Eine Vielzahl von Bedrohungsakteuren, darunter Fancy Bear, Ghostwriter und Mustang Panda, haben im Zuge des russischen Einmarsches in der Ukraine Phishing-Kampagnen gegen die Ukraine, Polen und andere europäische Einrichtungen gestartet.
Die Threat Analysis Group (TAG) von Google hat nach eigenen Angaben zwei Blogspot-Domains abgeschaltet, die von der nationalistischen Gruppe FancyBear (auch bekannt als APT28), die dem russischen Militärgeheimdienst GRU zugeschrieben wird, als Landing Page für ihre Social-Engineering-Angriffe genutzt wurden.
Die Enthüllung erfolgt kurz nach einer Warnung des Computer Emergency Response Team of Ukraine (CERT-UA) vor Phishing-Kampagnen, die auf Ukr.net-Nutzer abzielen. Dabei werden Nachrichten von kompromittierten Konten verschickt, die Links zu von Angreifern kontrollierten Seiten zum Sammeln von Zugangsdaten enthalten.
Eine weitere Gruppe von Bedrohungen betrifft Webmail-Nutzer von Ukr.net, Yandex.ru, wp.pl, rambler.ru, meta.ua und i.ua, die Opfer von Phishing-Angriffen eines weißrussischen Bedrohungsakteurs wurden, der als Ghostwriter (alias UNC1151) bekannt ist.
Die Hackergruppe „führte in der vergangenen Woche auch Phishing-Kampagnen gegen polnische und ukrainische Regierungs- und Militäreinrichtungen durch“, so Shane Huntley, Direktor von Google TAG, in einem Bericht.
Aber nicht nur Russland und Weißrussland haben es auf die Ukraine und Europa abgesehen. Auch ein in China ansässiger Bedrohungsakteur mit dem Namen Mustang Panda (auch bekannt als TA416 oder RedDelta) versucht, Malware in „gezielte europäische Einrichtungen einzuschleusen, die mit der ukrainischen Invasion geködert werden“.
Unabhängig davon hat das CERT-UA Einzelheiten zu einem Cyberangriff der Gruppe UNC1151 auf staatliche ukrainische Organisationen bekannt gegeben, bei dem eine Malware namens MicroBackdoor eingesetzt wird, die in Form einer Microsoft Compiled HTML-Hilfedatei („dovidka.chm“) auf kompromittierte Systeme übertragen wird.
Die Ergebnisse wurden auch von der Sicherheitsfirma Proofpoint bestätigt, die von einer mehrjährigen TA416-Kampagne gegen diplomatische Einrichtungen in Europa berichtete, die Anfang November 2021 begann und am 28. Februar 2022 eine „Person, die mit Flüchtlings- und Migrationsdiensten zu tun hat“, zählte.
Die Infektionssequenz beinhaltete das Einbetten einer bösartigen URL in eine Phishing-Nachricht, die eine kompromittierte E-Mail-Adresse eines Diplomaten aus einem europäischen NATO-Land nutzte, die, wenn sie angeklickt wurde, eine Archivdatei mit einem Dropper lieferte, der wiederum ein Täuschungsdokument herunterlud, um die PlugX-Malware im Endstadium zu erhalten.
Die Enthüllungen fallen in eine Zeit, in der zahlreiche ukrainische Websites wie die des Verteidigungsministeriums, des Außenministeriums, des Innenministeriums und von Diensten wie Liveuamap von DDoS-Angriffen heimgesucht werden.
„Russische Hacker greifen ununterbrochen ukrainische Informationsressourcen an“, erklärte der Staatliche Dienst für Sonderkommunikation und Informationsschutz der Ukraine (SSSCIP) am Wochenende in einem Tweet.
„Die stärksten [DDoS-]Angriffe haben in der Spitze 100 Gbps überschritten. Trotz aller Ressourcen des Gegners sind die Websites der zentralen Regierungsbehörden verfügbar.“
In diesem Zusammenhang behauptete das Hackerkollektiv Anonymous, dass es die Website des Föderalen Sicherheitsdienstes Russlands lahmgelegt und die Live-Übertragungen mehrerer russischer Fernsehsender und Streamingdienste wie Wink, Ivi, Russia 24, Channel One und Moscow 24 unterbrochen habe, um Kriegsbilder aus der Ukraine zu übertragen.
Die Welle von Gegenangriffen gegen Russland wurde durch die Bildung einer IT-Armee angeheizt, einer Crowdsourcing-Initiative der ukrainischen Regierung, die auf digitale Kriegsführung setzt, um russische Regierungs- und Militärziele zu stören.
Die Entwicklung folgt auch auf die Entscheidung Russlands, Facebook zu verbieten und andere weit verbreitete Social-Media-Plattformen im Land zu drosseln, gerade als Technologieunternehmen aus den USA dazu übergegangen sind, ihre Beziehungen zu Russland abzubrechen und damit einen eisernen Vorhang zu errichten und den Online-Zugang zu beschneiden.