Die US-Regierung und eine Koalition internationaler Partner haben offiziell eine russische Hackergruppe, die als Cadet Blizzard verfolgt wird, dem Hauptdirektorat des Generalstabs für Nachrichtendienste (GRU) 161. Spezialausbildungszentrum (Einheit 29155) zugeordnet.
„Diese Cyberakteure sind seit mindestens 2020 für Computernetzwerkoperationen gegen globale Ziele zum Zwecke der Spionage, Sabotage und Rufschädigung verantwortlich“, so die Behörden.
„Seit Anfang 2022 scheint der Schwerpunkt der Cyberakteure auf der gezielten Störung von Hilfslieferungen an die Ukraine zu liegen.“
Die Ziele der Angriffe konzentrierten sich auf kritische Infrastrukturen und wichtige Ressourcensektoren, darunter die Bereiche Regierungsdienste, Finanzdienstleistungen, Transportsysteme, Energie und Gesundheitswesen von Mitgliedern der Nordatlantikvertrags-Organisation (NATO), der Europäischen Union, Mittel- und Südamerikas sowie asiatischer Länder.
Die gemeinsame Beratung, die letzte Woche im Rahmen einer koordinierten Übung mit dem Namen Operation Toy Soldier veröffentlicht wurde, stammt von Cybersicherheits- und Geheimdienstbehörden aus den USA, den Niederlanden, der Tschechischen Republik, Deutschland, Estland, Lettland, der Ukraine, Kanada, Australien und dem Vereinigten Königreich.
Cadet Blizzard, auch bekannt als Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa, UAC-0056 und UNC2589, erlangte im Januar 2022 Aufmerksamkeit, weil sie die zerstörerische Malware WhisperGate (auch bekannt als PAYWIPE) gegen mehrere ukrainische Opferorganisationen einsetzten, bevor Russland seinen umfassenden militärischen Einmarsch in das Land begann.
Im Juni 2024 wurde ein 22-jähriger russischer Staatsbürger namens Amin Timovich Stigal in den USA wegen seiner mutmaßlichen Rolle bei der Durchführung zerstörerischer Cyberangriffe auf die Ukraine mit der Wiper-Malware angeklagt. Die Verwendung von WhisperGate sei jedoch nicht nur auf diese Gruppe beschränkt.
Das US-Justizministerium (DoJ) hat inzwischen Anklage gegen fünf Offiziere der Einheit 29155 wegen Verschwörung zum Computerbetrug und Drahtbetrug gegen Ziele in der Ukraine, den USA und 25 weiteren NATO-Ländern erhoben.
Die Namen der fünf Offiziere sind unten aufgeführt –
Juri Denissow (Юрий Денисов), ein Oberst des russischen Militärs und Kommandeur für Cyber-Operationen der Einheit 29155
Wladislaw Borowkow (Владислав Боровков), Denis Denisenko (Денис Денисенко), Dmitri Goloschubow (Дима Голошубов) und Nikolai Kortschagin (Николай Корчагин), Leutnants des russischen Militärs, die der Einheit 29155 zugeteilt waren und an Cyber-Operationen arbeiteten
„Die Angeklagten taten dies, um unter den ukrainischen Bürgern Besorgnis über die Sicherheit ihrer Regierungssysteme und personenbezogenen Daten zu säen“, so das DoJ. „Zu den Zielen der Angeklagten gehörten ukrainische Regierungssysteme und Daten, die keine militärische oder verteidigungsbezogene Rolle spielten. Spätere Ziele waren Computersysteme in Ländern auf der ganzen Welt, die die Ukraine unterstützten.“
Gleichzeitig mit der Anklageerhebung hat das Programm „Rewards for Justice“ des US-Außenministeriums eine Belohnung von bis zu 10 Millionen Dollar für Informationen über den Aufenthaltsort der Angeklagten oder ihre böswilligen Cyberaktivitäten ausgesetzt.
Es gibt Hinweise darauf, dass die Einheit 29155 für versuchte Staatsstreiche, Sabotage und Einflussnahmen sowie für Attentatsversuche in ganz Europa verantwortlich ist, wobei der Gegner seinen Horizont seit mindestens 2020 auf offensive Cyberoperationen ausgeweitet hat.
Das Endziel dieser Cyber-Einbrüche ist es, sensible Informationen zu Spionagezwecken zu sammeln, Rufschädigung durch die Veröffentlichung dieser Daten zu verursachen und zerstörerische Operationen zu orchestrieren, die darauf abzielen, Systeme zu sabotieren, die wertvolle Daten enthalten.
Es wird vermutet, dass die Einheit 29155 aus jungen, aktiven GRU-Offizieren besteht, die sich bei ihren Einsätzen auch auf bekannte Cyberkriminelle und andere zivile Helfer wie Stigal stützen.
Dazu gehören die Verunstaltung von Websites, das Scannen von Infrastrukturen, der Diebstahl von Daten und das Durchsickern von Daten, bei dem die Informationen auf öffentlichen Websites veröffentlicht oder an andere Akteure verkauft werden.
Die Angriffsketten beginnen mit Scan-Aktivitäten, die bekannte Sicherheitslücken in Atlassian Confluence Server und Data Center, Dahua Security und der Firewall von Sophos ausnutzen, um in die Umgebungen der Opfer einzudringen. Anschließend wird Impacket für die Post-Exploitation und laterale Bewegungen verwendet und schließlich werden Daten in eine dedizierte Infrastruktur geschleust.
„Cyberakteure könnten die Malware Raspberry Robin als Zugriffsvermittler eingesetzt haben“, so die Behörden. „Cyberakteure griffen die Microsoft Outlook Web Access (OWA)-Infrastruktur von Opfern mit Passwort-Spraying an, um gültige Benutzernamen und Passwörter zu erhalten.“
Organisationen wird empfohlen, routinemäßige Systemaktualisierungen zu priorisieren und bekannte ausgenutzte Schwachstellen zu beheben, Netzwerke zu segmentieren, um die Ausbreitung von böswilligen Aktivitäten zu verhindern, und phishing-resistente Multi-Faktor-Authentifizierung (MFA) für alle extern zugänglichen Kontodienste durchzusetzen.