Erhalten Sie kostenlose Updates zur Cyber-Kriegsführung
Wir senden Ihnen eine myFT Daily Digest E-Mail mit den neuesten Informationen Cyber-Krieg Neuigkeiten jeden Morgen.
Hacker mit Verbindungen zu russischen Spionagediensten haben die Anzeige eines polnischen Diplomaten zum Verkauf seines BMW gekapert und Malware verbreitet, um die Netzwerke ausländischer Botschaften in der Ukraine zu infiltrieren.
Der in Kiew lebende Diplomat schickte in diesem Frühjahr eine Anzeige über seinen BMW 5er aus dem Jahr 2011 per E-Mail an Dutzende andere Botschaften.
Laut Forschern von Unit 42 – einem Teil des kalifornischen Cybersicherheitsunternehmens Palo Alto Networks – hatten die Hacker die Werbung innerhalb von zwei Wochen umfunktioniert, den Preis gesenkt und den Hinweis mit Malware versehen.
Ziel war es, die Empfänger dazu zu verleiten, sich durch die Bilder der 7.500 Euro teuren marineblauen Limousine mit Lederausstattung und Zweiliter-Diesel zu klicken und so den Hackern den heimlichen Datendiebstahl und künftigen Zugriff auf die Netzwerke der Botschaften zu ermöglichen.
Die gehackte Werbung vollständig
Die Forscher sagen, dass die Verantwortlichen – die die zweckentfremdete Anzeige an 22 diplomatische Vertretungen in Kiew geschickt haben – Teil einer Hackereinheit mit dem Spitznamen „Cosy Bear“ waren, die mit dem russischen Auslandsgeheimdienst (SVR) verbunden ist.
Westliche Beamte haben Cozy Bear mit den Verstößen des Demokratischen Nationalkomitees der USA im Jahr 2016 und des Republikanischen Nationalkomitees im Jahr 2021 in Verbindung gebracht.
Cozy Bear nutzte die BMW-Werbung, um den sogenannten Spear-Phishing-Link zu verbergen und eine Hintertür in die Netzwerke der Botschaften einzubauen, ein Zeichen für die Raffinesse der Spionagebemühungen Moskaus, sagen die Forscher.
Beim Spear-Phishing werden verlockende Links erstellt, die selbst vorsichtige Empfänger zum Anklicken verleiten können. Zu den früheren Beispielen gehörte dieses Jahr eine E-Mail an Botschaften in Kiew, in der vorgetäuscht wurde, Einzelheiten zu den Erdbebenhilfemaßnahmen der Türkei zu enthalten.
„Es geht nur darum, sich durchzusetzen – vor allem in der Ukraine.“ . . wo sie ihre Haken maximal herausholen und später einen Sinn daraus ziehen wollen“, sagte Michael Sikorski, Vizepräsident von Unit 42, der die Hacker als „ziemlich beeindruckend“ bezeichnete.
Russische Hacker stecken hinter einigen der ausgefeiltesten Schadsoftware, die westliche Forscher gesehen haben © Bildagentur/Alamy
Es ist nicht bekannt, ob eine der Zielmissionen erfolgreich infiltriert wurde. Eine Durchsuchung der US-Systeme in Kiew in diesem Monat habe nichts ergeben, sagten zwei mit der Angelegenheit vertraute Personen.
Westliche Cybersicherheitsunternehmen, darunter Palo Alto Networks, Microsoft, Dragos und andere, haben Verträge zum Schutz ukrainischer Kunden. Dies beinhaltet typischerweise die Beobachtung eines Großteils der Daten, die über Netzwerke übertragen werden.
Sikorski sagte, dass die Forscher von Unit 42 bei der Verbreitung der mit Schadsoftware infizierten E-Mails festgestellt hätten, dass etwas mit dem Anhang nicht stimmte, und die Zielmissionen innerhalb weniger Tage gewarnt hätten. Er lehnte es ab, die Einzelheiten dieser Gespräche zu besprechen.
Der polnische Diplomat lehnte eine Stellungnahme ab, ebenso wie die polnische Botschaft. Das Auto bleibt unverkauft.
Russische Hacker haben die Netzwerke der Ukraine bereits vor der umfassenden Invasion im Februar 2022 überschwemmt und dabei einige der ausgefeiltesten Schadprogramme eingesetzt, die westliche Forscher gesehen haben.
Sie unterbrachen den Zugang zu einem Satelliten-Internetsystem, das von einem US-Unternehmen verkauft wurde, und löschten in den ersten Kriegstagen Daten aus staatlichen Zug- und Einwanderungssystemen.
US-amerikanische und europäische Sicherheitsunternehmen, die teilweise von Verbündeten der Ukraine bezahlt wurden, haben dazu beigetragen, Angriffe auf das Energienetz, die Militärsysteme und das Bankennetzwerk des Landes zu vereiteln.
Doch die Phishing-Fähigkeiten der russischen Hacker geben Anlass zur Sorge. Eine letztes Jahr abgefangene E-Mail enthielt eine Tabelle mit Angaben zu den toten und verwundeten Soldaten der Ukraine.
Es wurde angeblich fälschlicherweise verschickt, was es den Empfängern schwer machte, dem Klick auf etwas zu widerstehen, das ein schmerzhaftes Staatsgeheimnis zu sein versprach.
Der anhaltende Zugriff auf die E-Mails einer Botschaft stelle ein neues Risiko dar, sagte Sikorski, da Hacker nun KI-Systeme wie ChatGPT umfunktionieren können, um den Stil bestehender Konversationen zu trainieren.
„Wir wissen jetzt, dass sie wahrscheinlich Zugriff auf die Posteingänge der Leute haben, und sie können dann sogar die Gespräche trainieren, die Sie in der Vergangenheit mit Leuten geführt haben“, sagte er.
Zusätzliche Berichterstattung von Christopher Miller in Kiew