Fancy Bear attackiert Unternehmen mit sowjetischer Waffentechnik über manipulierte Webmail-Software
Die berüchtigte russische Hackergruppe Fancy Bear auch bekannt unter Namen wie APT28, Sednit oder Strontium, hat gezielte Cyberangriffe auf Rüstungsunternehmen durchgeführt, die Waffen an die Ukraine liefern. Das geht aus einer aktuellen Analyse des slowakischen IT-Sicherheitsunternehmens ESET hervor. Die Angriffe betrafen insbesondere Hersteller sowjetischer Militärtechnik in der Ukraine, Bulgarien und Rumänien. Auch Betriebe in Afrika und Südamerika gerieten ins Visier.
Fancy Bear ist seit Jahren für groß angelegte Spionagekampagnen bekannt und gilt als Werkzeug russischer Nachrichtendienste. Die Gruppe war unter anderem verantwortlich für den Angriff auf den Deutschen Bundestag 2015, auf Hillary Clinton im US-Wahlkampf 2016 und auf die SPD-Zentrale 2023. Ihr Ziel: Informationen stehlen, Desinformation verbreiten und geopolitische Destabilisierung betreiben.
Angriffsziel: Veraltete Webmail-Systeme
Im Rahmen der Kampagne „Operation RoundPress“ nutzte die Hackergruppe bekannte Schwachstellen in populärer Webmail-Software aus, darunter Roundcube, Horde, Zimbra und MDaemon. In vielen Fällen hätten regelmäßige Sicherheitsupdates die Lücken schließen können. In mindestens einem Fall wurde jedoch eine bis dato unbekannte Sicherheitslücke in MDaemon ausgenutzt, gegen die es zunächst keinen Patch gab.
Der Angriff erfolgte meist über manipulierte E-Mails, die als seriöse Nachrichtenmeldungen getarnt waren, etwa von bekannten Medien wie der Kyiv Post oder News.bg. Sobald die E-Mail im Browser geöffnet wurde, aktivierte sich versteckter Schadcode ohne jeglichen Klick. Spamfilter konnten diese präparierten Nachrichten nicht abwehren.
2FA überwunden: Schadsoftware im Einsatz
Die ESET-Forscher identifizierten die eingesetzte Schadsoftware unter dem Namen „SpyPress.MDAEMON“. Diese Malware ist in der Lage, E-Mail-Konten umfassend zu kompromittieren inklusive dem Auslesen von Zugangsdaten und dem Mitlesen von Nachrichten. Besonders alarmierend: In mehreren Fällen wurde auch die Zwei-Faktor-Authentifizierung (2FA) erfolgreich umgangen. Durch sogenannte Anwendungspasswörter gelang es den Angreifern, sich langfristigen Zugriff auf Mail-Postfächer zu sichern.
„Viele Unternehmen betreiben ihre Webmail-Systeme auf veralteter Softwarebasis“, warnt Matthieu Faou von ESET. „Oft reicht es bereits aus, eine manipulierte E-Mail im Browser zu öffnen ohne Klick, damit Schadcode ausgeführt wird.“
Fazit
Der Fall zeigt erneut, wie wichtig regelmäßige Sicherheitsupdates, ein aktuelles Patch-Management und die Absicherung von E-Mail-Systemen sind insbesondere für Unternehmen in sicherheitskritischen Bereichen. Veraltete Infrastruktur ist ein offenes Einfallstor für staatlich unterstützte Cyberakteure wie Fancy Bear.
