Fancy Bear: Russlands Cyberkrieger greifen Rüstungsindustrie an

15. Mai 2025, 13:01 Uhr · Quelle: Eulerpool News

Die Hackergruppe Fancy Bear hat Ziele in der Rüstungsindustrie in Bulgarien, Rumänien und der Ukraine angegriffen, um Cyberangriffe und Desinformation durchzuführen. Die Kampagne 'Operation RoundPress' nutzte Sicherheitslücken in Webmail-Software, um Zugangs- und E-Mail-Daten zu stehlen und die Zwei-Faktor-Authentifizierung zu umgehen.

Die berüchtigte Hackergruppe Fancy Bear, auch bekannt als Sednit oder APT28, hat nun erneut mit einer gezielten Angriffsserie von sich reden gemacht. Laut einer umfangreichen Analyse des slowakischen IT-Sicherheitsunternehmens Eset, das seinen Sitz in Bratislava hat, haben die Cyberangriffe vor allem Hersteller von sowjetischer Waffentechnik in Ländern wie Bulgarien, Rumänien und der Ukraine ins Visier genommen. Diese Unternehmen sind entscheidend am Verteidigungskampf gegen die russische Invasion beteiligt.

Zudem waren auch Rüstungsfirmen in Afrika und Südamerika Ziele der Attacken. Die Hackergruppe Fancy Bear ist kein Unbekannter auf der globalen Bühne und wird von Experten als Teil einer umfassenderen Strategie russischer Geheimdienste betrachtet. Diese Strategie nutzt Cyberangriffe zur politischen Beeinflussung und Destabilisierung. Neben der reinen Spionage sollen auch Desinformationskampagnen gegen westliche Demokratien eine Rolle spielen.

Bei der Kampagne, die den Namen 'Operation RoundPress' trägt, zielten die Angreifer auf Sicherheitslücken in verbreiteter Webmail-Software, darunter Programme wie Roundcube, Zimbra, Horde und MDaemon. Durch gezielte Manipulation konnten die Hacker Attacken durchführen, die von vielen Spamfiltern unentdeckt blieben. Besonders tückisch: Bereits das Anzeigen einer infizierten E-Mail im Browser reicht aus, um den versteckten Schadcode zu aktivieren.

Ein besonderes Augenmerk der Angreifer galt dabei dem Umgehen der Zwei-Faktor-Authentifizierung (2FA), einem Sicherheitsverfahren, das eigentlich den Zugriff auf sensible Daten durch einen doppelten Nachweis sicherstellen sollte. Eset konnte die Schadsoftware 'SpyPress.MDAEMON' identifizieren, die nicht nur Zugangsdaten auslesen und E-Mails verfolgen kann, sondern auch in der Lage ist, die 2FA zu umgehen. Dies gelang den Hackern unter anderem durch den Einsatz sogenannter Anwendungspasswörter.

Die Sicherheitsanalysen verdeutlichen, wie entscheidend eine regelmäßige Wartung und Aktualisierung von Software ist, um solch schweren Sicherheitsverletzungen vorzubeugen. Eset-Forscher Matthieu Faou kommentierte, dass viele betroffene Unternehmen veraltete Webmail-Server betreiben, was das Risiko erheblich erhöhe.

Technology
[Eulerpool News] · 15.05.2025 · 13:01 Uhr
[0 Kommentare]