APT28: Bitdefender ermittelt Drahtzieher hinter dem Spionagetool

CyberkriminalitätSicherheit
Bitdefender (Bild: Bitdefender)

Es spioniert schon seit fast zehn Jahren europäische Politiker und Behörden aus. Ein Bitdefender-Bericht stellt nun einen Zusammenhang zwischen dem Tool und dessen Hintermännern her. Demnach greifen mutmaßlich Russisch sprechende Hacker über drei Angriffsvektoren ihre Opfer an.

Bitdefender hat nach eigenen Angaben durch eine technische Analyse herausgefunden, wer hinter dem “APT28” beziehungsweise “Sofacy” genannten Spionagetool steckt. Demzufolge sollen wahrscheinlich Russisch sprechende Hacker die Drahtzieher respektive Urheber sein. Diese greifen sorgfältig ausgewählte Opfer massiv an, um sie dann auszuspionieren. Das geht aus dem nun veröffentlichten Bitdefender-Bericht “APT28 Under the Scope – A Journey into Exfiltrating Intelligence and Government Information (PDF)” hervor.

Bitdefender (Bild: Bitdefender)

Dem Sicherheitsanbieter zufolge legt der Bericht Beweise vor, dass APT28 seit 2007 in Europa heimlich Informationen zu für Russland relevanten Themen abgreifen will. Am aktivsten war APT28 demnach während internationaler Verhandlungen wie den Friedensgesprächen zwischen den von Moskau unterstützten Rebellen und Regierungstruppen in der Ukraine oder während der intensiven Medienberichterstattung über das russische Smartplane PAK FA T-50.

Des Weiteren stelle der Bitdefender-Bericht einen Zusammenhang zwischen dem als “Advanced Persistent Threat” geltenden Spionagetool und dessen Hintermännern her. Er liefere überdies eine Vielzahl von Hinweisen, dass Länder mit fortgeschrittenen technologischen Fähigkeiten derzeit eine neue weltweite Welle von Spionage-Malware anführten.

Laut dem APT28-Bericht nutzen die russischen Hacker drei verschiedene Angriffsvektoren, um ihre Schadsoftware auf den Systemen ihrer Opfer einzuschleusen und anschließend die Kontrolle darüber zu übernehmen. Einerseits verwenden sie Spearphishing-E-Mails mit manipulierten Word- und Excel-Dokumenten im Anhang. Andererseits setzen sie auf Phishing-Websites, die auf sogenannten Typosquat-Domains basieren.

Kriminelle setzen mit Typosquatting darauf, dass Nutzer durch einen Tippfehler versehentlich auf einer bösartigen Website landen. Weiterhin kommen laut Bitdefender schädliche iFrames in Websites zum Einsatz, die generell dazu dienen, andere Webinhalte als selbständige Dokumente in einem festgelegten Bereich des Browsers anzuzeigen. Diese iFrames ermöglichen in dem Fall das Einschleusen Java- respektive Flash-basierender Zero-Day-Exploits.

Außerdem deckt der Bericht auch die umfassenden Methoden der Angreifer zur Sondierung neuer Opfer sowie ihre Zielauswahl von hohen Politikern, Regierungsinstitutionen, Telekommunikations- und E-Crime-Diensten sowie Luft- und Raumfahrtunternehmen aus Deutschland, der Ukraine und Rumänien auf.

Hacker (Bild: Shutterstock)

“Nach der Entdeckung von Stuxnet in einer iranischen Atomaufbereitungsanlage wurde Advanced Persistent Threat vor mehr als fünf Jahren erstmals zu einem populären Begriff, dabei ist es einigen Akteuren wie den Betreibern von APT28 gelungen, schon seit fast einem Jahrzehnt heimlich Geheimdienstinformationen zu sammeln”, erklärt Viorel Canja, Leiter der Anti-Malware- und Anti-Spam-Labs bei Bitdefender.

“Unsere Untersuchung konzentrierte sich auf die APT28-Infrastruktur und operative Prozesse”, so Canja weiter. Damit habe man die Bedrohung mit ihren Betreibern verbinden sowie einen Einblick bieten können, wie APT funktioniere und auf wen diese Bedrohung abziele.

APT28 wurde erstmals im Oktober 2014 durch das Sicherheitsunternehmen FireEye bei einem Kunden aus der Rüstungsindustrie entdeckt. Es vermutete schon damals, dass die Malware in Russland erstellt und von russischen Behörden unterstützt wurde. Eindeutige Beweise für eine direkte Beteiligung des russischen Staates konnte FireEye allerdings nicht liefern.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen