Die russischen Hacker hinter der SolarWinds-Kampagne haben Informationen aus Ministerien und diplomatischen Einrichtungen der EU- und NATO-Staaten extrahiert, teilten das polnische Militär und das nationale CERT am Donnerstag mit.
Die Kampagne, die laut einer Regierungserklärung noch andauert, nutzte E-Mails, die sich als Botschaften europäischer Länder ausgaben, um Mitarbeiter auf diplomatischen Posten anzusprechen.
„Das Ziel der Veröffentlichung des Advisory ist es, die laufende Spionagekampagne zu stören, zusätzliche Kosten für Operationen gegen verbündete Nationen aufzuerlegen und die Erkennung, Analyse und Verfolgung der Aktivitäten durch betroffene Parteien und die gesamte Cybersicherheitsbranche zu ermöglichen“, heißt es in der Erklärung.
Im Textkörper der Nachricht oder in einem angehängten PDF würde eine Einladung zu einem Meeting einen Link öffnen, der den Empfänger zu einer herunterladbaren Datei oder zum Kalender des Botschafters weiterleitet, der ihn dann mit Malware infiziert.
Viele der in der Kampagne beobachteten Elemente, einschließlich der verwendeten Techniken und Tools, überschneiden sich mit Aktivitäten, die in der Vergangenheit von Microsoft als russische Gruppe „NOBELIUM“ und von Mandiant als „APT29“ beschrieben wurden, die für den betroffenen SolarWinds-Angriff verantwortlich waren Tausende von Systemen und Kunden auf globaler Ebene.
Janusz Cieszyński, der Bevollmächtigte der polnischen Regierung für Cybersicherheit, sagte gegenüber POLITICO, er sei sehr beeindruckt von der Spionageabwehr des CERT und des Militärs.