Leben
Digital

Google warnt vor russischer Hackergruppe Coldriver: Bedrohung durch PDF-Masche

Close-up hands of unrecognizable hacker man working typing on keyboard laptop computer sitting at desk in dark room with blue neon lights. Concept of cyber attack, virus, malware, illegally.
Europaweit wurden im vergangenen Jahr zahlreiche Phishing- oder Hack-and-Leak-Operationen gestartet. Bild: Getty images / dikushin
Digital

Google warnt vor russischer Hackergruppe: Bedrohung durch perfide PDF-Masche

19.01.2024, 16:22
Mehr «Leben»

Im Internet kann jeder potenziell zum Opfer von Cyberangriffen werden. Die Angriffe von Cyberkriminellen können sich gegen Einzelpersonen, aber auch Unternehmen, Regierungen und andere Organisationen richten.

Europaweit wurden im vergangenen Jahr erneut zahlreiche Webseiten lahmgelegt und viele Phishing- oder Hack-and-Leak-Operationen gestartet. In einigen Fällen stecken dahinter Netzwerke von prorussischen Hackern. Expert:innen warnten jüngst etwa vor der Entstehung einer Mischszene aus Cyberkriminellen, Hacktivist:innen und russischen Geheimdiensten.

Eine gut etablierte und produktive Bedrohung ist eine als Coldriver bezeichnete Gruppe von Cyberkriminellen. Sie ist dafür bekannt, dass sie im Interesse der russischen Regierung operiert und ist seit sieben Jahren aktiv. Nun warnt Google erneut vor der Bedrohungsgruppe, die auch als Callisto oder BlueCharlie bekannt ist. Denn sie arbeitet sich in der Nahrungskette der Cyberkriminellen weiter nach oben – mit möglicherweise weitreichenden Konsequenzen auf das politische Geschehen weltweit.

Russian hacker closes the lid of the laptop, against the backdrop of a binary code, the color of the Russian tricolor
Russische Hacker haben bereits mehrfach Strukturen der Bundesregierung angegriffen.Bild: iStockphoto / Getty Images / Dmitry Nogaev

Russische Hackergruppe Coldriver intensiviert Angriffe

Welche Bedeutung russische Hacker-Netzwerke spielen, haben Recherchen diverser Medien bereits beleuchtet. Sicherheitsforschende haben die Aktivitäten von Cyberkriminellen aus Russland seit vielen Jahren genau im Visier. Im vergangenen Jahr konnten mehrere Forschungsgruppen einige der Infrastrukturen und Kampagnen der Bedrohungsgruppe Coldriver aufdecken. Die Hackergruppe reagierte schnell, änderte ihre Taktiken und Techniken und baute neue Domänen und Infrastrukturen auf.

Die Cyberkriminellen haben vor Kurzem etwa begonnen, eine neue Backdoor namens Spica bei Angriffen auf Mitglieder von Nato-Regierungsbehörden, Nichtregierungsorganisationen und anderen sensiblen Organisationen einzusetzen. Forschende der Threat Analysis Group (TAG) von Google haben beobachtet, dass die Gruppe sie mindestens seit September bei Angriffen auf hochrangige Personen einsetzt.

Google warnt vor Bedrohung durch perfide PDF-Masche

Wie Google nun mitteilt, hat sich die Gruppe erneut weiterentwickelt und ist vom Diebstahl von Anmeldedaten zum Einsatz von Malware übergegangen. Gefährlich daran ist, dass diese oft unbemerkt auf den Zielrechnern verbleibt und über einen längeren Zeitraum Informationen sammelt.

Aktuell werden Phishing-Köder in Form von E-Mails eingesetzt, die von einem Konto stammen, das sich als eine dem Opfer bekannte Person ausgibt. Die persönliche oder berufliche Verbindung des angeblichen Absenders zum potenziellen Opfer erhöht die Wahrscheinlichkeit massiv, dass die Masche Erfolg hat.

