Ukraine meldet langjährige Phishing-Kampagne auf Messenger-Konten durch russische Geheimdienste

Zusammenfassung

Der ukrainische Sicherheitsdienst SSU hat nach eigenen Angaben gemeinsam mit dem U.S. Federal Bureau of Investigation (FBI) eine seit längerer Zeit laufende Kampagne russischer Geheimdienste aufgedeckt. Ziel seien die Konten von Regierungsvertretern, Militärangehörigen, Politikern und Aktivisten in der Ukraine, in Europa und in den USA gewesen. Laut SSU sollten die systematischen Cyberangriffe sensible Informationen aus den betroffenen Messenger-Konten abgreifen. Die Behörde warnte, das Ziel dieser Angriffe sei der Zugriff auf vertrauliche militärische, politische und wirtschaftliche Informationen, die Nutzer austauschen, sowie der Diebstahl persönlicher Daten. Für die Attacken setzten die Angreifer demnach auf SMS-Nachrichten, die sich als Support-Bot der jeweiligen Messaging-Plattform ausgeben und die Empfänger dazu bringen sollen, Zugangsdaten für ihre Konten preiszugeben. Eine konkrete Hackergruppe nannte die SSU nicht.

Nach Angaben der SSU richteten sich die Angriffe nicht nur gegen Organisationen, Amtsträger oder Personen des öffentlichen Lebens. Betroffen seien auch private Konten ukrainischer Staatsbürger. Der Kern der Kampagne war demnach Social Engineering per SMS: Die Nachrichten imitierten den Support einer Messaging-Plattform und forderten Nutzer auf, ihre Zugangsdaten offenzulegen.

Die SSU beschreibt das Vorgehen als systematische Cyberangriffe zum Diebstahl sensibler Informationen. In einer auf Telegram veröffentlichten Warnung erklärte die Behörde, Ziel dieser „Hacks“ sei es, Zugang zu vertraulichen militärischen, politischen und wirtschaftlichen Informationen zu erhalten, die über die Konten ausgetauscht werden. Hinzu komme der Versuch, persönliche Daten der Betroffenen zu stehlen.

Eine direkte Zuordnung der laufenden Kampagne zu einer bestimmten Gruppe nahm die SSU nicht vor. Der Quelltext verweist jedoch auf ähnliche Angriffswellen gegen Nutzer von Signal und WhatsApp, die russischen Bedrohungsclustern zugeschrieben wurden: Star Blizzard, UNC5792, auch als UAC-0195 bezeichnet, sowie UNC4221, auch als UAC-0185 bezeichnet.

Im Zusammenhang damit verweist die Meldung auf eine weitere Einschätzung des FBI. Demnach führt die Behörde eine andauernde Phishing-Kampagne gegen hochwertige Ziele auf Akteure russischer Nachrichtendienste zurück. Diese Kampagne rund um kommerzielle Messaging-Anwendungen soll Opfer dazu verleiten, ihre Wiederherstellungsschlüssel für Backups herauszugeben.

Als Schutzmaßnahmen empfiehlt der Bericht, aktive Sitzungen in Messaging-Apps regelmäßig zu überprüfen und unbekannte Verbindungen abzumelden. Außerdem sollten Nutzer die Zwei-Faktor-Authentifizierung aktivieren, keine QR-Codes von unbekannten Absendern scannen und weder Bestätigungscodes noch PIN-Codes, Passwörter oder Wiederherstellungsschlüssel für Konten weitergeben. Verdächtige Links sollten nicht angeklickt und Dateien aus unbekannten oder fragwürdigen Chats nicht geöffnet werden.

Ergänzend verweist der Quelltext auf eine weitere aktuelle Bedrohungslage in der Ukraine. CERT-UA schrieb kürzlich dem belarusnahen Akteur UNC1151, auch bekannt als Ghostwriter und UAC-0057, eine Spear-Phishing-Kampagne gegen Regierungsorganisationen zu. Dabei seien kompromittierte Konten eingesetzt worden, um eine Informationsdiebstahl-Schadsoftware namens OYSTERBLUES zu verbreiten.

Ukraine meldet langjährige Phishing-Kampagne auf Messenger-Konten durch russische Geheimdienste

Ähnliche Artikel

Neueste Artikel