Die digitale Kriegsführung hat mit der Verbreitung von DarkWatchman und Sheriff Malware in Russland und der Ukraine eine neue Stufe erreicht. Diese Malware-Familien spiegeln die Komplexität und Raffinesse wider, die moderne Angreifer bei der Umsetzung von Cyberangriffen an den Tag legen, indem sie Nationen-Grade-Techniken verwenden und gezielt kritische Infrastrukturen ins Visier nehmen. Im Zentrum dieser Angriffe stehen sowohl wirtschaftliche als auch sicherheitspolitisch relevante Sektoren. DarkWatchman wird seit Ende 2021 beobachtet und gilt als ein anspruchsvoller Remote Access Trojaner, der auf JavaScript basiert und mit einem in C# geschriebenen Keylogger ausgestattet ist. Die Malware ist wegen ihrer fileless Natur besonders schwer zu entdecken und zeichnet sich durch die Fähigkeit aus, Spuren auf kompromittierten Systemen zu verwischen.
Dies unterstreicht die gehobene technische Versiertheit der Angreifer und zeigt, dass es sich hier um keine einfachen Cyberkriminellen handelt, sondern um Akteure, die gezielt und mit großem Aufwand vorgehen. Die Attacken mit DarkWatchman erfolgten bisher vor allem über großangelegte Phishing-Kampagnen, die Mitarbeiter in vielfältigen Branchen Frankreichs, Russlands, SDK, der Ukraine und weiterer angrenzender Staaten ansprechen. Zielgruppen sind unter anderem Unternehmen aus Medien, Tourismus, Finanzdienstleistungen, Energie, Telekommunikation und dem Transportwesen. Diese breitgefächerte Auswahl an Branchen weist auf eine gut koordinierte und strategisch ausgerichtete Kampagne hin, die nicht nur der Sabotage, sondern auch der Ausspähung dient. Die Hackergruppe Hive0117 wird für diese Attacken verantwortlich gemacht, wie von Experten der IBM X-Force berichtet wurde.
Ihr Vorgehen erstreckt sich über mehrere Jahre und verschiedene Regionen, darunter auch die baltischen Staaten. Gemeinsam ist den Attacken eine stetige Weiterentwicklung der eingesetzten Malware, um Entdeckung und Abwehrmechanismen zu umgehen. DarkWatchman ist beispielsweise in der Lage, sekundäre Payloads nachzuladen, wodurch sich neue Funktionen nach Bedarf integrieren lassen. Besonders hervorzuheben ist der Einsatz von passwortgeschützten Archivdateien, die über Phishing-E-Mails verschickt werden. Diese Methode dient dazu, Sicherheitsmechanismen wie E-Mail-Scanner zu umgehen und den Nutzer zum eigenhändigen Entpacken und Ausführen der Schadsoftware zu verleiten.
Die letzteren Kampagnen haben wiederholt auf Täuschungsversuche mit Logistik- und Kurierdienst-bezogenen Lockmitteln gesetzt, um Mitarbeiter in Energie- und Handelsunternehmen zur Öffnung der Dateien zu bewegen. Parallel dazu tauchte in der Ukraine eine neue Bedrohung auf: die sogenannte Sheriff Backdoor. Diese bislang unbekannte Malware wurde erstmals 2024 entdeckt und zielt auf das Verteidigungswesen der Ukraine ab. Ein bemerkenswerter Punkt bei Sheriff ist die Nutzung eines weithin genutzten und als vertrauenswürdig eingestuften ukrainischen Nachrichtenportals als Hosting-Plattform für die Schadsoftware. Durch diese Strategie können Angreifer ihr Schadprogramm auf einer legitimen Webseite verstecken, was die Auffindbarkeit drastisch erschwert und die Wahrscheinlichkeit erhöht, dass die Malware unentdeckt bleibt.
Sheriff verfügt über eine modulare Architektur, die es ermöglicht, verschiedene Funktionen einzuspielen und flexibel an die Anforderungen der Betreiber angepasst zu werden. Zu den bekannten Modulen gehören das Sammeln von Screenshots, die Erfassung von Systeminformationen und das heimliche Übertragen der gesammelten Daten an Cloud-Speicher, konkret an die Dropbox-API. Die Malware ist außerdem in der Lage, mehrere Komponenten über spezielle ZIP-Kommentare zu konfigurieren, was erneut eine hohe Komplexität und bewusste Verschleierung der Kommunikation begründet. Eine weitere Besonderheit von Sheriff ist seine „Suizid“-Funktion, die es dem Angreifer erlaubt, sämtliche Spuren der Infektion zu beseitigen, indem die Malware und die zugehörigen Verzeichnisse automatisiert gelöscht werden. Dieses Merkmal zeigt deutlich die Absicht, kompromittierte Systeme langfristig zu steuern, jedoch bei drohender Entdeckung schnell zu verschwinden und Nachverfolgungen zu erschweren.
