Enorme Distanz überwunden: Russische Hacker infiltrieren US-Netzwerke

Die berüchtigte russische Hackergruppe ATP28, besser bekannt als Fancy Bear oder Forest Blizzard, hat erneut bewiesen, wie leicht es ist, Sicherheitsbarrieren zu überwinden. Trotz einer Entfernung von mehreren tausend Kilometern gelang es ihnen, durch Drahtlosverbindungen (Wi-Fi) in das Netzwerk eines amerikanischen Unternehmens einzudringen. Der Angriff begann mit der Zielstrebigkeit, angrenzende Gebäude zu infiltrieren, die zwar nicht zum Zielunternehmen gehörten, aber innerhalb dessen WLAN-Reichweite lagen.

Der Sicherheitsvorfall wurde von den Experten von Volexity analysiert, die die Methoden der Hacker als "Nearest Neighbour Attack" klassifizierten. Diese unorthodoxe Herangehensweise lässt sich auf die implementierte Multi-Faktor-Authentifizierung (MFA) des Unternehmens zurückführen. Obwohl die Hacker zunächst durch Password-Spraying an Nutzerdaten gelangten, hielten sie aufgrund der MFA nicht den gewünschten Zugriff auf das Unternehmensnetzwerk – jedoch war das WLAN offen für Angriffe, da hier keine weiteren Authentifizierungsfaktoren abgefragt wurden.

Die Hacker nutzten die gestohlenen Zugangsdaten über das WLAN, um direkt in das interne Netzwerk des Unternehmens einzudringen.

Strategie der Angreifer

Da APT28 zu weit vom Zielunternehmen entfernt agierte, war eine direkte Verbindung per WLAN offenbar unmöglich. Stattdessen richteten die Angreifer ihr Augenmerk auf angrenzende Organisationen, deren Netzwerke sie attackierten, um nach WLAN-fähigen Geräten zu suchen, die das gewünschte Wi-Fi-Signal empfangen konnten. Diese Methodik zeigt, wie tiefgreifend und durchdacht die Angreifer bei der Durchführung ihrer Aktionen.

Die Komplexität des Angriffs führte dazu, dass die Forscher von Volexity ihre Beobachtungen lange Zeit keiner bestimmten Hackergruppe zuordnen konnten. Dennoch fanden sie später Übereinstimmungen mit einem Microsoft-Bericht aus dem April 2024, der die Aktivitäten von APT28 beleuchtet und die Ausnutzung eines bekannten Bugs im Windows Print-Spooler dokumentiert. Dadurch konnten die Forscher erfolgreich die Verbindung zur Hackergruppe herstellen.

Laut Microsoft steht APT28 in Verbindung mit der Einheit 26165 des russischen Militärgeheimdienstes. In Deutschland ist die Gruppe nicht unbekannt; sie wird unter anderem für die Angriffe auf den Deutschen Bundestag, das Kommunikationsnetz der Bundesregierung sowie die Deutsche Flugsicherung verantwortlich gemacht. Die jüngsten Entwicklungen werfen ein besorgniserregendes Licht auf die Cybersicherheitslage und zeigen, dass Unternehmen weltweit wachsam bleiben müssen.

Im weiteren Kontext muss erwähnt werden, dass die zunehmenden Cyberangriffe nicht nur Unternehmen, sondern auch staatliche Institutionen und kritische Infrastrukturen gefährden. Sicherheitsanalysten warnen, dass die Cyberkriegsführung in der heutigen Zeit ein essentielles Element internationaler Spannungen darstellt. Die Frage, wie Unternehmen und Regierungen darauf reagieren werden, bleibt offen und ist von größter Wichtigkeit.