Cybersicherheitsforscher haben eine neue Welle von Angriffen auf ukrainische Organisationen identifiziert, die mit dem von Russland unterstützten Hackerkollektiv Sandworm in Verbindung zu stehen scheinen. Nach Erkenntnissen von Symantec und VMware Carbon Black infiltrierten die Angreifer sowohl einen großen Anbieter von Unternehmensdienstleistungen als auch eine lokale Regierungsbehörde und hielten den Zugriff tage- oder sogar monatelang aufrecht, während sie sensible Daten sammelten.
Die Forscher zeigten, dass der erste Angriff ein Unternehmensdienstleistungsunternehmen betraf, bei dem die Bedrohungsakteure mehr als zwei Monate lang unentdeckt blieben. Es wird angenommen, dass sie sich Zugang verschafft haben, indem sie Schwachstellen auf öffentlich zugänglichen Servern ausnutzten und Web-Shells installierten, um einen dauerhaften Zugriff zu etablieren. Sobald sie sich im Inneren befanden, verließen sie sich stark auf integrierte Verwaltungstools, eine Methode, die es Angreifern ermöglicht, sich durch Netzwerke zu bewegen, ohne offensichtliche Spuren von Malware zu hinterlassen.
Eine der entdeckten Web-Shells, bekannt als LocalOlive, wurde mit früheren Operationen in Verbindung gebracht, die Sandworm zugeschrieben werden. Während die Forscher die direkte Beteiligung der Gruppe noch nicht bestätigt haben, deutet die Überschneidung in den Taktiken und Instrumenten stark auf einen Zusammenhang hin. Sandworm, auch bekannt als APT44, gilt weithin als eine der gefährlichsten russischen Cybereinheiten und wurde mit einigen der zerstörerischsten Operationen in der jüngeren Geschichte der Ukraine in Verbindung gebracht.
Beim zweiten Vorfall haben die Angreifer eine lokale Regierungsbehörde für etwa eine Woche kompromittiert. Obwohl das Eindringen kürzer war, waren die verwendeten Techniken nahezu identisch, was darauf hindeutet, dass derselbe Akteur oder eine mit ihm verbundene Gruppe dafür verantwortlich war. Die Kampagne konzentrierte sich auf das Exfiltrieren von Dateien und das Sammeln von Systemdaten, die spätere Vorgänge unterstützen könnten. Es wurden keine Anzeichen für Datenverschlüsselung oder zerstörerische Malware gefunden, was darauf hindeutet, dass Spionage und nicht Sabotage das Hauptmotiv war.
Das Timing und die Präzision dieser Angriffe sind bemerkenswert, da sie inmitten anhaltender geopolitischer Spannungen und zunehmender Cyberaktivitäten in ganz Osteuropa stattfinden. Die Ukraine ist nach wie vor eine der am stärksten betroffenen Nationen der Welt, da viele ihrer öffentlichen und privaten Institutionen ständigen digitalen Angriffen ausgesetzt sind. Sandworm, das dem russischen Militärgeheimdienst GRU untersteht, war in der Vergangenheit für mehrere große Angriffe verantwortlich, darunter Störungen des Stromnetzes, Satellitenstörungen und groß angelegte Vorfälle zur Datenlöschung.
Im Gegensatz zu den vorangegangenen Angriffen zeigen die jüngsten Kampagnen einen diskreteren und geduldigeren Ansatz. Anstatt Malware einzusetzen, die den Betrieb sofort stört, verwendeten die Angreifer Methoden, die so konzipiert waren, dass sie über längere Zeiträume unsichtbar blieben. Bei diesem Ansatz, der als Leben vom Land bekannt ist, werden legitime Systemtools verwendet, um böswillige Aktivitäten durchzuführen. Durch die Verschmelzung mit dem normalen administrativen Verhalten können sich die Angreifer durch Systeme bewegen, Berechtigungen ausweiten und Daten exfiltrieren, ohne Standard-Sicherheitswarnungen auszulösen.
Diese Strategieentwicklung unterstreicht eine Verschiebung der operativen Prioritäten von Sandworm. Während frühere Kampagnen darauf abzielten, unmittelbaren und sichtbaren Schaden anzurichten, deuten die aktuellen Operationen darauf hin, dass der Schwerpunkt auf der Sammlung von Informationen und dem langfristigen Zugang liegt. Durch das Sammeln von Anmeldeinformationen und internen Dokumenten können sich die Angreifer auf zukünftige Operationen vorbereiten oder die Informationen für weitere strategische Zwecke nutzen.