Ermittlungen und Analysen deuten ferner auf Verbindungen zu anderen bekannten russischen Advanced Persistent Threats (APT) hin, insbesondere den Gruppen Turla und Bad Magic, die ebenfalls für ausgefeilte Spionage- und Sabotageoperationen weltweit bekannt sind. Diese Überschneidungen lassen den Schluss zu, dass hinter Sheriff ebenfalls staatlich entsandte oder zumindest hochprofessionelle Organisationen stehen, die gezielt sicherheitsrelevante Zusammenhänge überwachen und beeinflussen wollen. Die zunehmende Anzahl an Cybervorfällen in der Ukraine unterstreicht die erhöhte Gefahrenlage. Laut Berichten der ukrainischen Staatsbehörde für spezielle Kommunikation und Informationsschutz (SSSCIP) hat sich die Zahl der registrierten Cyberzwischenfälle im Jahr 2024 im Vergleich zu den Vorjahren nahezu verdoppelt. Interessanterweise ist jedoch die Menge an kritischen und hochgefährlichen Vorfällen zurückgegangen, was auf eine verbesserte Abwehr und frühzeitige Erkennung schließen lässt.
Die russischen Hackergruppen setzen zunehmend auf Automatisierung und nutzen verstärkt Supply-Chain-Angriffe über Software-Lieferanten als Einfallstor. Somit wird die Cyberkriegsführung nicht nur durch direkte Attacken auf Endnutzer und Infrastrukturen geführt, sondern auch durch infiltrierte Zwischenglieder, die es ermöglichen, tief in komplexe Unternehmensnetzwerke einzudringen. Die Kombination von Spionage- und Sabotage-Taktiken zeigt die Doppelstrategie und hohe Zielstrebigkeit genau jener Akteure, die sich auf eine Verschmelzung militärischer und wirtschaftlicher Kriegsführung verstehen. Außerdem ist das Ziel vieler Angriffskampagnen die Sammlung von Daten, die die Lage an der Frontlinie beeinflussen können. Dazu gehören vor allem Systeme zur Situationsaufklärung und spezialisierte Unternehmen im Verteidigungssektor.
Das verdeutlicht, dass es sich nicht um reine Cyberkriminalität zum schnellen Profit handelt, sondern um Teil geopolitischer Auseinandersetzungen im digitalen Raum. Insgesamt bilden DarkWatchman und Sheriff Malware damit sowohl eine technische als auch politische Herausforderung. Die Malware-Kampagnen demonstrieren die immer weiter wachsende Bedeutung von Cybersicherheit für Staaten und Unternehmen, insbesondere in geopolitisch sensiblen Regionen. Die angegriffenen Industrien können sich nicht allein auf klassische Sicherheitsmaßnahmen verlassen, sondern brauchen adaptive und ganzheitliche Konzepte, die auch den Schutz vor fileless Malware, Phishing mit ausgefeilten Social Engineering-Methoden sowie das Monitoring von Supply-Chain-Risiken einschließen. Im Bereich der Verteidigung und nationalen Sicherheit müssen Infrastrukturbetreiber mit internationaler Kooperation und modernsten Technologien auf Cyberbedrohungen reagieren.
Gleichzeitig zeigt der Fall Sheriff, wie wichtig es ist, die Integrität vertrauenswürdiger Domains und Webseiten dauerhaft zu überwachen, um Missbrauch als Malware-Basis zu verhindern. Die strategische Dimension dieser Malware-Operationen belegt, dass digitale Angriffe mittlerweile integraler Bestandteil hybrider Konflikte sind. Die Entwicklung und Verbreitung solcher Schadsoftware führt dazu, dass Sicherheitsverantwortliche und Entscheidungsträger die Herausforderungen der Cyberverteidigung auf mehreren Ebenen bewältigen müssen. Neben technischen Lösungen sind es vor allem proaktive Aufklärung, Sensibilisierung der Nutzer und robuste internationale Zusammenarbeit, die es erlauben, derartige Bedrohungen einzudämmen. Abschließend lässt sich sagen, dass DarkWatchman und Sheriff Malware beispielhaft für die Evolution der Cyberangriffe stehen.
Sie erläutern die immer raffinierteren Methoden, die gegen zivile und militärische Einrichtungen eingesetzt werden, und fordern von der globalen Gemeinschaft ein gemeinsames Verständnis und koordinierte Gegenmaßnahmen, um digitale Souveränität und Sicherheit zu gewährleisten.
