Einer neuen Studie zufolge hat eine von der russischen Regierung unterstützte Hackergruppe das ukrainische Militär mit von Cyberkriminellen entwickelten Werkzeugen und Infrastruktur ins Visier genommen.
Am Mittwoch, Microsoft hat einen Bericht veröffentlicht Einzelheiten zu einer Hacking-Kampagne einer Gruppe namens Secret Blizzard, die von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) betrieben wird. zuvor gesagt „ist mit ziemlicher Sicherheit dem Zentrum 18 des russischen Föderalen Sicherheitsdienstes (FSB) unterstellt“ und wird von anderen Sicherheitsunternehmen als solche bezeichnet Turla.
Microsoft-Forscher schrieben in dem Bericht, der vor der Veröffentlichung mit Tech geteilt wurde, dass Secret Blizzard ein Botnetz namens Amadey verwendet habe, das wird angeblich verkauft in russischen Hacking-Foren veröffentlicht und von einer Cyberkriminellengruppe entwickelt, um zwischen März und April dieses Jahres zu versuchen, in „Geräte im Zusammenhang mit dem ukrainischen Militär“ einzubrechen. Das Unternehmen gibt zwar zu, dass noch untersucht wird, wie sich Secret Blizzard Zugang zu Amadey verschafft hat, geht jedoch davon aus, dass die Hackergruppe entweder das Botnetz ausgenutzt hat, indem sie es als Malware-as-a-Service bezahlt hat, oder sich in das Botnetz gehackt hat.
„Secret Blizzard hat sich Zugang zu Drittparteien verschafft – sei es durch heimlichen Diebstahl oder Zugangserwerb – als gezielte und bewusste Methode, um Stützpunkte mit Spionagewert zu errichten“, heißt es in dem Bericht, in dem das Amadey-Botnetz als eine dieser Drittparteien bezeichnet wird.
Eines der Ziele der Hacker war es, der Entdeckung zu entgehen. Sherrod DeGrippo, Director of Threat Intelligence Strategy bei Microsoft, sagte gegenüber Tech, dass „der Einsatz von Standardtools es dem Bedrohungsakteur ermöglicht, seinen Ursprung potenziell zu verbergen und die Zuordnung zu erschweren.“
Kontaktieren Sie uns
Haben Sie weitere Informationen über russische Hacker, die es auf die Ukraine abgesehen haben? Oder andere Cyberspionageoperationen? Von einem arbeitsfreien Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, per Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.
Dem Bericht zufolge wird das Amadey-Botnetz normalerweise von Cyberkriminellen genutzt, um einen Kryptominer zu installieren. Microsoft sei zuversichtlich, dass die Hacker hinter Amadey und denen hinter Secret Blizzard unterschiedlich seien, sagte DeGrippo.
In dieser Kampagne zielte Secret Blizzard auf Computer der ukrainischen Armee und des ukrainischen Grenzschutzes, sagte DeGrippo gegenüber Tech. Microsoft sagte, diese jüngsten Cyberangriffe seien „mindestens das zweite Mal seit 2022, dass Secret Blizzard eine Cyberkriminalitätskampagne nutzt, um seiner eigenen Malware in der Ukraine Fuß zu fassen.“
Dem Bericht von Microsoft zufolge zielt Secret Blizzard bekanntermaßen auf „Außenministerien, Botschaften, Regierungsbüros, Verteidigungsministerien und verteidigungsbezogene Unternehmen weltweit“ ab, wobei der Schwerpunkt auf langfristiger Spionage und Informationssammlung liegt.
In diesem Fall war das von Microsoft analysierte Secret Blizzard-Malware-Beispiel darauf ausgelegt, als ersten Schritt Informationen über das System eines Opfers zu sammeln – etwa den Gerätenamen und ggf. installierte Antivirensoftware –, um dann andere Malware und Tools bereitzustellen.
Den Forschern von Microsoft zufolge hat Secret Blizzard diese Malware auf Geräten eingesetzt, um festzustellen, ob die Ziele „von weiterem Interesse“ waren. Beispielsweise zielte Secret Blizzard auf Geräte, die Starlink nutzten, den Satellitendienst von SpaceX, der vom ukrainischen Militär bei seinen Einsätzen im Kampf gegen einfallende russische Streitkräfte genutzt wurde.
DeGrippo sagte, das Unternehmen sei zuversichtlich, dass diese Hacking-Kampagne teilweise von Secret Blizzard durchgeführt wurde, weil die Hacker benutzerdefinierte Hintertüren namens Tavdig und KazuarV2 verwendeten, „die noch nie von anderen Gruppen verwendet wurden“.
Letzte Woche, Microsoft und Sicherheitsunternehmen Schwarzes Lotuslabor veröffentlichte Berichte, die zeigten, wie Secret Blizzard seit 2022 die Tools und Infrastruktur einer anderen nationalstaatlichen Hackergruppe für seine Spionageaktivitäten kooptiert hat. In diesem Fall, so die Recherche der beiden Unternehmen, hat sich Secret Blizzard einer in Pakistan ansässigen Hackergruppe angeschlossen Gruppe zu Militär- und Geheimdienstzielen in Afghanistan und Indien. Microsoft stellte damals fest, dass Secret Blizzard diese Technik zur Ausnutzung der Tools und Infrastruktur anderer Hacker seit 2017 einsetzt, unter anderem in Fällen, in denen Hacker der iranischen Regierung und eine kasachische Hackergruppe verwickelt waren.
Die russische Botschaft in Washington, D.C. und der FSB antworteten nicht auf Anfragen nach Kommentaren.