieg.
15.05.2025, 07:0115.05.2025, 11:51
Mehr «Digital»

Die berüchtigte russische Hackergruppe Fancy Bear hat gezielt Rüstungsfirmen angegriffen, die Waffen an die Ukraine liefern. Das geht aus einer aktuellen Studie des deutschen Sicherheitsunternehmens Eset aus Jena hervor, die watson vorab einsehen konnte.

Wer wurde attackiert?

Gemäss Eset-Bericht richteten sich die Cyberangriffe bei der aktuellen Spionagekampagne mit dem Namen «Operation RoundPress» hauptsächlich gegen Hersteller ehemals sowjetischer Waffentechnik in Bulgarien, Rumänien und der Ukraine. Es sind Unternehmen, die eine Schlüsselrolle beim Abwehrkampf gegen den Überfall Russlands spielen. Betroffen waren aber auch Rüstungsbetriebe in Afrika und Südamerika.

Eset-Studie: Fancy Bear attackiert Rüstungsbetriebe auf mehreren Kontinenten.
«Operation RoundPress»: Auf drei Kontinenten gab es Hackerangriffe.Screenshot: Eset

Wer sind die Angreifer?

Die russische Hackergruppe Fancy Bear ist auch unter dem Namen Sednit oder APT28 bekannt. Sie soll auch für die Angriffe auf den Deutschen Bundestag (2015), die US-Politikerin Hillary Clinton (2016) und die Parteizentrale der SPD (2023) verantwortlich gewesen sein.

Die Gruppe ist nach Ansicht von Experten Teil einer grösseren Strategie russischer Geheimdienste, Cyberangriffe als Mittel der politischen Einflussnahme und Destabilisierung einzusetzen. Neben Spionage stehen dabei auch gezielte Desinformationskampagnen im Fokus, die sich gegen westliche Demokratien richten.

Wie konnten die Hacker in die IT-Systeme eindringen?

Angriff über manipulierte Webmail-Systeme

Nach den Erkenntnissen der Eset-Forscher wurden die Angriffe in der Regel mit manipulierten E-Mails gestartet, die sich als Nachrichtenmeldungen tarnen. Es wurden gezielt Personen, respektive Organisationen ins Visier genommen. Dies wird von Cybersicherheits-Fachleuten als Spearphishing bezeichnet.

Als vermeintliche Absender dienten scheinbar seriöse Quellen wie die Kyiv Post oder das bulgarische Nachrichtenportal News.bg. Sobald die E-Mail im Browser geöffnet wird, wird ein versteckter Schadcode ausgeführt. Spamfilter werden dabei erfolgreich umgangen.

Die russischen Elitehacker nutzen Schwachstellen in verbreiteter Webmail-Software aus, darunter die Programme Roundcube, Zimbra, Horde und MDaemon. So gelang es ihnen, bösartigen JavaScript-Code in die Webmail-Seite des Opfers zu injizieren. Etliche Schwachstellen hätten durch eine gute Software-Wartung beseitigt werden können, wie der Eset-Bericht konstatiert.

«Viele Firmen betreiben veraltete Webmail-Server», erklärt dazu der Eset-Forscher Matthieu Faou. «Schon das blosse Anzeigen einer E-Mail im Browser kann ausreichen, um Schadcode auszuführen, ohne dass der Empfänger aktiv etwas anklickt.»

In einem Fall waren die betroffenen Firmen aber quasi machtlos, weil die Angreifer eine bis dahin unbekannte Sicherheitslücke in MDaemon ausnutzen konnten, die zunächst nicht geschlossen werden konnte. Eine solche Angriffsmethode wird Zero Day Exploit genannt.

Was wissen wir zur eingesetzten Malware?

Zwei-Faktor-Schutz umgangen

Die Experten aus Jena konnten bei der Analyse der Angriffe die Schadsoftware «SpyPress.MDAEMON» identifizieren. Das Hackerprogramm sei nicht nur in der Lage, Zugangsdaten auszulesen und E-Mails mitzuverfolgen. Es könne sogar die Zwei-Faktor-Authentifizierung aushebeln.

Die Zwei-Faktor-Authentifizierung (kurz 2FA) ist eine zusätzliche Sicherheitsmassnahme beim Einloggen in Online-Konten oder beim Zugriff auf sensible Daten. Sie sorgt dafür, dass nicht nur ein Passwort ausreicht, um Zugang zu bekommen, sondern noch ein zweiter Nachweis verlangt wird. Den Hackern von Fancy Bear sei es jedoch in mehreren Fällen gelungen, den 2FA-Schutz zu umgehen und mit sogenannten Anwendungspasswörtern dauerhaft auf Postfächer zuzugreifen.

Quellen

(dsc)

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Wie der russische Militärgeheimdienst GRU hackt und tötet
1 / 25
Wie der russische Militärgeheimdienst GRU hackt und tötet
Zum Repertoire des russischen Militärgeheimdienstes GRU gehören gezielte Tötungen, verdeckte Militäreinsätze, Hackerangriffe und die Manipulation von Wahlen. In dieser Bildstrecke lernst du seine Einheiten und Operationen kennen.
quelle: shutterstock
Auf Facebook teilenAuf X teilen
Macron kritisiert israelisches Vorgehen in Gaza scharf
Video: watson
Das könnte dich auch noch interessieren:
12 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
So oder so
15.05.2025 09:57registriert Januar 2020
Russland führt offen Krieg gegen uns und wir schlafen weiter - Nö, unsere Rechtspopulisten unterstützen es sogar!
806
Melden
Zum Kommentar
avatar
Xicotencatl Axayacatl
15.05.2025 11:02registriert August 2024
Selbst Serbien, das nun wirklich nicht im Verdacht steht, russlandkritisch zu sein, wird auf höchster Ebene angegriffen. Das sollte Warnung genug sein. Wann reagiert Europa endlich angemessen auf diese Kriegstreiberei? Dieser andauernden Destabilisierung aus Moskau muss Einhalt geboten werden.
431
Melden
Zum Kommentar
12
    Donnie wird 79 – und wir haben das, äh, perfekte Geburtstags-Geschenk für ihn
    Das aktuelle Geschehen in Trumpistan und im Rest der Welt im Spiegel der Karikaturistinnen und Karikaturisten. Garniert mit frechen Memes.

    Wichtig, geschätzte watson-Userin, geschätzter -User: In diesem «Tweeticle» werden keine Tweets geladen. Darum kannst du (hoffentlich munter) drauflos scrollen und die Bluesky-Inhalte ohne unseren IT-Support geniessen. 😉

    Zur Story