Das ukrainische Computer Emergency Response Team (CERT-UA) hat vor weißrussischen staatlich gesponserten Hackern gewarnt, die es im Rahmen einer Phishing-Kampagne inmitten der russischen Militärinvasion auf das ukrainische Militär und damit verbundene Personen abgesehen haben.
In letzter Zeit wurden massenhaft Phishing-E-Mails beobachtet, die auf private „i.ua“- und „meta.ua“-Konten von ukrainischen Militärangehörigen und verwandten Personen abzielten“, so das CERT-UA. „Nachdem das Konto kompromittiert wurde, erhalten die Angreifer über das IMAP-Protokoll Zugriff auf alle Nachrichten.
Anschließend nutzen die Angreifer die im Adressbuch des Opfers gespeicherten Kontaktinformationen, um die Phishing-Nachrichten an andere Ziele zu verbreiten.
Die ukrainische Regierung schrieb die Aktivitäten einem Bedrohungsakteur zu, der als UNC1151 identifiziert wurde, einer in Minsk ansässigen Gruppe, deren „Mitglieder Offiziere des Verteidigungsministeriums der Republik Belarus sind“. In einem weiteren Update erklärte die Agentur, dass die Gruppe auch ihre eigenen Bürgerinnen und Bürger ins Visier nimmt, während sie gleichzeitig russische Einrichtungen ins Visier nimmt.
Verband der Belarussen der Welt (International Social Union)
Belarussisches Musikfestival
Samara Oblasna Öffentliche Organisation „Russisch-Belarussische Bruderschaft 2000“
Dzêâslov, eine belarussische Literaturzeitschrift
Sowjetisches Weißrussland (Sovetskaya Belorussiya), eine Tageszeitung in Weißrussland
Mitarbeiter der Nationalen Akademie der Republik Kasachstan, und
Voice of the Motherland, eine lokale Zeitung in Weißrussland
UNC1151 ist der von Mandiant zugewiesene Spitzname für eine nicht kategorisierte Bedrohungsgruppe, deren Ziele mit den Interessen der weißrussischen Regierung übereinstimmen. Es wird vermutet, dass die Hackergruppe mindestens seit 2016 aktiv ist.
„UNC1151 hat eine Vielzahl von staatlichen und privaten Einrichtungen ins Visier genommen, mit einem Schwerpunkt in der Ukraine, Litauen, Lettland, Polen und Deutschland“, so die Mandiant-Forscher in einem Bericht vom November 2021. „Auch weißrussische Dissidenten, Medienunternehmen und Journalisten sind Ziel der Angriffe.
Die staatlich unterstützte Cyberspionagegruppe wurde auch mit der Ghostwriter-Desinformationskampagne in Verbindung gebracht, die Anti-NATO- und Korruptionsgeschichten gegen Litauen, Lettland und Polen verbreitete, um die Regierungen zu schwächen und Spannungen in der Region zu erzeugen.
Auch die Verunstaltung mehrerer ukrainischer Regierungswebseiten mit Drohbotschaften im Januar geht vermutlich auf das Konto von UNC1151.
Hackergruppen ergreifen Partei
Die Entwicklung folgt auf eine Flut von DDoS-Angriffen (Distributed Denial of Service) gegen ukrainische Regierungsstellen, während verschiedene Hackergruppen und Ransomware-Syndikate das Chaos nutzen, um Partei zu ergreifen und ihre Aktivitäten zu fördern.
„Das Anonymous-Kollektiv befindet sich offiziell im Cyberkrieg gegen die russische Regierung“, twitterte die dezentrale Hacktivistengruppe und fügte hinzu, dass sie „die Datenbank der Website des russischen Verteidigungsministeriums geleakt“ habe.
Eine weitere Gruppe, die sich zur Ukraine bekannt hat, ist die Bürgerwehr GhostSec (kurz für Ghost Security), die bekannt gab, dass sie russische Militärwebseiten mit DDoS-Angriffen „zur Unterstützung der Menschen in der Ukraine“ überflutet hat.
Das Ransomware-Kartell Conti, das vor kurzem den inzwischen eingestellten Trojaner TrickBot übernommen hat, stellte sich „voll und ganz“ hinter die russische Regierung und drohte, „auf die kritischen Infrastrukturen eines Feindes zurückzuschlagen“, falls „irgendjemand beschließen sollte, einen Cyberangriff oder irgendwelche Kriegsaktivitäten gegen Russland zu organisieren.“
Die Gruppe formulierte ihre Erklärung jedoch später um und erklärte, dass „wir uns mit keiner Regierung verbünden und den laufenden Krieg verurteilen“. Das Conti-Team behauptete aber auch, dass es „unsere volle Kapazität nutzen wird, um Vergeltungsmaßnahmen zu ergreifen, falls die westlichen Kriegstreiber versuchen, kritische Infrastrukturen in Russland oder einer russischsprachigen Region der Welt anzugreifen“.
Andere Hacker, die sich zu Russland bekannt haben, sind die Cybercrime-Gruppe RedBanditsRU und das weniger bekannte Ransomware-Programm CoomingProject, das sich verpflichtet hat, „der russischen Regierung zu helfen, wenn sie Cyberangriffe gegen Russland durchführt.“
Die Auswirkungen des Krieges haben die ukrainische Regierung auch dazu veranlasst, eine freiwillige „IT-Armee“ zu bilden, die an der Cyberfront operative Aufgaben gegen Russland übernehmen soll. „Wir schaffen eine IT-Armee“, sagte der ukrainische Minister für digitale Transformation Mykhaylo Fedorov am Freitag. „Wir brauchen digitale Talente.“
Die Aufgaben forderten mehr als 195.000 Mitglieder einer neu eingerichteten Telegram-Gruppe auf, „alle Vektoren von Cyber- und DDoS-Angriffen“ auf die Websites russischer und weißrussischer Unternehmen, Banken und Regierungsstellen sowie auf Medien-Websites und YouTube-Kanäle zu nutzen, die „offen über den Krieg in der Ukraine lügen“.