Raffinerie & mehr: Kreml-Hacker greifen Firmen in NATO-Staaten an

Eine der aktivsten Hacker-Gruppen, die in enger Verbindung mit der russischen Regierung stehen, hat ihre ursprünglichen Aktivitäten gegen die Ukraine nun zunehmend auch auf NATO-Staaten ausgeweitet. Im Visier stand unter anderem eine Erdölraffinerie. Die fragliche Gruppe ist unter verschiedenen Bezeichnungen wie Trident Ursa, Gamaredon, UAC-0010, Primitive Bear und Shuckworm bekannt. Der ukrainische Geheimdienst führt sie als direkten Bestandteil der russischen Geheimdienste, allerdings ist auch gut möglich, dass es sich um eine unabhängige Gruppe handelt, die aber Gelder und andere Unterstützung aus dem Kreml erhält.

Die Unit 42-Sparte des Security-Unternehmens Palo Alto Networks beobachtet Trident Ursa bereits seit einiger Zeit und verzeichnete in den ersten Monaten nach dem Überfall Russlands auf das gesamte Gebiet der Ukraine vor allem Attacken auf ukrainische Ziele, wie das US-Magazin BleepingComputer berichtet. Dabei geht es vor allem um sogenannte Spear-Phishing-Attacken, bei denen die Angreifer sich gezielt das Vertrauen von Angestellten bestimmter Unternehmen erschleichen wollen, um darauf aufbauend Informationen zu stehlen.

Einfach, aber effektiv

Während die Köder-Nachrichten hier vor allem in ukrainischer Sprache verfasst waren, wurden inzwischen auch diverse englische Mitteilungen entdeckt. Mit den Ersten soll Trident Ursa schon zum Ende des Sommers versucht haben, Zugang zu einem Raffinerie-Betreiber in einem NATO-Mitgliedsstaat zu erhalten. Seitdem wurden noch viele weitere E-Mails abgefangen, mit denen man gezielt versuchte, Malware in diverse Firmennetze zu schleusen.

"Wir gehen davon aus, dass diese Samples darauf hindeuten, dass Trident Ursa versucht, die Sammlung von Informationen und den Netzwerkzugang gegen ukrainische und NATO-Verbündete zu verbessern", schreiben die Forscher der Unit 42. Die Hacking-Techniken von Trident Ursa seien einfach, aber effektiv. Die Gruppe nutzt mehrere Möglichkeiten, um die IP-Adressen und andere Signaturen ihrer Infrastruktur zu verbergen, Phishing-Dokumente mit niedrigen Erkennungsraten bei Anti-Phishing-Diensten sowie bösartige HTML- und Word-Dokumente.

Die Operationen dieser Gruppe werden regelmäßig von Forschern und Regierungsorganisationen aufgedeckt, doch das scheint sie nicht zu kümmern. Sie fügen einfach zusätzliche Verschleierungen, neue Domänen und neue Techniken hinzu und versuchen es erneut - oft sogar unter Wiederverwendung früherer Muster. Trident Ursa operiert auf diese Weise seit mindestens 2014 und allein die hohe Schlagzahl dürfte dafür sorgen, dass es immer wieder auch erfolgreiche Attacken gibt.

Siehe auch: