Einer neuen Studie zufolge hat eine von der russischen Regierung unterstützte Hackergruppe das ukrainische Militär mithilfe von Tools und Infrastruktur angegriffen, die von Cyberkriminellen entwickelt wurden.
Am Mittwoch, Microsoft hat einen Bericht veröffentlicht Einzelheiten zu einer Hacking-Kampagne einer Gruppe namens Secret Blizzard, die von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) durchgeführt wurde. sagte vorher „ist mit ziemlicher Sicherheit dem Zentrum 18 des russischen Föderalen Sicherheitsdienstes (FSB) unterstellt“ und wird auch von anderen Sicherheitsunternehmen genannt Der Turm.
Microsoft-Forscher schrieben in dem Bericht, der TechCrunch vor der Veröffentlichung mitgeteilt wurde, dass Secret Blizzard ein Botnetz namens Amadey verwendet habe ist angeblich verkauft in russischen Hackerforen veröffentlicht und von einer Cyberkriminellengruppe entwickelt, um zwischen März und April dieses Jahres zu versuchen, in „Geräte im Zusammenhang mit dem ukrainischen Militär“ einzudringen. Das Unternehmen gibt zwar zu, dass es immer noch untersucht, wie sich Secret Blizzard Zugang zu Amadey verschafft hat, geht jedoch davon aus, dass die Hackergruppe das Botnetz ausgenutzt hat, indem sie es als Malware-as-a-Service bezahlte, oder es gehackt hat.
„Secret Blizzard hat Stützpunkte Dritter genutzt – entweder durch Diebstahl oder heimlichen Zugangserwerb – als spezifische und bewusste Methode, Stützpunkte mit Spionagewert zu errichten“, heißt es in dem Bericht, der das Amadey-Botnetz als einen dieser Dritten bezeichnet.
Eines der Ziele der Hacker war es, einer Entdeckung zu entgehen. Sherrod DeGrippo, Director of Threat Intelligence Strategy bei Microsoft, sagte gegenüber TechCrunch, dass „der Einsatz gängiger Tools es dem Bedrohungsakteur ermöglicht, seinen Ursprung potenziell zu verbergen und die Zuordnung zu erschweren.“
Kontaktieren Sie uns
Haben Sie weitere Informationen über russische Hacker, die es auf die Ukraine abgesehen haben? Oder andere Cyberspionageoperationen? Von einem arbeitsfreien Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram und Keybase @lorenzofb oder kontaktieren E-Mail. Sie können TechCrunch auch über kontaktieren SecureDrop.
Dem Bericht zufolge wird das Amadey-Botnetz typischerweise von Cyberkriminellen genutzt, um einen Kryptominer zu installieren. Microsoft sei zuversichtlich, dass die Hacker hinter Amadey und denen bei Secret Blizzard unterschiedlich seien, sagte DeGrippo.
In dieser Kampagne zielte Secret Blizzard auf Computer der ukrainischen Armee und des ukrainischen Grenzschutzes, sagte DeGrippo gegenüber TechCrunch. Microsoft sagte, diese jüngsten Cyberangriffe seien „mindestens das zweite Mal seit 2022, dass Secret Blizzard eine Cyberkriminalitätskampagne nutzt, um eine Basis für seine eigene Malware in der Ukraine zu schaffen.“
Dem Microsoft-Bericht zufolge zielt Secret Blizzard bekanntermaßen auf „Außenministerien, Botschaften, Regierungsbüros, Verteidigungsministerien und verteidigungsbezogene Unternehmen auf der ganzen Welt“ ab, wobei der Schwerpunkt auf langfristiger Spionage und Informationsbeschaffung liegt.
In diesem Fall war das von Microsoft analysierte Secret Blizzard-Malware-Beispiel darauf ausgelegt, Informationen über das System des Opfers zu sammeln – etwa den Gerätenamen und ggf. installierte Antivirensoftware – als ersten Schritt zur Bereitstellung anderer Malware und Tools.
Laut Microsoft-Forschern hat Secret Blizzard diese Malware auf Geräten eingesetzt, um festzustellen, ob Ziele „von größtem Interesse“ waren. Beispielsweise zielte Secret Blizzard auf Geräte ab StarLinkSpaceX-Satellitendienst, welches vom ukrainischen Militär genutzt wurde bei seinen Einsätzen zur Bekämpfung der einfallenden russischen Streitkräfte.
DeGrippo sagte, das Unternehmen sei zuversichtlich, dass diese Hacking-Kampagne teilweise von Secret Blizzard durchgeführt wurde, weil die Hacker benutzerdefinierte Hintertüren namens Tavdig und KazuarV2 verwendeten, „die noch nie von anderen Gruppen verwendet wurden“.
Letzte Woche, Microsoft und Sicherheitsunternehmen Black Lotus Labor veröffentlichte Berichte, die zeigten, wie Secret Blizzard seit 2022 die Tools und Infrastruktur einer anderen staatlichen Hacking-Gruppe für seine Spionageaktivitäten kooptiert hat. In diesem Fall, so die Recherchen der beiden Unternehmen, hat sich Secret Blizzard einer Hacker-Gruppe aus Pakistan angeschlossen. Basisgruppe für Militär- und Geheimdienstziele in Afghanistan und Indien. Damals wies Microsoft darauf hin, dass Secret Blizzard diese Technik seit 2017 einsetzt, um die Tools und Infrastruktur anderer Hacker auszunutzen, unter anderem in Fällen, in denen Hacker der iranischen Regierung und eine kasachische Hackergruppe beteiligt waren.
Die russische Botschaft in Washington, D.C. und der FSB antworteten nicht auf Anfragen nach Kommentaren.
