Taras Dzyuba, Leiter der Informationskommunikationsabteilung des ukrainischen Staatlichen Dienstes für spezielle Kommunikation und Informationsschutz (SSSCIP), bestätigte gegenüber Recorded Future News, dass die Behörden die Angriffe registriert haben. Westliche Sicherheitsforscher hatten bereits berichtet, dass die Attacken zu Kompromittierungen von E-Mail-Accounts führten.
Die Dimension der Kampagne ist erheblich: Mehr als 170 E-Mail-Konten von Staatsanwälten und Ermittlern in der Ukraine wurden in den letzten Monaten kompromittiert. Nach Angaben Dzyubas handelt es sich dabei um einen Ausläufer einer breiteren Kampagne, die ukrainische Behörden bereits seit 2023 verfolgen. Das ukrainische Computer-Notfall-Reaktionsteam CERT-UA hat drei Angriffswellen identifiziert, die vermutlich Teil desselben Campaigns sind.
Die technische Schwachstelle: Die Angreifer exploitieren Sicherheitslücken in der Webmail-Plattform Roundcube. Diese ermöglichen es den Hackern, Schadcode einzuschleusen, wenn das Opfer lediglich eine E-Mail öffnet — ohne dass Links angeklickt oder Dateien heruntergeladen werden müssen. Diese Art der Exploitation ist besonders heimtückisch, da sie minimale Benutzeraktion erfordert.
Das Ausmaß der Datenabflüsse wird derzeit untersucht. Dzyuba zufolge wurden im März dieses Jahres Informationen, die angeblich bei den Angriffen entwendet wurden, online veröffentlicht. Er relativierte jedoch, dass das durchgesickerte Material wahrscheinlich keine vertraulichen Daten enthält. Dennoch warnt er vor möglichen Desinformationskampagnen, die Russland auf Basis dieser Vorfälle starten könnte.
Die Sicherheitsfirma Ctrl-Alt-Intel attributierte die Kampagne APT28 — auch als Fancy Bear, BlueDelta oder Forest Blizzard bekannt. Westliche Geheimdienste und Cybersicherheitsexperten betrachten diese Gruppe als eng mit Russlands militärischem Geheimdienst GRU verflochten.
Geografisch konzentrieren sich die Angriffe zwar auf die Ukraine, doch auch benachbarte NATO-Länder waren betroffen: Rumänien, Bulgarien, Griechenland und Serbien meldeten ebenfalls kompromittierte Konten. Unter den betroffenen ukrainischen Institutionen befinden sich die Spezialisierte Anti-Korruptions-Staatsanwaltschaft (SAP) und die Asset Recovery and Management Agency (ARMA), die Vermögen von Kriminellen und russischen Kollaborateuren verwaltet.
Die ARMA-Leiterin Yaroslava Maksymenko erklärte, dass Mitarbeiter zwar ins Visier genommen wurden, doch die Hacker keinen Zugriff auf interne Systeme erlangten. Die SAP teilte mit, dass eine Überprüfung eingeleitet wurde, bisherige Ermittlungen deuten aber darauf hin, dass kein Datenleck aus SAP-Systemen erfolgte.