Hackergruppe APT29

Russischer Lauschangriff auf Botschaften in Kiew

Im Jahr 2021 identifizierten US-amerikanische und britische Geheimdienste APT29 als einen Arm des russischen Auslandsgeheimdienstes SVR.

(Bild: stock.adobe.com)

Hacker, die mutmaßlich für den russischen Auslandsgeheimdienst arbeiten, haben versucht, in die Computer von Dutzenden von Botschaftsmitarbeitern in der Ukraine einzudringen. Dies geht aus einem von Reuters eingesehenen Bericht einer Cybersicherheitsfirma hervor. Die weitreichenden Spionageaktivitäten zielten auf Diplomaten in mindestens 22 der rund 80 ausländischen Vertretungen in Kiew ab, so die Analysten der Forschungsabteilung Unit 42 von Palo Alto Networks.

„Mitte April 2023 verschickte ein Diplomat des polnischen Außenministeriums per E-Mail ein legitimes Flugblatt an verschiedene Botschaften, in dem der Verkauf einer gebrauchten BMW 5er Limousine in Kiew beworben wurde“, hieß es in dem Bericht, der später am Mittwoch veröffentlicht werden soll. Ein polnischer Diplomat, der aus Sicherheitsgründen nicht genannt werden wollte, bestätigte dies. Die Hacker, die als APT29 oder „Cozy Bear“ bekannt sind, fingen den Flyer jedoch ab, kopierten ihn, versahen ihn mit Schadsoftware und schickten ihn dann an Dutzende anderer ausländischer Diplomaten, die in Kiew arbeiten, so Unit 42.

„Dies ist ein erstaunliches Ausmaß für die in der Regel eng begrenzten und geheimen Operationen von Advanced Persistent Threats (APT)“, heißt es in dem Bericht, der ein Akronym verwendet, das häufig zur Beschreibung von staatlich unterstützten Cyberspionage-Gruppen verwendet wird.

Cyber-Arm des russischen Geheimdienstes
Im Jahr 2021 identifizierten US-amerikanische und britische Geheimdienste APT29 als einen Arm des russischen Auslandsgeheimdienstes SVR. Der SVR reagierte nicht auf eine Anfrage von Reuters nach einem Kommentar zu der Hacking-Kampagne.

Im April warnten die polnischen Behörden für Spionageabwehr und Cybersicherheit, dass dieselbe Gruppe eine „breit angelegte Geheimdienstkampagne“ gegen NATO-Mitgliedstaaten, die Europäische Union und Afrika durchgeführt habe.

Die Forscher von Unit 42 konnten die gefälschte Autowerbung mit dem SVR in Verbindung bringen, weil die Hacker bestimmte Werkzeuge und Techniken wiederverwendet haben, die zuvor mit der Spionagebehörde in Verbindung gebracht worden waren.

„Hochwertiges Spionageziel“
„Diplomatische Vertretungen werden immer ein hochwertiges Spionageziel sein“, heißt es im Bericht von Unit 42. „Sechzehn Monate nach der russischen Invasion in der Ukraine haben nachrichtendienstliche Informationen über die Ukraine und die diplomatischen Bemühungen der Verbündeten mit Sicherheit hohe Priorität für die russische Regierung“.

Wie sich herausstellte, hatten die SVR-Hacker den BMW des Diplomaten in ihrer gefälschten Version der Anzeige zu einem niedrigeren Preis - 7.500 Euro - angeboten, um mehr Menschen zum Herunterladen von Schadsoftware zu bewegen, die ihnen Fernzugriff auf ihre Geräte ermöglicht.

Diese Software, so Unit 42, war als Fotoalbum des gebrauchten BMW getarnt. Versuche, diese Fotos zu öffnen, hätten den Rechner der Zielperson infiziert, heißt es in dem Bericht.

Botschaften schweigsam
21 der 22 Botschaften, die von den Hackern ins Visier genommen und anschließend von Reuters kontaktiert wurden, gaben keinen Kommentar ab. Es war nicht klar, welche Botschaften, wenn überhaupt, kompromittiert worden waren. Ein Sprecher des US-Außenministeriums sagte, man sei sich der Aktivitäten bewusst und habe auf der Grundlage der Analyse der Direktion für Cyber- und Technologiesicherheit festgestellt, dass die Systeme oder Konten des Ministeriums nicht betroffen seien.

Das Auto sei immer noch verfügbar, sagte der polnische Diplomat gegenüber Reuters: „Ich werde wahrscheinlich versuchen, es in Polen zu verkaufen“, sagte er. „Nach dieser Situation möchte ich keine weiteren Probleme mehr haben.“