USA setzen 10 Millionen Dollar Belohnung auf russische Hackergruppen aus

Zusammenfassung

Die US-Regierung lobt bis zu 10 Millionen US-Dollar für Hinweise zu Personen aus, die mit den Bedrohungsakteuren UNC5792 und UNC4221 in Verbindung stehen. Nach Angaben von CISA und FBI richten sich die beiden öffentlich verfolgten Gruppen gegen aktuelle und frühere US-Regierungsvertreter, Militärführer, Angehörige verbündeter Staaten, Journalisten, politische Akteure sowie wichtige Amtsträger in der Ukraine. Die Behörden ordnen beide Akteure russischen Nachrichtendiensten zu. Im Mittelpunkt steht eine Phishing-Kampagne gegen kommerzielle Messaging-Anwendungen wie Signal und WhatsApp. Die Angreifer geben sich dabei als automatisierte Support-Konten der Dienste aus, um Opfer zum Anklicken eines Links oder zur Weitergabe von Verifizierungscodes zu bewegen und so Konten zu übernehmen. Laut einer aktualisierten Warnung von CISA und FBI haben die Gruppen ihre Methode inzwischen ausgeweitet: Sie fragen nun auch nach Sicherungs-Wiederherstellungsschlüsseln, um zusätzlich auf ältere Unterhaltungen zugreifen zu können, darunter private Chats und Gruppennachrichten.

Die neue Warnung von CISA und FBI knüpft an eine Mitteilung vom März an, in der die Behörden bereits auf Phishing-Kampagnen gegen kommerzielle Messaging-Anwendungen hingewiesen hatten. Damals stand vor allem die Übernahme von Konten im Vordergrund. Nun warnen die Behörden, dass die Angreifer ihre Taktik erneuert haben und Opfer gezielt nach ihren Sicherungs-Wiederherstellungsschlüsseln fragen.

Nach Darstellung der Behörden können die Angreifer damit nicht nur laufende Konten übernehmen, sondern auch auf historische Kommunikation zugreifen. Das betrifft laut Warnung sowohl private Nachrichten als auch Gruppenunterhaltungen. CISA und FBI betonen zudem ein besonderes Risiko: Wenn ein Opfer den Sicherungs-Wiederherstellungsschlüssel versehentlich weitergibt, bleibt derselbe Schlüssel auch dann gültig, wenn nach der Kompromittierung mit derselben Telefonnummer ein neues Konto eingerichtet wird. Der kompromittierte Schlüssel könnte dann auch künftig zur Übernahme des neuen Kontos missbraucht werden.

Um Angreifer aus kompromittierten Konten zu verdrängen, müssen Nutzer einen neuen Sicherungs-Wiederherstellungsschlüssel erzeugen, wodurch der alte ungültig wird. Gleichzeitig weisen CISA und FBI darauf hin, dass dies nicht verhindert, dass die Täter bereits eine Sicherung des ursprünglichen Kontos heruntergeladen haben.

Die Behörden führen UNC5792 und UNC4221 auf russische Nachrichtendienste zurück. Nach Angaben der US-Regierung auf dem Portal Rewards for Justice ist UNC5792 mit den Grenztruppen des russischen Inlandsgeheimdienstes FSB verbunden, während UNC4221 den russischen Militärdiensten zugeordnet wird.

Die US-Regierung beschreibt das Vorgehen der Gruppen als Social Engineering unter Ausnutzung legitimer Funktionen zum Verknüpfen von Geräten in sicheren Messaging-Anwendungen. So verschaffen sich die Akteure unbefugten Zugriff auf sensible Regierungskommunikation, Kontaktlisten und Gruppengespräche. Zudem missbrauchten sie bereits kompromittierte Konten, um Phishing-Angriffe gegen weitere hochwertige Zielpersonen zu starten. In einigen Fällen veränderten sie außerdem Seiten für Gruppeneinladungen so, dass von den Angreifern kontrollierte Geräte mit den Signal-Konten der Opfer verknüpft wurden.

Für Hinweise, die zur Identifizierung von Akteuren von UNC5792 führen, will die US-Regierung bis zu 10 Millionen US-Dollar zahlen. Gesucht werden unter anderem Namen, Aufenthaltsorte und biografische Angaben. Darüber hinaus bitten die USA um Informationen über die Verbindung der Akteure zu russischen Nachrichtendiensten, über unterstützende Einrichtungen, ihre Infrastruktur und Werkzeuge sowie über Finanzierungsquellen und Finanznetzwerke, darunter Bankkonten, Kryptowährungs-Wallets und Transaktionen.

USA setzen 10 Millionen Dollar Belohnung auf russische Hackergruppen aus

Ähnliche Artikel

Neueste Artikel