APT28: Steht auch Deutschland im Ziel russischer Hackergruppierungen?

Im Zuge der US-Wahl wurde hitzig über die Beeinflussung durch Hacker diskutiert. Waren es russische Cyberkriminelle, die sich in die Mailaccounts demokratischer (und potentiell auch republikanischer) Politiker hackten und die Informationen anschließend gezielt verbreiteten? Im Oktober 2016 wurde schließlich ein gemeinsames Statement vom US-Heimatschutzministerium und dem Office of the Director of National Intelligence (ODNI) veröffentlicht, laut dem die US Intelligence Community (USIC) davon überzeugt ist, dass Russland Einfluss auf die Präsidentschaftswahlen nimmt.

Der Auslöser für diese drastischen Anschuldigungen sind die Aktivitäten der staatlich unterstützten russischen Hackergruppierung APT28. Diese Gruppe gilt als der mutmaßliche Täter hinter den Angriffen auf die Welt-Anti-Doping-Agentur (WADA), den französischen Fernsehsender TV5 Monde, die demokratische Partei der USA, den deutschen Bundestag oder auf die CDU. Doch was genau macht die Gruppe so gefährlich? Und sind im Jahr der Bundestagswahlen auch weitere Angriffe auf deutsche Parteien oder eine Beeinflussung der Medien zu erwarten?

Tools, Methoden und Angriffstechniken von APT28

Unserer Einschätzung nach zählt zu den charakteristischen Tools von APT28 zunächst ein flexibles, modulares Framework, mit dessen Hilfe die Gruppe ihre Tools beständig weiterentwickeln kann. Zweitens scheinen sie eine formale Kodierungsumgebung zur Entwicklung ihrer Tools zu verwenden, die es der Gruppe erlauben würde, in ihren Backdoors maßgeschneiderte Module zu entwickeln und einzusetzen. Zu guter Letzt scheint die Gruppe Counter-Analysis-Fähigkeiten – also Schutzmechanismen – einzusetzen. Dazu scheinen beispielsweise Runtime Checks zur Erkennung einer Analyse-Umgebung, die Unkenntlichmachung von Zeichenfolgen, die bei der Ausführung entpackt werden und der Einsatz von ungenutzten Maschinenbefehlen, um die Analyse der eingesetzten Malware zu verlangsamen zu gehören.

Doch APT28 scheint nicht nur ihre Tools anzupassen, sondern ist auch flexibel, was ihre Vorgehensweisen angeht. Seit dem FireEye-Report von 2014 konnte FireEye feststellen, dass APT28 nun auch gezielt Zero-Day-Schwachstellen ausnutzt und auf ein Profiling Script setzt, um ihre Tools selektiver einzusetzen. Zusätzlich verlässt sich die Gruppe auch zunehmend auf öffentliche Code-Depots wie beispielsweise PowerShell Empire oder Metasploit-Module. Dadurch wird vermutlich die Entwicklung beschleunigt und gleichzeitig die Voraussetzung dafür geschaffen, Aktivitäten später glaubhaft abzustreiten. Um beispielsweise Zwei-Faktor-Authentifizierung zu umgehen, verschafft sich die Gruppe laut FireEye-Erkenntnissen über fingierte Anfragen bei der Google App Autorisierung und Oauth Zugriff auf Nutzerzugänge. In manchen Fällen verzichtet die Gruppe während einer Operation auch auf den Einsatz ihrer bewährten Tools und nutzt ausschließlich legitime Tools, die sich bereits auf den infiltrierten Systemen der Opfer befinden, um sich damit lateral durch ein Netzwerk zu bewegen.

Wie geht APT28 vor?

Um ausgewählte Ziele zu kompromittieren, verlässt sich APT28 bevorzugt auf vier Taktiken, die auf Spear-Phishing E-Mails, der Infiltrierung von legitimen Websites mit Malware, Strategic Web Infiltration oder Angriffen auf mit dem Internet  verbundenen Servern basieren.

  1. Spear-Phishing E-Mail: Bei der Infektion mit Malware via Spear-Phishing wird dem Opfer entweder ein verseuchtes Dokument zugeschickt, das beim Öffnen die Malware installiert, oder es wird mit einem präparierten Hyperlink auf eine gefälschte Website gelockt, wo es sich die Malware im Hintergrund herunterlädt.
  2. Infiltrierung legitimer Websites mit Malware: Ähnlich verhält es sich beim Zugang zu einem Webmail-Service, der die Opfer mit einer plausibel erscheinenden Adresse (z. B. 0nedrive-0ffice365[.]com) auf eine gut gefälschte Webmail-Website lockt und sie entweder auffordert, ihr Passwort zu ändern oder einen Sicherheitsmechanismus zu aktivieren. In beiden Fällen geben die Opfer unwissend ihre Nutzerdaten ein und verschaffen APT28 so Zugang zu ihrem Postfach.
  3. Strategic Web Infiltration: Bei der Strategischen Web-Infiltrierung kompromittiert APT28 eine legitime Website und installiert dort einen schädlichen iFrame. Besucher der Website werden weitergeleitet und, wenn sie dem Zielprofil entsprechen, von der Gruppe mit Malware infiziert.
  4. Angriffe auf mit dem Internet verbundene Server: Wenn sich die Gruppe Netzwerkzugang über mit dem Internet verbundene Server verschafft, suchen sie auf diesen Servern zunächst nach Schwachstellen, wobei ihnen oft Zero-Days und nicht gepatchte Schwachstellen entgegenkommen. Von dort arbeitet sich APT28 tiefer in das Netzwerk vor.

Warum ist APT28 so gefährlich?

Die russische und von staatlicher Seite unterstützte Gruppe APT28 ist eine der aktivsten Cyberspionage-Einheiten, die von FireEye beobachtet werden. Mit ihrer bewährten „Hack und Leak“-Taktik unterstützt die Gruppierung russische Interessen weltweit. Das Vorgehen ist immer ähnlich: Zunächst werden vertrauliche Informationen gestohlen, die anschließend über Social Media und immer öfter auch Nachrichtenportale verbreitet werden. Dass diese Taktik erfolgreich ist, zeigen Beispiele unter anderem in den USA, Kanada, der Ukraine und anderen osteuropäischen Staaten. So war zum Beispiel eine der ersten beobachteten Operationen in den USA der Versuch, die Präsidentschaftswahl 2016 zu beeinflussen.

Gerade wegen Deutschlands Vorreiterrolle sowohl in Europa als auch auf globaler Ebene sieht FireEye in Bezug auf die Bundestagswahl im September ein hohes Gefährdungspotential durch russische Hackergruppierungen wie APT28. Je näher die Wahl rückt, desto mehr rechnen wir damit, zunehmende Aktivitäten von russischen Hackergruppierungen zu beobachten, wie verstärkt kontroverse Social Media-Posts, die gezielt ein rechtsgerichtetes Publikum ansprechen. Außerdem rechnen wir mit einem erhöhten Aufkommen von Fake News, der Veröffentlichung von Informationen, die bei einem vorangegangenen Hack entwendet wurden, sowie verstärkten Cyberangriffen auf politische Parteien und Regierungsbehörden.

Ergänzende Informationen zu APT28, ihren Angriffsmustern und -taktiken finden Sie in dem deutschsprachigen Report „ APT28: Mitten im Sturm“.