Seit 2022 beobachtet die internationale Cybersecurity-Community eine zunehmende Aktivität russischer Hacker, die gezielte Angriffe auf Unternehmen und Organisationen ausführen, welche an der Logistik und dem Transport von Hilfsgütern für die Ukraine beteiligt sind. Insbesondere die Hackergruppe, bekannt unter den Namen APT28, BlueDelta, Fancy Bear oder Forest Blizzard, wird für diese ausgefeilten Cyber-Espionageaktionen verantwortlich gemacht. Diese Gruppe steht in Verbindung mit dem russischen Militärgeheimdienst GRU, speziell mit der 85. Hauptabtteilung des Nachrichtendienstes, der formal als Militäreinheit 26165 geführt wird. Der Fokus ihrer Angriffe liegt auf westlichen Logistik- und Technologieunternehmen sowie auf Organisationen, die die militärische und humanitäre Unterstützung für die Ukraine koordinieren und durchführen.
Die Bandbreite der Ziele ist breit gefächert und umfasst Firmen aus verschiedenen NATO-Mitgliedsstaaten, darunter Deutschland, Frankreich, Polen, die Niederlande, Großbritannien und die Vereinigten Staaten. Auch Länder wie Bulgarien, Griechenland, Italien, Moldawien, Rumänien und die Slowakei wurden als Opfer dieser Angriffe identifiziert. Die Angriffsmethoden der Gruppe sind vielfältig und hochentwickelt. Dabei kommen klassische Techniken wie „Brute-Force“-Anmeldungen zum Einsatz, mit denen Passwörter durch automatisiertes Ausprobieren erraten werden. Ebenso werden sogenannte Spear-Phishing-Kampagnen durchgeführt, bei denen gezielt ausgewählte Personen durch gefälschte E-Mails und manipulierte Login-Seiten getäuscht werden, um deren Zugangsdaten abzugreifen.
Die Phishing-Seiten ahmen oft bekannte Regierungsseiten oder etablierte Cloud-E-Mail-Anbieter nach und werden auf kostenfreien Drittanbieter-Plattformen oder kompromittierten Heimnetzwerkgeräten erstellt, um versteckt und schwer nachvollziehbar zu bleiben. Ein weiterer Angriffsvektor ist die Ausnutzung spezifischer Schwachstellen in weitverbreiteten Softwarelösungen. So wurden unter anderem Sicherheitslücken in Microsoft Outlook und mehreren Open-Source-Webmail-Diensten wie Roundcube, Horde, MDaemon und Zimbra gezielt ausgenutzt, um Zugang zu sensiblen E-Mail-Konten zu erlangen. Diese Schwachstellen ermöglichen nicht nur den unautorisierten Zugriff auf E-Mail-Kommunikation, sondern auch die Manipulation von Mailbox-Berechtigungen, um eine dauerhafte Überwachung sicherzustellen. Die Hacker können so langfristig E-Mails abfangen, verschicken oder deren Inhalte verändern, ohne dass die Betroffenen es direkt bemerken.
Neben E-Mail-Systemen liegen auch VPN-Infrastrukturen im Fokus der Angreifer. Die virtuelle private Netzwerkverbindungen werden häufig genutzt, um entfernten Mitarbeitern eine sichere Verbindung zum Firmennetzwerk zu ermöglichen. Hier setzen die russischen Hacker auf bekannte öffentlich gemachte Schwachstellen und SQL-Injection-Techniken, um sich in die VPN-Gateways einzuschleusen. Einmal erfolgreich eingedrungen, öffnen sich weitere Möglichkeiten zur Seitwärtsbewegung im Netzwerk, sodass angrenzende Systeme durch den Einsatz von Tools wie Impacket, PsExec und Remote Desktop Protocol (RDP) kompromittiert werden können. Nach der Erstinfizierung folgt eine ausführliche Aufklärung, bei der wichtige Ansprechpartner und Koordinationsstellen für den Transport der Hilfsgüter identifiziert werden.
Diese Informationen ermöglichen es den Angreifern, logistische Abläufe zu überwachen, um gezielt Einfluss zu nehmen oder Daten an Russland weiterzuleiten. Anspruchsvoll ist auch die Nutzung spezieller Malware durch die russischen Cyberkriminellen. Malware-Familien wie HeadLace und MASEPIE dienen in diesem Zusammenhang zur Etablierung von Persistenz auf kompromittierten Systemen und zur Sammlung vertraulicher Informationen. Bemerkenswert ist, dass andere schädliche Programme, die in früheren Operationen verwendet wurden, derzeit nicht für Angriffe auf die Logistik- oder IT-Sektoren nachgewiesen wurden, was auf eine gezielte Anpassung der Attacken hinweist. Die Datenextraktion erfolgt häufig in verschlüsselten ZIP-Archiven, die per PowerShell-Skripten erzeugt und dann über verschiedene Kanäle, darunter Exchange Web Services (EWS) und das Internet Message Access Protocol (IMAP), an Kontrollserver der Angreifer geschickt werden.
