Im Internet kann jeder potenziell zum Opfer von Cyberangriffen werden. Die Angriffe von Cyberkriminellen können sich gegen Einzelpersonen, aber auch Unternehmen, Regierungen und andere Organisationen richten.
Europaweit wurden im vergangenen Jahr erneut zahlreiche Webseiten lahmgelegt und viele Phishing- oder Hack-and-Leak-Operationen gestartet. In einigen Fällen stecken dahinter Netzwerke von prorussischen Hackern. Expert:innen warnten jüngst etwa vor der Entstehung einer Mischszene aus Cyberkriminellen, Hacktivist:innen und russischen Geheimdiensten.
Eine gut etablierte und produktive Bedrohung ist eine als Coldriver bezeichnete Gruppe von Cyberkriminellen. Sie ist dafür bekannt, dass sie im Interesse der russischen Regierung operiert und ist seit sieben Jahren aktiv. Nun warnt Google erneut vor der Bedrohungsgruppe, die auch als Callisto oder BlueCharlie bekannt ist. Denn sie arbeitet sich in der Nahrungskette der Cyberkriminellen weiter nach oben – mit möglicherweise weitreichenden Konsequenzen auf das politische Geschehen weltweit.
Welche Bedeutung russische Hacker-Netzwerke spielen, haben Recherchen diverser Medien bereits beleuchtet. Sicherheitsforschende haben die Aktivitäten von Cyberkriminellen aus Russland seit vielen Jahren genau im Visier. Im vergangenen Jahr konnten mehrere Forschungsgruppen einige der Infrastrukturen und Kampagnen der Bedrohungsgruppe Coldriver aufdecken. Die Hackergruppe reagierte schnell, änderte ihre Taktiken und Techniken und baute neue Domänen und Infrastrukturen auf.
Die Cyberkriminellen haben vor Kurzem etwa begonnen, eine neue Backdoor namens Spica bei Angriffen auf Mitglieder von Nato-Regierungsbehörden, Nichtregierungsorganisationen und anderen sensiblen Organisationen einzusetzen. Forschende der Threat Analysis Group (TAG) von Google haben beobachtet, dass die Gruppe sie mindestens seit September bei Angriffen auf hochrangige Personen einsetzt.
Wie Google nun mitteilt, hat sich die Gruppe erneut weiterentwickelt und ist vom Diebstahl von Anmeldedaten zum Einsatz von Malware übergegangen. Gefährlich daran ist, dass diese oft unbemerkt auf den Zielrechnern verbleibt und über einen längeren Zeitraum Informationen sammelt.
Aktuell werden Phishing-Köder in Form von E-Mails eingesetzt, die von einem Konto stammen, das sich als eine dem Opfer bekannte Person ausgibt. Die persönliche oder berufliche Verbindung des angeblichen Absenders zum potenziellen Opfer erhöht die Wahrscheinlichkeit massiv, dass die Masche Erfolg hat.
Um die Malware unbemerkt auf den Zielrechner zu bekommen, enthalten die Mails oft eine harmlose PDF-Datei als Köder. Getarnt etwa als ein Meinungsbeitrag oder ein anderer Text. Der kriminelle Absender bittet in der Mail um Feedback für das Dokument. Die PDF-Datei enthält meist einen zufälligen Text, der den Anschein erwecken soll, dass das Dokument verschlüsselt ist. So soll das potenzielle Opfer dazu veranlasst werden, dem Absender zu antworten.
Wie es dann nach dem Plan der russischen Hacker weitergeht, erklärt Wesley Shields von TAG in einer Analyse der Kampagne:
Spica hat eine Reihe von Funktionen. Darunter fallen etwa das Stehlen von Cookies von gängigen Browsern wie Chrome und Firefox, das Herunter- und Hochladen von Dateien und das Ausführen beliebiger Shell-Befehle.
TAG hat nach eigenen Angaben den Einsatz von Spica bereits im September 2023 beobachtet, geht aber davon aus, dass Coldriver die Backdoor mindestens seit November 2022 nutzt. Die Google-Analyst:innen glauben, dass es mehrere Versionen der Spica-Backdoor gibt.
Ganz neu ist die PDF-Masche nicht: Die Änderung der Taktik von Coldriver ähnelt dem, was Microsoft-Forschende kürzlich bei einem iranischen Bedrohungsakteur beobachtet haben. Dieser hat vor einiger Zeit ebenfalls damit begonnen, eine benutzerdefinierte Backdoor namens MediaPI einzusetzen. Das bedeutet, dass Cyberkriminelle offenbar nicht zögern, neue Tools und Techniken zu übernehmen, wenn es ihrem Zweck dient.
Letztlich zeigen diese Entwicklungen auch, wie weit die Gefahr durch Cyberkriminelle gehen kann. Google schreibt über die Aktivitäten von Coldriver: "Die TAG kontert und berichtet seit Jahren über Spionagebemühungen dieser Gruppe im Interesse der russischen Regierung." Der Konzern spricht dabei von der Bekämpfung schwerwiegender Bedrohungsakteure.
Die Hackergruppe konzentriert sich auf Angriffe gegen die Ukraine, Nato-Länder, akademische Institutionen und NGOs. Doch sie verdeutlicht auch die Verantwortung jedes Einzelnen. Gerade angesichts der Bedrohung durch Cyberkriminelle, die im Interesse von Regierungen agieren, sollte jede und jeder beim Öffnen von E-Mails und Links ganz genau hinschauen. Denn die falschen Informationen in den Händen der falschen Leute können weitreichende Folgen haben.