Jüngste Cyberangriffe auf diplomatische Institutionen mit Weinverkostungs-Phishing-Ködern wurden mit einer Hackergruppe mit Verbindungen zum russischen Auslandsgeheimdienst (SVR) in Verbindung gebracht, die auch hinter dem Verstoß bei SolarWinds und Microsoft steckte. Es wird angenommen, dass diese Gruppe die Quelle der WINELOADER-Hintertür ist. Laut Mandiant nutzte Midnight Blizzard (auch bekannt als APT29, BlueBravo oder Cozy Bear) die Malware, um Phishing-E-Mails mit dem Emblem der Christlich-Demokratischen Union (CDU) an politische Gruppen in Deutschland zu versenden.
Auswirkungen auf die deutsche Politik
„Dies ist das erste Mal, dass wir sehen, dass dieser APT29-Cluster auf politische Parteien abzielt, was auf einen möglichen Bereich mit neu entstehendem operativen Schwerpunkt hindeutet, der über die typische Ausrichtung auf diplomatische Missionen hinausgeht“, erklärten die Forscher Luke Jenkins und Dan Black. Zscaler ThreatLabz machte WINELOADER diesen Monat ursprünglich als Teil einer Cyberspionageoperation öffentlich, die vermutlich seit mindestens Juli 2023 läuft. Als Ursache der Aktivität wurde ein Cluster namens SPIKED WINE identifiziert. Phishing-E-Mails, die als Einladungen zu Dinnerpartys getarnt sind, werden von Angriffsketten verwendet, um Opfer dazu zu verleiten, auf einen gefälschten Link zu klicken und eine schädliche HTML-Anwendungsdatei (HTA) herunterzuladen. Dieser Dropper der ersten Stufe mit dem Namen ROOT SAW (auch bekannt als EnvyScout) dient als Kanal für die Lieferung von WINELOADER von einem Remote-Server. „Das deutschsprachige Lockdokument enthält einen Phishing-Link, der Opfer zu einer schädlichen ZIP-Datei mit einem ROOTSAW-Dropper führt, der auf einer von Akteuren kontrollierten kompromittierten Website gehostet wird“, erklärten die Ermittler. „ROOTSAW lieferte ein Lockdokument der zweiten Stufe mit CDU-Thema und ein nächstes.“ Bühne WINELOADER Nutzlast.
Eskalierende Spannungen mit Russland
Wenn WINELOADER mit der legitimen Datei „sqldumper.exe“ zum seitlichen Laden von DLLs verwendet wird, stellt es möglicherweise eine Verbindung zu einem vom Akteur kontrollierten Server her und ruft weitere Module zur Ausführung durch die gefährdeten Hosts ab. Es wird angenommen, dass es Gemeinsamkeiten mit bekannten APT29-Malware-Familien wie MUSKYBEAT, BEAT DROP und BURNT BUTTER aufweist, was auf die Aktivität eines einzelnen Erstellers hinweist. Nach Angaben der Google Cloud-Tochtergesellschaft wurde WINELOADER auch bei einer Operation Ende Januar 2024 eingesetzt, die auf diplomatische Institutionen in der Tschechischen Republik, Deutschland, Indien, Italien, Lettland und Peru abzielte. „ROOTSAW ist weiterhin der zentrale Bestandteil der ersten Zugriffsbemühungen von APT29 zur Sammlung ausländischer politischer Informationen“, erklärte das Unternehmen. „Der erweiterte Einsatz der Malware der ersten Stufe auf deutsche politische Parteien stellt eine bemerkenswerte Abkehr vom typischen diplomatischen Fokus dieses APT29-Subclusters dar und spiegelt mit ziemlicher Sicherheit das Interesse des SVR wider, Informationen von politischen Parteien und anderen Aspekten der Zivilgesellschaft zu sammeln, die Moskau voranbringen könnten.“ geopolitische Interessen.“
Herausforderungen und Antworten zur Cybersicherheit
Die Nachricht erfolgt, nachdem deutsche Staatsanwälte einen Militäroffizier, Thomas H., beschuldigt haben, für russische Geheimdienste zu spionieren und sensibles Material offenzulegen, das nicht identifiziert wurde. Ihm werden Spionageverstöße vorgeworfen. Die Festnahme erfolgte im August 2023. Die Bundesanwaltschaft erklärte, dass er sich ab Mai 2023 „mehrmals aus eigener Initiative an das russische Generalkonsulat in Bonn und die russische Botschaft in Berlin gewandt und ihm eine Zusammenarbeit angeboten“ habe. Einmal übermittelte er Informationen, die er im Rahmen seiner beruflichen Tätigkeit erhalten hatte, zur Weiterleitung an einen russischen Geheimdienst. Nach Angaben internationaler Spionageagenturen soll die Organisation unter der Leitung des russischen Außengeheimdienstes Foreign Intelligence Service (FSI) operieren. Laut einer Warnung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) versuchten deutsche Cyberspione, sich langfristig Zugang zu verschaffen und Informationen von deutschen politischen Parteien zu beschaffen.
Die Rolle der Desinformation
Nach Angaben des BSI waren ausländische Kräfte besonders daran interessiert, von den Gesetzgebern Informationen über die bevorstehende Europawahl Anfang Juni zu erhalten. Laut Mandiant-Analyst Dan Black versucht Moskau, die europäische Unterstützung für die Ukraine zu schwächen. Aufgrund der deutschen Hilfe für Kiew bei der Abwehr der russischen Invasion schnüffelt Russland immer mehr nach Kiew. Der russische Geheimdienst erhielt offenbar Informationen, die einem deutschen Soldaten vorgeworfen wurden. Russische Medien veröffentlichten Anfang des Monats eine abgehörte Diskussion, in der Bundeswehroffiziere über Waffenlieferungen an die Ukraine sprachen.
Abschluss
Zusammenfassend lässt sich sagen, dass Deutschland zu den westlichen Ländern gehört, die die Ukraine im Konflikt mit Russland militärisch unterstützt haben. Wladimir Putin, der Präsident Russlands, erklärte im Dezember, dass es in den Beziehungen zwischen Berlin und Moskau nicht viel Bewegung gegeben habe. Im Jahr 2015 verschafften sich Hacker Zugang zu mehreren Computern, unter anderem im Büro von Bundeskanzlerin Angela Merkel, und erbeuteten mehrere Gigabyte an Daten. Dmitry Badin, der Hauptverdächtige des Angriffs und mutmaßliches Mitglied einer Hackergruppe der GRU, war im Mai letzten Jahres Gegenstand eines Haftbefehls der deutschen Bundesanwaltschaft.
