Hackergruppe greift Ukraine und NATO-Länder an

Im Zuge der Forschung wurde auch entdeckt, dass NATO-Länder wie Bulgarien, Lettland, Litauen und Polen angegriffen wurden – allerdings erfolglos. Garmaredon arbeitet nach Einschätzung der ESET-Experten auch mit der APT-Gruppe InvisiMole zusammen, die hauptsächlich für gezielte Angriffe auf hochrangige Organisationen in Osteuropa bekannt ist.

Gamaredon ist seit 2013 aktiv und wird vom ukrainischen Sicherheitsdienst dem russischen Geheimdienst FSB zugeordnet. Die Hacker führen gezielte Cyberangriffe hauptsächlich gegen ukrainische Regierungsinstitutionen durch. 2023 hat die Gruppe ihre Fähigkeiten deutlich verbessert und neue Werkzeuge zur Datenspionage entwickelt. Diese Tools konzentrieren sich auf das Stehlen sensibler Informationen aus E-Mail-Programmen, Messaging-Apps wie Signal und Telegram sowie Webbrowsern.

Die Hackergruppe Gamaredon verwendet hauptsächlich zwei Methoden, um ihre Opfer auszutricksen und in ihre Systeme einzudringen:

Spear-Phishing-Kampagnen: Gamaredon führt gezielte Phishing-Angriffe durch, bei denen sie maßgeschneiderte E-Mails an ausgewählte Personen oder Organisationen senden. Diese E-Mails enthalten oft täuschend echt aussehende Informationen, die das Vertrauen des Empfängers gewinnen sollen. Das Ziel ist es, den Empfänger dazu zu bringen, auf einen schädlichen Link zu klicken oder einen infizierten Anhang zu öffnen.

Infizierte Dokumente und USB-Laufwerke: Nach dem ersten Zugriff auf ein System nutzt Gamaredon benutzerdefinierte Malware, um Word-Dokumente und USB-Laufwerke zu "bewaffnen". Diese infizierten Dateien und Geräte werden dann oft unwissentlich von den ursprünglichen Opfern an weitere potenzielle Ziele weitergegeben. Dadurch kann sich die Infektion in Netzwerken und Organisationen ausbreiten.

Diese Taktiken sind besonders effektiv, da sie auf menschliche Schwachstellen wie Vertrauen und Routine setzen. Opfer werden oft getäuscht, indem sie glauben, sie öffnen legitime Dokumente oder verwenden sichere USB-Laufwerke. Die Gruppe nutzt dabei gezielt das Wissen über ihre Opfer aus, um die Angriffe möglichst überzeugend zu gestalten.

Besonders besorgniserregend ist die Entdeckung der Schadsoftware "PteroBleed", die speziell auf ukrainische Militärsysteme und den Webmail-Dienst einer ukrainischen Regierungsbehörde abzielt. ESET-Forscher beobachteten auch vereinzelte Angriffsversuche auf Ziele in NATO-Ländern wie Bulgarien, Lettland, Litauen und Polen, wobei bisher keine erfolgreichen Einbrüche festgestellt wurden.

Im Gegensatz zu vielen anderen Hackergruppen agiert Gamaredon auffällig und rücksichtslos. Die Gruppe aktualisiert und verschleiert ihre Werkzeuge häufig, wechselt schnell zwischen Serveradressen und Domänen und setzt gleichzeitig mehrere einfache Schadprogramme ein, um den Zugriff aufrechtzuerhalten. Trotz der relativen Einfachheit ihrer einzelnen Tools macht diese aggressive Vorgehensweise Gamaredon zu einer erheblichen Bedrohung.

ESET-Forscher Zoltán Rusnák erklärt: "Gamaredon versucht erst gar nicht, unentdeckt zu bleiben. Die mangelnde Raffinesse der Gamaredon-Tools werden durch häufige Updates und wechselnde Verschleierungstechniken kompensiert, um Sicherheitsmaßnahmen zu umgehen. Die Gruppe verwendet mehrere einfache Downloader oder Backdoors gleichzeitig, um den Zugriff auf kompromittierte Systeme zu sichern."

Angesichts des anhaltenden Konflikts in der Region erwartet ESET, dass Gamaredon seinen Fokus auf die Ukraine beibehalten wird. Um sich vor solchen Cyberangriffen zu schützen, empfehlen Experten die regelmäßige Aktualisierung von Betriebssystemen und Sicherheitssoftware, Vorsicht beim Öffnen von E-Mail-Anhängen und Links sowie die Verwendung starker, einzigartiger Passwörter und Zwei-Faktor-Authentifizierung.