Google: Turla baut mit StockStay sein Spionage-Toolkit gegen Ziele in der Ukraine aus

Zusammenfassung

Die russlandnahe Cyberspionagegruppe Turla setzt laut neuer Forschung von Google seit Jahren eine bislang wenig bekannte Malware namens StockStay ein, um ukrainische Regierungs- und Militärorganisationen auszuspähen. Wie aus einem am Donnerstag veröffentlichten Bericht hervorgeht, wird die Schadsoftware seit mindestens Dezember 2022 aktiv weiterentwickelt. Im Mittelpunkt der Angriffe standen demnach vor allem Regierungs- und Verteidigungsorganisationen in der Ukraine. Frühe Proben der Malware wurden nach Angaben der Forscher aber auch in Italien, den Niederlanden, Polen und Deutschland identifiziert. Turla, auch unter den Bezeichnungen Secret Blizzard und Venomous Bear bekannt, zählt zu den langlebigsten russischen Cyberspionagegruppen. Westliche Regierungen und Sicherheitsforscher bringen die Gruppe mit dem russischen Inlandsgeheimdienst FSB in Verbindung. Google beschreibt Turla als fortlaufende und aktive Bedrohung.

Nach Angaben von Google weist StockStay erhebliche Überschneidungen bei Code und Funktionen mit Kazuar auf, einem weiteren Turla-Malware-Framework, das bereits in Cyberspionageoperationen gegen militärische und verteidigungsbezogene Ziele in der Ukraine eingesetzt wurde. Die Forscher gehen davon aus, dass StockStay bewusst nach dem Vorbild von Kazuar entwickelt wurde und die Erfahrung der Gruppe mit dem älteren Werkzeugkasten widerspiegelt.

Gegenüber Recorded Future News erklärte Google, die Gruppe investiere offenbar in redundante, parallel betriebene Malware-Ökosysteme, um auch dann dauerhaft Zugriff zu behalten, wenn einzelne Werkzeuge entdeckt und beseitigt werden. Damit beschreibt der Konzern StockStay nicht als isoliertes Werkzeug, sondern als Teil einer breiter angelegten, widerstandsfähigen Infrastruktur.

Die Forscher berichten zudem, dass sich StockStay seit seinem ersten Auftreten deutlich weiterentwickelt hat. Zunächst tarnten die Angreifer die Malware als Börsenanwendung. In neueren Varianten gab sich die Schadsoftware als legitime Programme aus, etwa als PDF-Reader oder als Rechner-Anwendung.

Zur Infektion nutzte Turla laut Bericht typischerweise Phishing-Mails mit präparierten Konfigurationsdateien für das Remote Desktop Protocol (RDP). Diese Dateien verbanden kompromittierte Computer mit einer von den Angreifern kontrollierten Infrastruktur. Auf diesem Weg konnten anschließend weitere Schadprogramme nachgeladen werden.

Bei den Lockmitteln griff die Gruppe den Forschern zufolge wiederholt akademische und diplomatische Themen auf. In einer Kampagne verschickten die Angreifer Phishing-Mails über ein kompromittiertes Konto einer ukrainischen Universität. In einem anderen Fall missbrauchten sie eine diplomatische Bildungsplattform, um schädliche E-Mails und Dateien zu verbreiten.

Der Schwerpunkt der Operationen lag laut Google auf ukrainischen Regierungs- und Verteidigungsorganisationen. Dass frühe StockStay-Proben auch in Italien, den Niederlanden, Polen und Deutschland gefunden wurden, deutet zugleich darauf hin, dass die Aktivitäten nicht auf die Ukraine beschränkt waren, sondern sich auch gegen weitere für die Gruppe interessante Ziele in Europa richteten.

Google: Turla baut mit StockStay sein Spionage-Toolkit gegen Ziele in der Ukraine aus

Ähnliche Artikel

Neueste Artikel