Aus Russland, Belarus

Google warnt vor Cyberangriffen auf die Ukraine

08.03.2022 08:18

Russische und belarussische Hacker verüben nach Angaben des Internetriesen Google Angriffe auf die Ukraine und ihre europäischen Verbündeten. Die russische Hackergruppe FancyBear, auch bekannt als APT28, habe in den vergangenen zwei Wochen Phishing-E-Mails an Adressen des ukrainischen E-Mail-Anbieters UkrNet geschickt, um Anmeldedaten der Nutzer zu stehlen, während der als belarussischer Bedrohungsakteur eingestufte Ghostwriter/UNC1151 versucht habe, durch Phishing-Angriffe auf polnische und ukrainische Regierungscomputer an Zugangsdaten zu gelangen, warnte die für die Analyse von terroristischen Bedrohungen zuständige Abteilung von Google in einem Blog-Beitrag.

„Diese Aktivitäten reichen von Spionage bis hin zu Phishing-Kampagnen. Wir teilen diese Informationen, um das Bewusstsein der Sicherheitsgemeinschaft und der Nutzer mit hohem Risiko zu schärfen“, sagte Shane Huntley von der Threat Analysis Group von Google am Montag in einem Blogbeitrag.

Die russische Hackergruppe FancyBear hat demnach „mehrere große Phishing-Kampagnen für Anmeldeinformationen“ durchgeführt, die auf Benutzer mit ukr.net-E-Mail-Adressen abzielten. „Die Phishing-E-Mails werden von einer großen Anzahl kompromittierter Konten (nicht von Google/Gmail) verschickt und enthalten Links zu vom Angreifer kontrollierten Domains“, so Huntley. Bei zwei der Kampagnen wurden neue Blogspot-Domänen für die Landing-Page verwendet, die die Benutzer dann auf eine Phishing-Website für Anmeldedaten weiterleiteten, sagte er.

Neben ukr.net sind Huntley zufolge weitere E-Mail-Anbieter wie i.ua, meta.ua, wp.pl, yandex.ru und rambler.ru Ziel der mutmaßlich aus Belarus stammenden UNC1151-Phishing-Angriffe.

DDoS-Angriffe auf ukrainische Websites
Google hat zudem „DDoS-Versuche gegen zahlreiche ukrainische Websites beobachtet, darunter das Außenministerium, das Innenministerium sowie Dienste wie Liveuamap, die Menschen bei der Suche nach Informationen helfen sollen“. Bei diesen Angriffen werden Server mit massenhaft Anfragen überhäuft und dadurch letztlich lahmgelegt.

Als Reaktion darauf hat Google nach eigenen Angaben die Kriterien für den kostenlosen DDoS-Schutz im Rahmen seines Dienstes Project Shield erweitert, „damit ukrainische Regierungswebsites, Botschaften weltweit und andere Regierungen, die sich in unmittelbarer Nähe des Konflikts befinden, online bleiben, sich schützen und weiterhin ihre wichtigen Dienste anbieten und den Zugang zu den von den Menschen benötigten Informationen gewährleisten können.“

Lesen Sie auch:

Das Erkennungszeichen des Hacker-Kollektivs Anonymous ist die Guy-Fawkes-Maske. (Bild: flickr.com/photos/tasteful_tn)

Nach Hilferuf aus Kiew

Anonymous-Hacker erklären Putin den Cyberkrieg

Backdoors gesucht

Ukraine bittet Hacker um Hilfe im Cyberkrieg

Ukraine-Krieg

Experten fürchten Anstieg von Cyberterrorismus

Chinesische Gruppierung versucht aus Situation Kapital zu schlagen
Gefahr droht aber auch von anderer Stelle. Huntley und sein Team berichteten von einem als Mustang Panda (oder Temp.Hex) bekannten Bedrohungsakteur aus China, der versuche, „aus der Situation in der Ukraine Kapital zu schlagen“. Die Gruppe habe „europäische Einrichtungen mit Ködern im Zusammenhang mit der ukrainischen Invasion ins Visier genommen“, die „bösartige Anhänge mit Dateinamen wie ‘Situation at the EU borders with Ukraine.zip‘“ enthielten, heißt es im Blogeintrag.

„Die Zip-Datei enthält eine gleichnamige ausführbare Datei, die ein einfacher Downloader ist und bei der Ausführung mehrere zusätzliche Dateien herunterlädt, die die endgültige Nutzlast laden“, so Huntley. Diese Ausrichtung auf europäische Organisationen stelle eine Abkehr von den regelmäßig von Mustang Panda beobachteten Zielen in Südostasien dar.