Neue russische Hackergruppe bedroht kritische Infrastruktur

LONDON (IT BOLTWISE) – Eine bisher unbekannte russische Hackergruppe, die von der Regierung unterstützt wird, hat es auf kritische Infrastrukturen in verschiedenen Sektoren abgesehen, um Informationen für Moskau zu sammeln. Dies geht aus Berichten von Microsoft und der niederländischen Regierung hervor.

Eine neue Bedrohung für die Cybersicherheit in Europa und Nordamerika ist aufgetaucht: Eine russische Hackergruppe, die von Microsoft als Void Blizzard und von den niederländischen Geheimdiensten als Laundry Bear bezeichnet wird, hat es auf kritische Infrastrukturen abgesehen. Diese Gruppe nutzt gestohlene Zugangsdaten und automatisierte E-Mail-Sammlungen aus Cloud-Diensten, um Daten über NATO-Mitgliedsstaaten und die Ukraine zu sammeln.

Microsoft berichtet, dass die Cyberangriffe von Void Blizzard gezielt auf Organisationen abzielen, die für die russische Regierung von Interesse sind. Dazu gehören Regierungsbehörden, Verteidigungsunternehmen, der Transportsektor, Medien, NGOs und der Gesundheitssektor, vor allem in Europa und Nordamerika. Die niederländischen Geheimdienste AIVD und MIVD haben festgestellt, dass die Hackergruppe mehrere niederländische Regierungsbehörden, darunter die nationale Polizei, infiltriert hat, um Kontaktdaten von Mitarbeitern zu stehlen.

Laundry Bear hat es insbesondere auf Verteidigungsunternehmen und Luft- und Raumfahrtunternehmen abgesehen, um sensible Informationen über die Beschaffung und Produktion militärischer Güter durch westliche Regierungen sowie Waffenlieferungen an die Ukraine zu erlangen. Die niederländische Regierung weist darauf hin, dass die Gruppe über Insiderwissen zu den Lieferketten der Unternehmen verfügt, die Waffen für die Ukraine herstellen.

Microsoft hat festgestellt, dass die Gruppe ein breiteres Spektrum an Unternehmen ins Visier nimmt, darunter Kommunikations-, Gesundheits-, Bildungs-, Medien-, Non-Profit- und Transportsektoren. Im Oktober gelang es den Hackern, in eine ukrainische Luftfahrtorganisation einzudringen, die zuvor bereits von anderen russischen Akteuren angegriffen worden war.

Die neuen Enthüllungen unterstreichen Moskaus intensiven Fokus auf die Störung der ukrainischen Versorgungslinien. In der vergangenen Woche warnten die USA und zehn ihrer Verbündeten, dass die berüchtigte russische Einheit Fancy Bear ebenfalls versucht, den Waffenfluss nach Kiew zu stören. Seit der Ausweitung der Bodeninvasion in der Ukraine im Februar 2022 hat Russland seine Cyberoperationen intensiviert.

Laundry Bear hat es geschafft, unter dem Radar zu bleiben, indem sie einfache Angriffsmethoden und Vektoren verwendet, die auf den Computern der Opfer leicht verfügbar sind. Diese sogenannten “Living-off-the-land”-Techniken haben den Angreifern umfassenden Zugang zu den Dateien der Organisationen verschafft. Microsoft berichtet, dass die Gruppe legitime Cloud-APIs missbraucht, um Daten aus allen verfügbaren Postfächern des kompromittierten Benutzers zu extrahieren.

Die Taktiken von Laundry Bear entwickeln sich weiter. Im April begann die Gruppe, gezielte Spear-Phishing-Nachrichten zu erstellen, um die Passwörter ihrer Ziele zu stehlen. In einer kleinen Anzahl von Einbrüchen gelang es den Angreifern, auf Teams-Chat-Nachrichten und Besprechungen zuzugreifen.

Obwohl die Störung der ukrainischen militärischen Versorgungslinien das Hauptziel von Laundry Bear zu sein scheint, verfolgt die Gruppe auch andere Missionen. Die niederländische Regierung berichtet, dass die Hacker Unternehmen ins Visier genommen haben, die Technologien produzieren, die aufgrund internationaler Sanktionen für Russland derzeit nicht zugänglich sind. Es sei jedoch nicht möglich, mit Sicherheit zu sagen, welche genauen Ziele diese Spionageangriffe verfolgen.

Microsoft empfiehlt Organisationen, multifaktorielle Authentifizierung, risikobasierte Anmelderichtlinien, konsolidierte Identitätsmanagementsysteme, Prinzipien des geringsten Privilegs und regelmäßige E-Mail-Aktivitätsprotokollierung zu verwenden, um Bedrohungen wie Laundry Bear zu blockieren und zu erkennen.

John Hultquist, Chefanalyst bei Googles Threat Intelligence Group, betont, dass selbst Russlands wichtigste Operationen auf gängige Angriffstechniken angewiesen sind. Dies sei eine weitere Erinnerung daran, dass das kriminelle Ökosystem ein mächtiger Verstärker für russische Cyber-Spionageakteure sei, die routinemäßig auf Zugänge zurückgreifen, die im normalen Verlauf krimineller Aktivitäten entwickelt werden.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!