Der Verfassungsschutz des Bundes warnt vor laufenden Phishing-Kampagnen einer als "GHOSTWRITER" bezeichneten Cyber-Gruppe. Diese, mutmaßlich zum russischen Militärgeheimdienst zählende, Gruppierung führt seit 2017 anhaltend Cyberangriffe und Desinformationskampagnen durch. Im Umfeld der Ukraine-Krise sind nun neue Angriffe auf deutsche Ziele bekannt geworden. Ergänzung: Auch Bitdefender beobachtet einen steigenden Anteil an gefährlichen und betrügerischen Mails auch in deutschen Postfächern.
Anzeige
In den vergangenen Jahren war zu beobachten, dass fremde Staaten den Cyberraum in Form von Desinformationskampagnen nutzen. Diese werden systematisch initiiert und sind mittlerweile ein Teil ihrer hybriden Strategien. Durch die gezielte Verbreitung von Falschinformationen wird versucht, Politik, Gesellschaft oder bestimmte Personengruppen zu beeinflussen. Zielrichtung solcher Kampagnen ist die Infragestellung freiheitlicher, demokratischer Werte sowie des gesellschaftlichen Zusammenhalts in Deutschland und in westlichen Staaten allgemein – hießt es in dieser älteren Mitteilung des Verfassungsschutzes aus Baden-Württemberg.
Der Verfassungsschutz warnt
Bereits vor der Bundestagswahl 2021 warnte der Verfassungsschutz vor Aktionen dieser Gruppe und thematisierte eine Phishing-Kampagne, die auf deutsche Politiker abzielte (siehe). Im März 2022 hat Bundesamts für Verfassungsschutz einen Sicherheitshinweis an Vertreter der deutschen Wirtschaft geschickt, aus dem z.B. Spiegel Online hier zitiert. Es heißt "Aufgrund erneuter, aktueller Angriffe von Ghostwriter im März 2022 gegen Personen in Deutschland ist besondere Vorsicht geboten."
In einer Kampagne versucht die "GHOSTWRITER"-Gruppe Zugang zu E-Mail-Konten ihrer Opfer zu bekommen. Aktuell heißt es, würden die Phishing-Mails von einer harmlos klingenden E-Mail-Adresse t-online.de@comcast.net verschickt. Ziel ist es, Daten der Opfer zu erbeuten und deren E-Mail-Konten zu übernehmen. Diese können dann für Desinformationskampagnen und zum Versenden von Falschnachrichten missbraucht werden.
Spiegel Online zitiert ältere Vorfälle in Osteuropa, wo in Litauen eine erfundene Nachricht über die Schändung eines jüdischen Friedhofs durch deutsche Soldaten auf einer Internetseite lanciert wurde. In Polen wurde der Twitter-Account eines PiS-Politikers gekapert und dann wurden intime Fotos einer Parteifreundin veröffentlicht. In Deutschland versuchte die Cyber-Gruppe 2021 mit Phishing-Mails an Politiker Zugriff auf deren Social Media- und E-Mail-Konten zu bekommen.
Die deutschen Sicherheitsbehörden gehen davon aus, dass »Ghostwriter« vom russischen Militärgeheimdienst GRU gesteuert und von der belarussischen Cybertruppe »UNC 1151« unterstützt wird. Der Generalbundesanwalt in Karlsruhe führt seit Sommer 2021 ein Ermittlungsverfahren in dem Zusammenhang.
BSI-Bewertung vom 4.3.2022
Auch das BSI bewertet zum 4. März 2022 die Situation in einem Update neu und erkennt eine abstrakt erhöhte Bedrohungslage für Deutschland. Das BSI ruft daher weiterhin Unternehmen, Organisationen und Behörden dazu auf, ihre IT-Sicherheitsmaßnahmen zu erhöhen. Weitere Informationen stellt das BSI auf seinen Webseiten und im Rahmen Allianz für Cyber-Sicherheit bereit.
Bitdefender Labs sehen Zunahme von Phishing
Der Cyberkrieg ist ein dominanter IT-Aspekt des aktuellen Konflikts. Außerhalb der direkt involvierten Staaten versenden derzeit Spam-Trittbrettfahrer ihre Mails. Je heftiger die Auseinandersetzungen in der Ukraine werden, desto höher ist die Zahl von Online-Betrug oder Malware-Versand über E-Mails. Perfides Ziel der Kriminellen: Sie möchten die humanitäre Krise und die allgemeine Hilfsbereitschaft der Menschen gezielt ausnutzen.
Die Bitdefender Labs beobachteten in den vergangenen Tagen mehrere Mail-Kampagnen, die sich zum Teil gegen Unternehmen richten und auch in deutschen Mailboxen landen.
