HackerangriffeSchwachstellenMalware

Russische Hackergruppe nutzt Starlink und Charity-Köder für Spionage gegen Ukraine

Russische Hackergruppe nutzt Starlink und Charity-Köder für Spionage gegen Ukraine
Zusammenfassung

Eine neu entdeckte, Russland-nahe Hackergruppe führt eine gezielte Cyber-Spionagekampagne gegen ukrainische Organisationen durch. Die Angreifer nutzen dabei eine raffinierte Taktik: Sie verpacken Spyware in Dokumenten, die sich als Informationen über Starlink-Satellitenterminals oder Anfragen der bekannten ukrainischen Wohltätigkeitsorganisation „Come Back Alive" ausgeben. Die im Februar beobachtete Kampagne wird der Gruppe Laundry Bear zugeordnet, die auch unter dem Namen Void Blizzard bekannt ist und seit 2024 aktiv ist. Die Malware, genannt DrillApp, ermöglicht es den Angreifern, Dateien hochzuladen und herunterzuladen, Audio über Mikrofone aufzuzeichnen und Webcam-Inhalte zu erfassen. Für Deutschland und europäische Nutzer ist diese Entwicklung relevant, da die Gruppe bereits NATO-Mitgliedstaaten ins Visier genommen hat und ihre Methoden kontinuierlich verfeinert. Auch hierzulande tätige Unternehmen mit Ukraine-Bezug, Behörden und Institutionen sollten ihre Wachsamkeit erhöhen. Die Nutzung von Microsoft Edge als Ausführungsmechanismus zeigt zudem, dass Angreifer verstärkt legitime, schwer zu überwachende Systeme ausnutzen – eine Gefahr, die über die Ukraine hinausreicht und Deutsche Organisationen ebenfalls betreffen könnte.

Die Cybersicherheitsfirma Lab52 hat die Kampagne analysiert und dokumentiert, wie die Angreifer vorgehen: Sobald ein Nutzer die manipulierte Datei öffnet, wird diese durch den Microsoft Edge-Browser ausgeführt. Das ermöglicht den Angreifern Zugriff auf das Dateisystem des Opfers sowie die Möglichkeit, Audio über das Mikrofon aufzuzeichnen, Video von der Webcam zu erfassen und sogar Bildschirmaufnahmen zu erstellen.

Die Wahl des Microsoft Edge-Browsers ist dabei kein Zufall. Cybersicherheitsexperten weisen darauf hin, dass Browser häufig legitimen Zugriff auf sensible Gerätefunktionen wie Kameras, Mikrofone und Screen-Recording haben. Dies macht böswillige Aktivitäten schwerer erkennbar, da Browser von Sicherheitstools selten als verdächtig eingestuft werden.

Laundry Bear ist keine unbekannte Gruppe. Sie wurde bereits von der ukrainischen Behörde CERT-UA dokumentiert, die einen separaten Angriff der Gruppe auf ukrainische Streitkräfte im Februar meldete. Beide Kampagnen nutzen ähnliche Techniken, einschließlich wohltätigkeitsthematischer Köder und das Hosting von bösartigen Komponenten auf öffentlichen Textfreigabe-Diensten.

Forscher haben festgestellt, dass die Spyware noch in einer frühen Entwicklungsphase zu sein scheint. Lab52 identifizierte zwei Versionen der Malware, die sich hauptsächlich in den verwendeten Ködern unterscheiden. Dies deutet darauf hin, dass die Angreifer derzeit verschiedene Methoden testen, um Abwehrmechanismen zu umgehen.

Die Gruppe wird in Sicherheitskreisen als relativ simpel in ihren Techniken beschrieben, was aber nicht mit niedrigem Schaden gleichzusetzen ist. Laut Microsoft-Berichten hat Laundry Bear erfolgreich Organisationen in mehreren ukrainischen Sektoren kompromittiert – von Bildung über Verkehr bis zum Verteidigungssektor.

Interessanterweise haben Sicherheitsforscher taktische Überschneidungen zwischen Laundry Bear und der russischen Militärgeheimdienstgruppe APT28 (auch als Fancy Bear bekannt) identifiziert. Die meisten Analysten betrachten sie jedoch als distinkte Akteure. Für deutsche Unternehmen und Behörden mit Verbindungen zur Ukraine oder dem Baltikum bleibt dies eine wichtige Warnung: Die Kombination aus aktuellen Nachrichten, vertrauenswürdigen Institutionen und technischem Know-how macht solche Kampagnen besonders wirkungsvoll.

Ähnliche Artikel