Sicherheitsexperten warnen, dass die Auswirkungen dieser Erkenntnisse über die unmittelbaren Opfer hinausgehen. Der Einsatz von heimlichen, persistenten Techniken bedeutet, dass Unternehmen möglicherweise erst lange nach Beginn des Eindringens bemerken, dass sie kompromittiert wurden. Da Angreifer bereits in einem System vorhandene Tools ausnutzen, werden sie von herkömmlicher Antivirensoftware oft nicht erkannt. Aus diesem Grund empfehlen Analysten eine ständige Überwachung der Netzwerkaktivität und verhaltensbasierte Erkennungsmethoden, mit denen ungewöhnliche Muster identifiziert werden können.
Die ukrainischen Cybersicherheitsbehörden haben keine offizielle Erklärung zu den Vorfällen abgegeben, aber der Bericht unterstreicht das anhaltende Risiko sowohl für öffentliche Einrichtungen als auch für private Unternehmen, die im Land tätig sind. Die Wahl der Ziele, Unternehmensdienstleister und lokale Regierungsbehörden, deutet auf ein breiteres Interesse an Zugang zu Verwaltungssystemen hin, die später größere koordinierte Operationen unterstützen könnten.
Das Vorhandensein der LocalOlive-Web-Shell und die Konsistenz der Taktiken, die bei beiden Angriffen angewandt wurden, haben die Forscher zu der Annahme veranlasst, dass diese Eindringlinge Teil einer kontinuierlichen Kampagne und nicht isolierter Ereignisse sind. Die lange Geschichte der Aktivitäten des Sandwurms in der Ukraine untermauert diese Theorie. Die Gruppe wird mit den Angriffen auf das Stromnetz in den Jahren 2015 und 2016 in Verbindung gebracht, bei denen Hunderttausende Ukrainer ohne Strom waren, sowie mit dem NotPetya-Ausbruch im Jahr 2017, der weltweit Schäden in Milliardenhöhe verursachte.
Der Unterschied liegt nun darin, wie leise die Angreifer agieren. Durch die Vermeidung von öffentlichkeitswirksamen Angriffen, die Aufmerksamkeit erregen, erhöhen sie ihre Chancen, den Zugriff auf wertvolle Netzwerke aufrechtzuerhalten. Dieser heimliche Ansatz ermöglicht es ihnen, potenzielle zukünftige Operationen zu beobachten, zu sammeln und sich auf sie vorzubereiten, ohne unmittelbare Vergeltungsmaßnahmen oder Aufdeckungen.
Forscher glauben, dass diese Kampagnen zwei Zwecken dienen können. Sie liefern Geheimdienstinformationen, die Russlands militärische und strategische Planung beeinflussen können, und schaffen gleichzeitig eine Grundlage für mögliche Störangriffe, falls die geopolitischen Bedingungen eskalieren. Die Vermischung von Spionage und Cyberkriegsführung ist nicht neu, aber die sich entwickelnden Methoden von Sandworm zeigen, dass es seine Fähigkeiten mit jeder Operation weiter verfeinert.
Die Abwehr dieser Art von Bedrohung erfordert nicht nur starke technische Maßnahmen, sondern auch ständige Wachsamkeit und Zusammenarbeit zwischen den Organisationen. Experten fordern ukrainische Institutionen und ihre Partner auf, die Zugangskontrollen zu überprüfen, sicherzustellen, dass die Software auf dem neuesten Stand ist, und proaktive Erkennungssysteme einzuführen, die die subtilen Anzeichen unbefugter Aktivitäten erkennen können. Die Fähigkeit, abnormales Systemverhalten und nicht nur bekannte Malware-Signaturen zu identifizieren, ist heute eine der wichtigsten Abwehrmaßnahmen gegen Advanced Persistent Threats.
Der Bericht kommt zu dem Schluss, dass diese Vorfälle ein weiteres Kapitel im anhaltenden Cyberkonflikt um die Ukraine darstellen. Sie dienen auch als Erinnerung daran, dass Cyberkriegsführung nicht immer mit offenen Angriffen oder dramatischen Störungen verbunden ist. Manchmal nimmt sie die Form einer stillen Infiltration und langsamen Datenerfassung an, die eher einen langfristigen strategischen Vorteil als eine unmittelbare Wirkung erzielen sollen.
Die sich entwickelnde Art der Aktivitäten von Sandworm zeigt, dass die Gruppe aktiv, anpassungsfähig und tief in den breiteren Kontext staatlich geförderter Cyberoperationen eingebettet ist. Für die Ukraine und ihre Verbündeten bedeutet dies, dass die Abwehr künftiger Angriffe eine kontinuierliche Verbesserung der Erkennungsfähigkeiten und einen unermüdlichen Fokus auf die Bereitschaft zur Cybersicherheit erfordert.