ILLUSTRATION - Zum Themendienst-Bericht vom 19. September 2022: Daten bestätigen, sonst Bahncard-Sperre? Solchen Phishing-Märchen sollte man keinen Glauben schenken und entsprechende Mails gleich lösc ...
Wer seine Mails checkt, sollte grundsätzlich genau hinschauen.Bild: dpa-tmn/Zacharie Scheurer

Um die Malware unbemerkt auf den Zielrechner zu bekommen, enthalten die Mails oft eine harmlose PDF-Datei als Köder. Getarnt etwa als ein Meinungsbeitrag oder ein anderer Text. Der kriminelle Absender bittet in der Mail um Feedback für das Dokument. Die PDF-Datei enthält meist einen zufälligen Text, der den Anschein erwecken soll, dass das Dokument verschlüsselt ist. So soll das potenzielle Opfer dazu veranlasst werden, dem Absender zu antworten.

Wie es dann nach dem Plan der russischen Hacker weitergeht, erklärt Wesley Shields von TAG in einer Analyse der Kampagne:

"Wenn die Zielperson antwortet, dass sie das verschlüsselte Dokument nicht lesen kann, antwortet das Coldriver-Konto mit einem Link, der in der Regel (...) zu einem "Entschlüsselungsprogramm" führt, das die Zielperson verwenden kann. Es zeigt zwar auch ein Täuschungsdokument an, ist aber in Wirklichkeit eine Backdoor, die als Spica verfolgt wird und Coldriver Zugang zum Rechner des Opfers verschafft."

Spica hat eine Reihe von Funktionen. Darunter fallen etwa das Stehlen von Cookies von gängigen Browsern wie Chrome und Firefox, das Herunter- und Hochladen von Dateien und das Ausführen beliebiger Shell-Befehle.

Malware Spica: Damit erhalten russische Hacker Zugriff auf wichtige Daten

TAG hat nach eigenen Angaben den Einsatz von Spica bereits im September 2023 beobachtet, geht aber davon aus, dass Coldriver die Backdoor mindestens seit November 2022 nutzt. Die Google-Analyst:innen glauben, dass es mehrere Versionen der Spica-Backdoor gibt.

Ganz neu ist die PDF-Masche nicht: Die Änderung der Taktik von Coldriver ähnelt dem, was Microsoft-Forschende kürzlich bei einem iranischen Bedrohungsakteur beobachtet haben. Dieser hat vor einiger Zeit ebenfalls damit begonnen, eine benutzerdefinierte Backdoor namens MediaPI einzusetzen. Das bedeutet, dass Cyberkriminelle offenbar nicht zögern, neue Tools und Techniken zu übernehmen, wenn es ihrem Zweck dient.

Watson ist jetzt auf Whatsapp
Jetzt auf Whatsapp und Instagram: dein watson-Update! Wir versorgen dich hier auf Whatsapp mit den watson-Highlights des Tages. Nur einmal pro Tag – kein Spam, kein Blabla, nur sieben Links. Versprochen! Du möchtest lieber auf Instagram informiert werden? Hier findest du unseren Broadcast-Channel.

Vorsicht geboten: Google warnt eindringlich vor Hackergruppen

Letztlich zeigen diese Entwicklungen auch, wie weit die Gefahr durch Cyberkriminelle gehen kann. Google schreibt über die Aktivitäten von Coldriver: "Die TAG kontert und berichtet seit Jahren über Spionagebemühungen dieser Gruppe im Interesse der russischen Regierung." Der Konzern spricht dabei von der Bekämpfung schwerwiegender Bedrohungsakteure.

Hacker dark face using laptop in the dark room
Google warnt vor einer massiven Bedrohung durch Hacker.Bild: iStockphoto / getty images / spyarm

Die Hackergruppe konzentriert sich auf Angriffe gegen die Ukraine, Nato-Länder, akademische Institutionen und NGOs. Doch sie verdeutlicht auch die Verantwortung jedes Einzelnen. Gerade angesichts der Bedrohung durch Cyberkriminelle, die im Interesse von Regierungen agieren, sollte jede und jeder beim Öffnen von E-Mails und Links ganz genau hinschauen. Denn die falschen Informationen in den Händen der falschen Leute können weitreichende Folgen haben.

Migräne: Forscher entdecken, wo der Kopfschmerz wirklich herkommt

Auf einmal knirscht's im Schädel. Ein lähmender Schmerz breitet sich aus, zieht von einer Seite des Kopfes bis ins Gesicht. Bei einigen Betroffenen kündigt sich ein Anfall mit Zickzack-Figuren aus gleißendem Licht im Sichtfeld an. Es handelt sich um eine sogenannte Aura. Nach diesem neurologischen Symptom kommt es zu Empfindungsstörungen, anschließend folgt der Schmerz.

Zur Story