HackerangriffeSchwachstellenDatenschutz

Russische Hackergruppe Star Blizzard nutzt nun iOS-Exploit-Kit DarkSword

Russische Hackergruppe Star Blizzard nutzt nun iOS-Exploit-Kit DarkSword
Zusammenfassung

Die russische Hackergruppe Star Blizzard, die dem Geheimdienst FSB zugeordnet wird, hat das iOS-Exploit-Kit DarkSword in ihre Angriffswerkzeuge aufgenommen. Das Sicherheitsunternehmen Proofpoint hat eine groß angelegte Kampagne dokumentiert, bei der die APT-Gruppe Mitte März 2024 verstärkt Phishing-E-Mails mit Bezug zum Atlantic Council verschickte, um Nutzer auf infizierte Websites zu locken. Betroffen sind Regierungsinstitutionen, Hochschulen, Finanzunternehmen, Anwaltskanzleien und Think Tanks weltweit. Dies markiert eine bedeutende Eskalation, da Star Blizzard zum ersten Mal gezielt iCloud-Konten und Apple-Geräte angegriffen hat. Das DarkSword-Kit ermöglicht es Angreifern, auf iPhones zuzugreifen und Zugangsdaten zu stehlen. Für deutsche Institutionen aus Regierung, Finanzsektor und Wissenschaft bedeutet dies ein erhöhtes Risiko, da Apple-Nutzer bislang von staatlichen Angriffsgruppen weniger im Fokus standen. Unternehmen und Behörden sollten ihre iOS-Sicherheitsmaßnahmen überprüfen und Mitarbeiter für verdächtige Phishing-Kampagnen sensibilisieren, besonders bei E-Mails mit Bezug zu geopolitischen Organisationen.

Die russische Hackergruppe Star Blizzard, die von Sicherheitsexperten auch als Callisto, ColdRiver, SeaBorgium oder TA446 bekannt ist, hat einer neuen Untersuchung zufolge das iOS-Exploit-Kit DarkSword adoptiert. Die Gruppe wird dem russischen Geheimdienst FSB zugeordnet und gilt als eine der aktivsten staatlichen Hackergruppen im Cyberspace.

Proofpoint entdeckte die neue Angriffskampagne durch umfangreiche Analysevorgänge. Am 26. März 2024 beobachteten die Sicherheitsexperten eine signifikante Steigerung des Angriffsvolumens — ein deutlicher Sprung gegenüber der sonst üblichen Operationsintensität der Gruppe. Die böswilligen E-Mails stammten von mehreren kompromittierten Absenderadressen und nutzten das Atlantic Council als Köder-Thema. Dies war eine bewusste Taktikänderung: Statt Malware als Anhang zu versenden, enthielten die Nachrichten verdächtige Links.

Die technische Analyse offenbarte eine ausgefeilte Infrastruktur. Wenn Sicherheitsforscher die Links verfolgten, wurden sie zu einem harmlosen Köder-PDF weitergeleitet — ein Zeichen von serverseitigen Filtersystemen, die speziell iPhone-Browser zum DarkSword-Exploit-Kit leiteten. Proofpoint gelang es, DarkSword-Lader bei VirusTotal zu identifizieren, die auf bekannte Star-Blizzard-Domains verwiesen. Dies bestätigt den erstmaligen Einsatz des Exploit-Kits durch die Gruppe.

Besonders auffällig ist die Zielauswahl: Die Kampagne richtete sich gegen Finanzinstitutionen, Regierungsbehörden, Hochschulen, Anwaltskanzleien und Denkfabriken. Dies deutet darauf hin, dass Star Blizzard das neue iOS-Arsenal opportunistisch gegen ein breiteres Zielspektrum einsetzt. Der primäre Zweck der Attacken liegt in der Credential-Ernte und Nachrichtengewinnung — klassische Aufgaben von Geheimdienstgruppen.

Die Sicherheitsforscher gehen davon aus, dass Star Blizzard das DarkSword-Kit übernahm, nachdem es von unbekannten Akteuren auf GitHub publiziert worden war. Dies unterstreicht ein grundsätzliches Sicherheitsproblem: Einmal veröffentlichte Exploits können rasch von verschiedensten Bedrohungsakteuren ausgenutzt werden.

Für Organisationen im deutschsprachigen Raum ist diese Entwicklung ein warnsignal. Während die größten Anstrengungen auf Windows-Umgebungen konzentrieren, müssen Sicherheitsverantwortliche nun auch Apple-Geräte stärker überwachen. Die Kombination aus gezielter Spear-Phishing und modernen Exploit-Kits stellt eine erhebliche Bedrohung für hochwertige Ziele dar.

Ähnliche Artikel