Laut einem am Mittwoch (12. Juli) veröffentlichten Bericht eines Cybersicherheitsunternehmens haben Hacker, die verdächtigt werden, für den russischen Auslandsgeheimdienst zu arbeiten, Dutzende Diplomaten in Botschaften in der Ukraine mit einer gefälschten Gebrauchtwagenanzeige ins Visier genommen, um in ihre Computer einzudringen.
Die weitreichende Spionageaktivität richtete sich gegen Diplomaten, die in mindestens 22 der rund 80 Auslandsvertretungen in der ukrainischen Hauptstadt Kiew arbeiteten, sagten Analysten der Forschungsabteilung Unit 42 von Palo Alto Networks in dem Bericht.
„Die Kampagne begann mit einem harmlosen und legitimen Ereignis“, heißt es in dem Bericht, der zuerst von Reuters veröffentlicht wurde.
„Mitte April 2023 schickte ein Diplomat des polnischen Außenministeriums einen legitimen Flyer per E-Mail an verschiedene Botschaften, in dem er für den Verkauf einer gebrauchten BMW 5er-Limousine in Kiew warb.“
Der polnische Diplomat, der aus Sicherheitsgründen nicht genannt werden wollte, bestätigte die Rolle seiner Werbung bei dem digitalen Eindringen.
Die Hacker, bekannt als APT29 oder „Cozy Bear“, haben diesen Flyer abgefangen und kopiert, ihn mit bösartiger Software eingebettet und ihn dann an Dutzende andere ausländische Diplomaten geschickt, die in Kiew arbeiten, sagte Einheit 42.
„Das Ausmaß dieser im Allgemeinen eng begrenzten und geheimen Advanced Persistent Threat (APT)-Operationen ist atemberaubend“, heißt es in dem Bericht, der ein Akronym verwendet, das häufig zur Beschreibung staatlich unterstützter Cyberspionagegruppen verwendet wird.
Im Jahr 2021 identifizierten US-amerikanische und britische Geheimdienste APT29 als einen Zweig des russischen Auslandsgeheimdienstes SVR. Der SVR antwortete nicht auf eine Anfrage von Reuters nach einem Kommentar zur Hacking-Kampagne.
Im April warnten polnische Spionageabwehr- und Cybersicherheitsbehörden, dass dieselbe Gruppe eine „weitreichende Geheimdienstkampagne“ gegen NATO-Mitgliedstaaten, die Europäische Union und Afrika durchgeführt habe.
Forscher von Unit 42 konnten die gefälschte Autowerbung mit dem SVR in Verbindung bringen, weil die Hacker bestimmte Tools und Techniken wiederverwendeten, die zuvor mit der Spionageagentur in Verbindung gebracht wurden.
„Diplomatische Missionen werden immer ein wertvolles Spionageziel sein“, heißt es im Bericht von Unit 42. „Sechzehn Monate nach Beginn der russischen Invasion in der Ukraine haben Geheimdienstinformationen rund um die Ukraine und alliierte diplomatische Bemühungen mit ziemlicher Sicherheit hohe Priorität für die russische Regierung.“
Gebrauchtwagen
Der polnische Diplomat sagte, er habe die Originalanzeige an verschiedene Botschaften in Kiew geschickt und jemand habe ihn zurückgerufen, weil der Preis „attraktiv“ sei.
„Als ich nachschaute, wurde mir klar, dass sie von einem etwas niedrigeren Preis sprachen“, sagte der Diplomat gegenüber Reuters.
Es stellte sich heraus, dass SVR-Hacker den BMW des Diplomaten in ihrer gefälschten Version der Anzeige zu einem niedrigeren Preis – 7.500 Euro – gelistet hatten, um mehr Menschen zum Herunterladen schädlicher Software zu ermutigen, die ihnen Fernzugriff auf ihre Geräte ermöglichen würde, berichtet Reuters gefunden.
Diese Software, so Unit 42, sei als Fotoalbum des gebrauchten BMW getarnt. Versuche, diese Fotos zu öffnen, hätten den Computer des Ziels infiziert, heißt es in dem Bericht.
Einundzwanzig der 22 Botschaften, die von den Hackern ins Visier genommen und anschließend von Reuters kontaktiert wurden, gaben keinen Kommentar ab. Es war nicht klar, welche Botschaften, wenn überhaupt, kompromittiert worden waren.
Ein Sprecher des US-Außenministeriums sagte, man sei sich der Aktivität bewusst und habe auf Grundlage der Analyse des Direktorats für Cyber- und Technologiesicherheit festgestellt, dass sie keine Auswirkungen auf die Systeme oder Konten des Ministeriums habe.
Das Auto sei noch verfügbar, sagte der polnische Diplomat gegenüber Reuters:
„Ich werde wahrscheinlich versuchen, es in Polen zu verkaufen“, sagte er. „Nach dieser Situation möchte ich keine Probleme mehr haben.“