Die Angriffe richteten sich gegen die Roundcube-Webmail-Plattform und nutzten Schwachstellen aus, durch die sich Schadcode ausführen lässt, sobald ein Opfer eine E-Mail im Posteingang öffnet – ohne dass Links angeklickt oder Anhänge heruntergeladen werden müssen. CERT-UA hatte bereits zuvor mehrere APT28-Angriffe gemeldet, die Roundcube-Schwachstellen ausnutzten.

Nach Angaben von Dzyuba wurden einige der bei diesen Angriffen mutmaßlich entwendeten Informationen mehrerer ukrainischer Behörden in diesem Monat online veröffentlicht. Er fügte hinzu, das geleakte Material enthalte wahrscheinlich keine vertraulichen Daten. Russland könne solche Vorfälle jedoch als Grundlage für Desinformationskampagnen nutzen, um ukrainische Institutionen zu diskreditieren.

Forscher von Ctrl-Alt-Intel, die im Reuters-Bericht zitiert werden, schrieben die Kampagne der Hackergruppe APT28 zu – auch bekannt als Fancy Bear, BlueDelta oder Forest Blizzard. Westliche Regierungen und Cybersicherheitsfirmen gehen weithin davon aus, dass die Gruppe mit dem russischen Militärgeheimdienst GRU verbunden ist. Dzyuba bestätigte, dass alle Hinweise auf diese Gruppe deuten.

Laut einem Bericht von Ctrl-Alt-Intel befanden sich die meisten Opfer der jüngsten Kampagne in der Ukraine. Einige kompromittierte Konten standen jedoch in Verbindung mit benachbarten NATO-Staaten und dem Balkan, darunter Rumänien, Bulgarien, Griechenland und Serbien.

Zu den betroffenen ukrainischen Institutionen zählten Berichten zufolge die Spezialisierte Antikorruptions-Staatsanwaltschaft (SAP) und die Agentur für Vermögensrückgewinnung und -verwaltung (ARMA), die für beschlagnahmte Vermögenswerte von Kriminellen und russischen Kollaborateuren zuständig ist.

ARMAs amtierende Leiterin Yaroslava Maksymenko bestätigte, dass Mitarbeiter der Behörde Ziel eines russischen Cyberangriffs gewesen seien, die Hacker jedoch keinen Zugriff auf interne Systeme erlangt hätten. „Die Prüfung ergab, dass kein Zugriff auf interne Informationssysteme erfolgte und kein Datenabfluss aus Datenbanken oder staatlichen Informationsressourcen stattfand“, erklärte Maksymenko gegenüber der Nachrichtenagentur Interfax-Ukraine.

Die SAP teilte in dieser Woche mit, sie habe nach Berichten über den Einbruch in Dutzende E-Mail-Konten ukrainischer Strafverfolger eine Überprüfung eingeleitet. Bislang fanden die Ermittler keine Hinweise darauf, dass Daten aus SAP-Systemen entwendet wurden; die Prüfung dauert jedoch an.