|
Jena (ots) - Sie haben den Deutschen Bundestag (https://www.deutschlandfunk.de/w
as-russland-mit-den-angriffen-erreichen-will-100.html) gehackt, den
französischen Fernsehsender TV5Monde lahmgelegt und das Demokratische
Nationalkomitee der USA ausspioniert. Jetzt ist die Hackergruppe Sednit wieder
voll einsatzbereit und hat sich ein neues, gefährlicheres Arsenal zugelegt. Das
geht aus einem aktuellen Bericht des Cybersicherheitsunternehmens ESET hervor.
Sednit, auch bekannt als APT28, Fancy Bear oder Forest Blizzard, gilt als eine
der schlagkräftigsten staatlich gesteuerten Hackergruppen der Welt. Sie wird dem
russischen Militärgeheimdienst GRU zugeordnet. Nach einer Phase, in der die
Gruppe vor allem mit Phishing-Angriffen und einfacheren Werkzeugen auffiel, ist
nun klar: Die Elite-Entwickler sind zurück.
Drei Schadprogramme, ein Ziel: ukrainisches Militärpersonal
Den Ausgangspunkt der ESET Analyse bildet ein Fund des ukrainischen Notfallteams
CERT-UA: Im April 2024 wurde auf einem Rechner einer ukrainischen Behörde ein
Schadprogramm namens SlimAgent entdeckt. Das Werkzeug zeichnet Tastatureingaben
auf, fertigt Screenshots an und liest die Zwischenablage aus. Betroffen von
dieser Langzeitspionage waren ukrainische Militärangehörige. ESET Forscher
erkannten in dem Schadprogramm eine direkte Weiterentwicklung des
Xagent-Backdoors aus Sednits Blütezeit in den 2010er-Jahren. Sogar das
Farbschema der Ausgabe-Protokolle ist identisch geblieben.
Auf demselben ukrainischen Rechner arbeitete noch ein weiteres Werkzeug:
BeardShell. Diese Malware nutzt den Cloud-Speicherdienst Icedrive als verdeckten
Kommunikationskanal zu seinen Hintermännern. Diese Methode kann klassische
Sicherheitsfilter unterlaufen, weil der Datenverkehr wie ganz normale
Cloud-Nutzung aussieht. Die Entwickler mussten dafür die interne, nicht
öffentlich dokumentierte, Icedrive-Schnittstelle selbst nachprogrammieren. Laut
ESET lieferten sie Aktualisierungen innerhalb von Stunden, wenn technische
Änderungen des Dienstanbieters die Verbindung unterbrachen.
Als drittes Standbein setzt Sednit seit 2023 ein modifiziertes
Open-Source-Framework namens Covenant ein. Das ursprünglich für Sicherheitstests
entwickelte Programm wurde von der Gruppe für die Langzeit-Spionage umgebaut.
Über manipulierte Cloud-Konten bei Diensten wie Filen, Koofr oder pCloud halten
die Angreifer dauerhaften Zugang zu ihren Zielrechnern. ESET fand Belege dafür,
dass einzelne ukrainische Militärcomputer so über mehr als sechs Monate hinweg
überwacht wurden.
Code-Spuren führen zurück ins Jahr 2010
Besonders aufschlussreich für die Forscher ist, was die neuen Werkzeuge mit
denen von vor zehn Jahren verbindet. In BeardShell fanden sie eine seltene
mathematische Verschleierungstechnik, die zuvor nur in Xtunnel, Sednits
Netzwerk-Tool aus den Jahren 2013 bis 2016, zu finden war. Solche
Code-Fingerabdrücke gelten in der Analyse staatlicher Hacker als starke Indizien
für Kontinuität innerhalb des Entwicklerteams. Die Forscher sind daher
überzeugt, dass dieselben Programmierer, die damals Xagent schrieben, hinter
BeardShell stehen.
Was steckt hinter dem Comeback?
Warum Sednit zwischen 2019 und 2024 von aufwändiger Individualentwicklung auf
einfachere Methoden umstieg, bleibt unklar. Eine mögliche Erklärung: Der
russische Angriffskrieg gegen die Ukraine erforderte ab 2022 eine Ausweitung der
Geheimdienstoperationen und rief die Spezialisten wieder auf den Plan. Eine
andere Möglichkeit ist, dass sie nie wirklich aufgehört haben zu arbeiten,
sondern schlicht vorsichtiger wurden und unter dem Radar blieben.
Für westliche Sicherheitsbehörden und Unternehmen ist der ESET-Bericht eine
deutliche Warnung: Eine der gefährlichsten staatlichen Hackergruppen der Welt
ist wieder in vollem Umfang aktiv.
Weitere Informationen zu Sednits Rückkehr gibt es im aktuellen Blogpost " Sednit
ist wieder da
(https://www.welivesecurity.com/de/eset-research/sednit-ist-wieder-da) " auf
Welivesecurity.com.
Pressekontakt:
ESET Deutschland GmbH
Christian Lueg
Head of Communication & PR DACH
+49 (0)3641 3114-269
mailto:christian.lueg@eset.de
Michael Klatte
PR Manager DACH
+49 (0)3641 3114-257
mailto:Michael.klatte@eset.de
Philipp Plum
PR Manager DACH
+49 (0)3641 3114-141
mailto:Philipp.plum@eset.de
Folgen Sie ESET:
https://www.ESET.de
ESET Deutschland GmbH, Spitzweidenweg 32, 07743 Jena, Deutschland
Weiteres Material: http://presseportal.de/pm/71571/6232634
OTS: ESET Deutschland GmbH
|