Anzeige
Kampagne 1: Agent Tesla Remote-Access-Trojaner
Hacker greifen Unternehmen in der Produktionsbranche mit Agent Tesla an. Dabei handelt es sich um einen ein so genannten „Malware-as-a-Service-Remote-Access-Trojaner (MaaS RAT). Er stiehlt Daten und wurde von Hackern vor allem in der Pandemie für zahlreiche E-Mail-Kampagnen genutzt.
Die Spam-Mails versuchen, das bösartige Tool über einen ZIP-Anhang mit dem Namen „REQ Supplier Survey" zu verbreiten. Laut Mail sollen die Empfänger in einer Studie Auskunft über ihre Backup-Pläne angesichts des Ukraine-Kriegs geben. Der bösartige Payload wird von einem Discord-Link aus direkt auf das System des Opfers heruntergeladen und dort implementiert. Um die Nutzer abzulenken, wird zusätzlich eine sichere Chrome-Version heruntergeladen.
Die Mails haben zu 86 Prozent eine niederländische IP-Adresse. Die Angreifer versenden sie weltweit: Am häufigsten mit 23 % nach Südkorea und mit 14 % nach Tschechien. Deutschland liegt zusammen mit Großbritannien auf Rang 3 mit jeweils 10 %.
Kampagne 2: Remcos RAT
Die Bitdefender-Experten beobachten seit dem 2. März eine weitere Malware-Spam-Kampagne. Hier geben sich die Angreifer als ein südkoreanischer Spezialist für Analysegeräte zur In-Vitro-Diagnostik aus. Über eine Excel-Tabelle im Anhang (SUCT220002) verbreiten sie die Remcos-RAT-Malware. So können die Cyberkriminellen über infizierte Dokumente oder Archive die volle Kontrolle über die angegriffenen Systeme erlangen. Remcos RAT zeichnet Tastatureingaben, Screenshots, Zugangsdaten oder andere sensible Systeminformationen auf und exfiltriert diese auf die Server der Urheber.
Laut IP-Adresse stammen 89 % der Mails aus Deutschland und 19 % aus den USA. Empfängerländer sind neben Irland (32%), Indien (17%) und den USA (7%) Großbritannien, Deutschland und Vietnam mit jeweils 4 % der Empfänger.
Betrügerische Spendenaufrufe
In betrügerischen Mails geben Scammer vor, der ukrainischen Regierung oder Organisationen wie Act for Peace, UNICEF und dem Ukraine Crisis Relief Fund anzugehören. Sie bitten dann unter verschiedenen Betreffzeilen um Geldspenden für die ukrainische Armee oder um Hilfe für die Zivilbevölkerung im Kriegsgebiet. 7 % der Mails mit dem Betreff „Stand with the people of Ukraine. Now accepting cryptocurrency donations. Bitcoin, Ethereum and USDT" landeten bislang bei deutschen Empfängern – 25 % in Großbritannien, 14 % in den USA, 10 % in Südkorea, 8 % in Japan, 4 % in Rumänien und je 2 % in Griechenland, Finnland und Italien.
Der nigerianische Prinz ist wieder da
Betrüger greifen dieses bekannte Cyber-Scam-Motiv wieder auf und verbreiten es vor allem in Deutschland: Ein Geschäftsmann aus der Ukraine bittet angeblich um Hilfe beim Transfer von zehn Millionen US-Dollar, bis er es wieder selbst sicher deponieren kann. Nimmt das Opfer Kontakt auf, fragen die Angreifer ihn vermutlich nach persönlichen Informationen, versprechen eine Belohnung und bitten um Geld – zum Beispiel für das Zahlen von Bankgebühren. Dann sehen die Opfer das Geld nicht mehr wieder.
Die IP-Adressen der Absender befinden sich zu 83 % in Botswana, zu 10 % in Deutschland, zu 5 % in Frankreich. Die Adressaten leben vor allem in Deutschland ( 42 %), gefolgt von der Türkei (16 %), den Vereinigten Staaten von Amerika (16 %), Irland (8 %) sowie Polen (3 %).
Sorgfaltsregeln beachten
Angesichts dieser Welle von E-Mail-Scams, die sich hinter emotionalen Appellen verbergen, sollten Nutzer gerade jetzt die üblichen Sorgfaltsregeln im Umgang mit unerwarteten Mails befolgen, so der Ratschlag der Bitdefender Labs. Dazu gehören:
• Kein Klick auf Links oder Anhänge, die um eine dringende Spende bitten
• Spenden nur über offizielle und anerkannte Organisationen
• Regelmäßiges Überprüfen von Bankkonten auf verdächtige Aktivitäten
• Eigene Passworte für alle Online-Nutzerkonten
Allgemeine Hinweise für Cybersicherheit in den eigentlichen Konfliktzonen bietet Bitdefender hier. Ein Blog-Beitrag zur Zunahme von SPAM gibt es hier (Englisch}.
2015
