Koordinierte Cyberangriffe auf die globale Rüstungsindustrie nehmen zu : Staatliche Akteure setzen auf Spionage, Social Engineering und Lieferkettenattacken

Die aktuelle Untersuchung der Google Threat Intelligence Group (GTIG) verdeutlicht eine koordinierte Bedrohungslage durch Akteure aus China, Iran, Nordkorea und Russland. Im Zentrum stehen militärische Innovationen, Mitarbeitende von Rüstungsunternehmen sowie digitale Infrastrukturen entlang der gesamten Lieferkette.

Vier strategische Angriffsschwerpunkte

Die Analyse identifiziert vier dominante Muster:

• Angriffe auf Verteidigungsunternehmen, deren Technologien im Ukrainekrieg eingesetzt werden
• Direkte Ansprache von Mitarbeitenden sowie Missbrauch von Bewerbungsprozessen
• Ausnutzung von Edge-Geräten als Einstiegspunkt in Netzwerke
• Lieferkettenrisiken durch Kompromittierung der Fertigungsindustrie

Besonderes Interesse gilt autonomen Fahrzeugen und Drohnen. Diese Systeme gewinnen laut GTIG-Bericht „zunehmend an Bedeutung in der modernen Kriegsführung“. Gleichzeitig beobachten Forschende eine verstärkte Umgehung klassischer Endpoint-Erkennung: Angreifer konzentrieren sich gezielt auf einzelne Geräte oder Personen, um Schutzmechanismen zu umgehen.

Breites Spektrum staatlicher Kampagnen

APT44 (auch bekannt als Sandworm) versuchte, Informationen aus den verschlüsselten Messenger-Anwendungen Telegram und Signal zu exfiltrieren – vermutlich nachdem während Bodeneinsätzen in der Ukraine physischer Zugriff auf Geräte erlangt wurde. Dabei kam unter anderem ein Windows-Batch-Skript namens WAVESIGN zum Einsatz, das Daten aus der Desktop-Anwendung von Signal entschlüsselt und abzieht.

TEMP.Vermin (auch bekannt als UAC-0020) setzte Schadsoftware wie VERMONSTER, SPECTRUM (auch SPECTR) und FIRMACHAGENT ein. Die Köderinhalte bezogen sich auf Drohnenproduktion und -entwicklung, Abwehrsysteme gegen Drohnen sowie Videoüberwachungs-Sicherheitslösungen.

UNC5125 (auch bekannt als FlyingYeti und UAC-0149) führte hochgradig zielgerichtete Kampagnen gegen Drohneneinheiten an der Front durch. Die Gruppe nutzte einen über Google Forms bereitgestellten Fragebogen zur Aufklärung potenzieller Drohnenbediener und verteilte über Messenger-Anwendungen Schadsoftware wie MESSYFORK (auch COOKBOX) an einen in der Ukraine ansässigen Betreiber unbemannter Luftfahrzeuge.
Darüber hinaus setzte UNC5125 eine Android-Schadsoftware namens GREYBATTLE ein – eine speziell angepasste Variante des Banking-Trojans Hydra –, um Zugangsdaten und Daten zu stehlen. Verbreitet wurde sie über eine Website, die ein ukrainisches Militär-Unternehmen für künstliche Intelligenz imitierte.

UNC5792 (auch bekannt als UAC-0195) missbrauchte sichere Messenger-Anwendungen, um ukrainische Militär- und Regierungsstellen sowie Personen und Organisationen in Moldau, Georgien, Frankreich und den Vereinigten Staaten anzugreifen. Besonders bemerkenswert ist die Instrumentalisierung der Geräteverknüpfungs-Funktion von Signal, um Konten von Opfern zu übernehmen.

UNC4221 (auch bekannt als UAC-0185) zielte ebenfalls auf von ukrainischem Militärpersonal genutzte sichere Messenger ab und nutzte ähnliche Taktiken wie UNC5792. Zusätzlich setzte die Gruppe die Android-Schadsoftware STALECOOKIE ein, die die ukrainische Gefechtsführungsplattform DELTA nachahmt, um Browser-Cookies zu stehlen. Eine weitere Methode war der Einsatz von ClickFix zur Auslieferung des Downloaders TINYWHALE, der anschließend die Remote-Management-Software MeshAgent installiert.

UNC5976, ein russischer Spionage-Cluster, führte eine Phishing-Kampagne durch, bei der manipulierte RDP-Verbindungsdateien ausgeliefert wurden. Diese waren so konfiguriert, dass sie mit von den Angreifern kontrollierten Domänen kommunizieren, die ein ukrainisches Telekommunikationsunternehmen nachahmen.

