Seit Beginn der russischen Invasion in der Ukraine wendet Russland alle möglichen Taktiken an, einschließlich Cyber-Kriegsführung, um das Zünglein an der Waage zu seinen Gunsten zu entscheiden. Laut Sicherheitsforschern des Computer Emergency Response Team of Ukraine (CERT-UA) sind die staatlich geförderten russischen Hacker der APT28-Gruppe zielt auf ukrainische Regierungsangestellte mit Malware ab, die als Windows-Updates getarnt ist, um wichtige Informationen zu stehlen.
Bei diesen Angriffen versenden russische Hacker böswillige E-Mails mit Anweisungen zur Aktualisierung von Windows als Abwehr gegen Cyberangriffe. Anstatt jedoch legitime Anweisungen bereitzustellen, enthält die E-Mail einen PowerShell-Befehl, der ein PowerShell-Skript herunterlädt. Dieses Skript simuliert dann ein gefälschtes Windows-Update, während es im Hintergrund eine zweite Nutzlast herunterlädt, bei der es sich um ein Tool handelt, das Daten sammelt und über eine HTTP-Anfrage an eine Mocky-Service-API sendet. Um diese schädlichen E-Mails glaubwürdiger erscheinen zu lassen, erstellten die Angreifer außerdem gefälschte @outlook.com-E-Mail-Adressen unter Verwendung der echten Namen von Systemadministratoren.
Um zu verhindern, dass Mitarbeiter Opfer dieses Angriffs werden, Das CERT-UA hat allen Systemadministratoren geraten, die Fähigkeit zum Starten von PowerShell auf kritischen Computern einzuschränken und den Netzwerkverkehr auf Verbindungen zur Mocky-Dienst-API zu überwachen.
Nicht der einzige Cyberangriff auf die Ukraine
Der Krieg zwischen Russland und der Ukraine dauert nun schon über ein Jahr an , und dies ist nicht das erste Mal, dass die staatlich geförderte APT28-Gruppe mit Cyberangriffen auf die Ukraine in Verbindung gebracht wird. Tatsächlich berichtete die Threat Analysis Group von Google kürzlich, dass über 60 % aller Cyberangriffe und Phishing-E-Mails, die auf die Ukraine abzielten, aus Russland stammten, wobei APT28 hinter einem erheblichen Teil davon steckte.
Da sich der Krieg weiter hinzieht und die Ukraine sich behaupten kann, wird Russland wahrscheinlich neue Formen von Angriffen starten, um die Verteidigung der Ukraine zu schwächen. Daher müssen Unternehmen und Regierungsbehörden ihre Mitarbeiter darin schulen, verdächtige E-Mails zu identifizieren und zu melden und die gesamte Software auf dem neuesten Stand zu halten.
