Eine bekannte russische Hackergruppe hat offenbar gezielt Rüstungsfirmen angegriffen, die Waffen an die Ukraine liefern. Das geht aus einer Studie hervor, die das deutsche Sicherheitsunternehmen Eset veröffentlicht hat. Demnach richteten sich die Angriffe der unter dem Namen Fancy Bear bekannten Gruppe insbesondere gegen Waffenhersteller in Bulgarien, Rumänien und der Ukraine. Ihre Rüstungsgüter spielen eine zentrale Rolle im ukrainischen Abwehrkampf gegen den russischen Angriffskrieg.
Betroffen waren laut der Studie aber auch Betriebe in Südamerika und auf dem afrikanischen Kontinent. Bei der aktuellen Spionagekampagne – genannt Operation RoundPress – nutzten die Hacker Schwachstellen in verbreiteter Webmail-Software aus. Nach den Erkenntnissen der Forscher werden die Angriffe in der Regel mit manipulierten E-Mails gestartet, die sich als Nachrichtenmeldungen tarnen. Als Absender dienen scheinbar seriöse Quellen wie die ukrainische Wochenzeitung. Sobald die E-Mail im Browser geöffnet wird, startet ein versteckter Schadcode.
„Viele Firmen betreiben veraltete Webmail-Server“, sagte Eset-Forscher
Matthieu Faou. „Schon das bloße Anzeigen einer E-Mail im Browser kann
ausreichen, um Schadcode auszuführen, ohne dass der Empfänger aktiv
etwas anklickt.“
Russische Strategie der Einflussnahme und Destabilisierung
Die Experten konnten bei der Analyse der Angriffe eine Schadsoftware identifizieren, die in der Lage ist, Zugangsdaten auszulesen und E-Mails mitzuverfolgen. Zudem könne sogar die Zwei-Faktor-Authentifizierung (2FA) – eine zusätzliche Sicherheitsmaßnahme beim Einloggen in Onlinekonten – umgangen werden, heißt es in der Studie. Den Hackern von Fancy Bear sei es in mehreren Fällen gelungen, trotz 2FA-Schutz mit sogenannten Anwendungspasswörtern dauerhaft auf Postfächer zuzugreifen.
Die Hackergruppe Fancy Bear ist auch unter dem Namen Sednit oder APT28 bekannt. Sie soll unter anderem für Angriffe auf den Deutschen Bundestag (2015), die US-Politikerin Hillary Clinton (2016) und die Parteizentrale der SPD (2023) verantwortlich sein. Experten zufolge ist die Gruppe Teil einer Strategie russischer Geheimdienste, Cyberangriffe als Mittel der politischen Einflussnahme und Destabilisierung einzusetzen. Neben Spionage stehen dabei auch gezielte Desinformationskampagnen im Fokus, die sich gegen westliche Demokratien richten.