Diese Vorgehensweise erschwert die Entdeckung und Analyse der Kommunikationsströme. Darüber hinaus richten sich die Überwachungen nicht nur auf digitale Infrastrukturen, sondern auch auf physische Beobachtungspunkte wie internetfähige Kameras an ukrainischen Grenzübergängen. Die ständige Überwachung solcher Grenzstellen erlaubt es den Russen, die Bewegungen von Hilfslieferungen und Truppen zu verfolgen und damit auf strategischer Ebene zu reagieren. Die internationale Gemeinschaft, vertreten durch Sicherheitsbehörden aus Staaten wie Australien, Kanada, Tschechien, Dänemark, Estland, Frankreich, Deutschland, den Niederlanden, Polen, Großbritannien und den USA, veröffentlichte eine gemeinsame Warnung bezüglich dieser Aktivitäten. Die Behörden betonen die erhebliche Gefahr, die von diesen gezielten Cyberangriffen für die organisationale Sicherheit und die internationale Unterstützung der Ukraine ausgeht.
Der britische National Cyber Security Centre (NCSC) äußerte sich besorgt über die Relevanz dieser Kampagne und unterstrich die Bedeutung gemeinsamer Schutzmaßnahmen und der Sensibilisierung aller betroffenen Akteure. Auch im Verlauf der vergangenen Monate gab es weitere Berichte über ähnliche Cyberangriffe durch APT28, einschließlich Operation RoundPress, die seit 2023 aktiv ist. Dabei wurden verschiedene Webmail-Dienste aufgrund von Cross-Site-Scripting-Schwachstellen angegriffen, um Regierungsbehörden, Verteidigungsunternehmen und andere strategische Einrichtungen in Europa, Afrika und Südamerika auszuspähen. Diese Überlappungen in den Angriffsmustern zeigen die hohe Professionalität und die sich ständig weiterentwickelnde Vorgehensweise der russischen Hackergruppe. Angesichts dieser bedrohlichen Lage haben viele betroffene Organisationen ihre Sicherheitsmaßnahmen verstärkt.
Dazu gehören unter anderem die Einführung von Mehr-Faktor-Authentifizierung, regelmäßige Sicherheitsüberprüfungen, Updates und Patches für kritische Systeme sowie eine verbesserte Schulung der Mitarbeiter im Umgang mit Phishing-Mails und Social-Engineering-Angriffen. Zudem empfiehlt sich ein engmaschiges Monitoring der Netzwerke, um unautorisierte Aktivitäten frühzeitig zu erkennen und abzuwehren. Die gezielte Ausnutzung von Schwachstellen in E-Mail-Plattformen und VPN-Strukturen verdeutlicht einmal mehr, wie wichtig eine ganzheitliche Cybersecurity-Strategie für Unternehmen und Staaten ist. Vor allem Organisationen, die in sensiblen Bereichen tätig sind und internationale Hilfe leisten, stehen im Fokus von hochprofessionellen Cyberangriffen. Die kontinuierliche Zusammenarbeit zwischen internationalen Sicherheitsbehörden und privaten Unternehmen ist entscheidend, um neue Bedrohungen aufzudecken und wirksame Gegenmaßnahmen zu entwickeln.
Parallel dazu bleibt die politische Dimension nicht außer Acht, da solche Cyberangriffe nicht nur technologische, sondern auch strategische und geopolitische Auswirkungen haben. Angesichts der kontinuierlichen Eskalation des Konflikts in der Ukraine wird auch die digitale Kriegsführung zunehmend zum wichtigen Schauplatz. Russische Cyberattacken auf Logistik- und Technologieketten zielen darauf ab, den Nachschub für ukrainische Streitkräfte zu behindern und die Stabilität westlicher Unterstützung zu untergraben. Die dynamische Bedrohungslage erfordert daher eine erhöhte Wachsamkeit und permanente Anpassungen auf technischer, organisatorischer und internationaler Ebene, um die Sicherheit der kritischen Infrastrukturen zu gewährleisten und den Einsatz von Cyberkriminalität als Werkzeug moderner Konflikte einzudämmen. In der heutigen vernetzten Welt zeigt sich einmal mehr, wie Cybersecurity zu einem integralen Bestandteil der nationalen Sicherheit geworden ist.
Mit der Weiterentwicklung der Angriffsmethoden steigt auch der Druck auf Unternehmen und Regierungen, proaktive Schutzmaßnahmen zu implementieren und Informationsaustausch unter Partnern zu intensivieren. Russland nutzt gezielt bekannte Schwachstellen aus und passt seine Taktiken an aktuelle Entwicklungen an, was die Bedrohungslage äußerst komplex gestaltet. Es bleibt zu hoffen, dass die Kombination aus technischer Innovation, politischem Willen und internationaler Kooperation dazu beiträgt, den Einfluss solcher Cyberkampagnen einzudämmen und die Sicherheit in einem zunehmend digitalisierten Konfliktumfeld zu stärken.