UNC6096, ebenfalls ein russischer Spionage-Cluster, verteilte Schadsoftware über WhatsApp mithilfe von DELTA-bezogenen Themen. Dabei wurde eine bösartige LNK-Verknüpfung in einem Archiv ausgeliefert, die eine zweite Nutzlast nachlädt. Angriffe auf Android-Geräte lieferten zudem die Malware GALLGRAB, die lokal gespeicherte Dateien, Kontaktinformationen und möglicherweise verschlüsselte Nutzerdaten aus spezialisierten Gefechts-Anwendungen sammelt.

UNC5114, ein mutmaßlich russischer Spionage-Cluster, verbreitete eine Variante der frei verfügbaren Android-Schadsoftware CraxsRAT, getarnt als Update für das in der Ukraine eingesetzte Gefechtskontrollsystem Kropyva.

APT45 (auch bekannt als Andariel) griff südkoreanische Unternehmen aus Verteidigungs-, Halbleiter- und Automobilfertigung mit der Malware SmallTiger an.

APT43 (auch bekannt als Kimsuky) nutzte vermutlich Infrastruktur, die deutsche und US-amerikanische Verteidigungsorganisationen imitiert, um eine Hintertür namens THINWAVE zu verbreiten.

UNC2970 (auch bekannt als Lazarus Group) führte die Kampagne „Operation Dream Job“ gegen Luft- und Raumfahrt-, Verteidigungs- und Energiesektoren durch und setzte zusätzlich Werkzeuge der künstlichen Intelligenz zur Zielaufklärung ein.

UNC1549 (auch bekannt als Nimbus Manticore) griff Luft- und Raumfahrt-, Luftfahrt- und Verteidigungsindustrien im Nahen Osten mit Malware-Familien wie MINIBIKE, TWOSTROKE, DEEPROOT und CRASHPAD an. Die Gruppe ist dafür bekannt, Dream-Job-Kampagnen im Stil der Lazarus-Gruppe zu orchestrieren, um Nutzer zur Ausführung von Schadsoftware oder zur Preisgabe von Zugangsdaten unter dem Vorwand legitimer Stellenangebote zu bewegen.

UNC6446, ein mit Iran verbundener Bedrohungsakteur, nutzte Anwendungen zur Lebenslauferstellung und Persönlichkeitstests, um maßgeschneiderte Schadsoftware an Ziele in der Luft- und Raumfahrt- sowie Verteidigungsbranche in den Vereinigten Staaten und im Nahen Osten zu verteilen.

APT5 (auch bekannt als Keyhole Panda und Mulberry Typhoon) griff aktuelle und ehemalige Mitarbeitende großer Luft- und Raumfahrt- sowie Verteidigungsunternehmen mit gezielt angepassten Phishing-Ködern an.

UNC3236 (auch bekannt als Volt Typhoon) führte Aufklärungsaktivitäten gegen öffentlich erreichbare Anmeldeportale nordamerikanischer Militär- und Verteidigungsauftragnehmer durch und nutzte dabei das Verschleierungs-Framework ARCMAZE, um seine Herkunft zu verbergen.

UNC6508, ein China zugeordneter Bedrohungs-Cluster, griff Ende 2023 eine US-amerikanische Forschungseinrichtung an, indem er eine REDCap-Schwachstelle ausnutzte, um eine maßgeschneiderte Schadsoftware namens INFINITERED zu platzieren. Diese ermöglicht nach Abfangen des Software-Upgrade-Prozesses der Anwendung einen dauerhaften Fernzugriff sowie den Diebstahl von Zugangsdaten.

Tarnnetzwerke erschweren die Abwehr

Zusätzlich beobachten Forschende verstärkt sogenannte Operational Relay Box-Netzwerke. Diese ermöglichen es Angreifern,

• Datenverkehr über private oder kommerzielle Netze umzuleiten
• Geobasierte Schutzmechanismen zu umgehen
• unentdeckt nahe am Ziel zu operieren
• Infrastruktur trotz Abschaltungen schnell zu ersetzen

Damit wird sowohl die Erkennung als auch die eindeutige Zuordnung von Angriffen erheblich erschwert.

Dauerbelagerung der Verteidigungsbasis

Die Gesamtlage beschreibt einen permanenten Mehrfrontenangriff. „Die Verteidigungsindustrie befindet sich in einem Zustand konstanter, multidimensionaler Belagerung“, heißt es im GTIG-Bericht. Neben staatlicher Spionage spielen auch finanziell motivierte Erpressungsangriffe eine wachsende Rolle.

Besonders kritisch bleiben Kampagnen gegen ukrainische Auftragnehmer, die gezielte Ausnutzung von Verteidigungspersonal, die anhaltend hohe Aktivität China-naher Gruppen sowie Sabotage- und Leak-Operationen gegen die industrielle Basis.

Die Entwicklung zeigt deutlich: Cyberoperationen sind heute integraler Bestandteil geopolitischer Konflikte – und die Rüstungsindustrie steht dabei im Zentrum digitaler Machtprojektion.