Microsoft enttarnt globale Cyberangriffe der Sandworm-Untergruppe
Eine Untergruppe der berüchtigten, staatlich unterstützten russischen Hackergruppe Sandworm steckt hinter der mehrjährigen, weltweiten Cyberoperation BadPilot. Die Kampagne, geprägt durch hoch entwickelte Angriffstechniken, zielte auf kritische Infrastrukturen, Regierungen und Unternehmen rund um den Globus. Experten bezeichnen die Aktion als strategische Machtdemonstration im digitalen Raum.
Laut einem neuen Bericht des Microsoft Threat Intelligence-Teams führt eine Untergruppe von Seashell Blizzard weltweit Angriffe auf internetzugängliche Infrastrukturen durch. Ziel dieser Operationen ist es, langanhaltende Zugriffe auf hochrangige Ziele zu sichern und maßgeschneiderte Netzwerkoperationen zu unterstützen.
Globale Zielgebiete
Die Untergruppe richtete sich gegen strategische Ziele auf mehreren Kontinenten. Zu den betroffenen Regionen zählen:
- Nordamerika: Komplett erfasst
- Europa: Mehrere Länder
- Weitere Staaten: Angola, Argentinien, Australien, China, Ägypten, Indien, Kasachstan, Myanmar, Nigeria, Pakistan, Türkei und Usbekistan.
Gezielte Angriffe in den Jahren 2022 bis 2024
- 2022: Sektoren wie Energie, Einzelhandel, Bildung, Beratung und Landwirtschaft in der Ukraine
- 2023: Einrichtungen in den USA, Europa, Zentralasien und dem Nahen Osten, welche die Ukraine materiell unterstützten
- 2024: Zielobjekte in den USA, Kanada, Australien und Großbritannien
Die Hackergruppe Sandworm, auch bekannt unter Namen wie APT44, Voodoo Bear und Iron Viking, gilt als eine der gefährlichsten staatlich unterstützten Cyberbedrohungen. Sie wird der russischen Militäreinheit 74455 (GRU) zugeordnet und ist seit mindestens 2013 aktiv. Google Mandiant beschreibt Sandworm als eine hochentwickelte Gruppe mit umfassender Erfahrung in Spionage, Sabotage und Einflussoperationen.
In ihren Angriffen setzt Sandworm eine Vielzahl an Taktiken und Werkzeugen ein. Hierzu gehören Schadprogramme wie KillDisk (HermeticWiper) und Kapeka-Backdoors, die auf Zerstörung und dauerhaften Zugang zu kompromittierten Systemen abzielen.
Es wurde beobachtet, dass Sandworm vermehrt kriminelle Marktplätze und russische Anbieter nutzt, um Werkzeuge und Infrastrukturen für Angriffe zu beschaffen. Dies zeigt den wachsenden Trend, dass Cyberkriminalität staatlich unterstütztes Hacking erleichtert.
- Laut der Google Threat Intelligence Group (GTIG) verwendet Sandworm bewusst Tools aus kriminellen Quellen, um schnell einsatzbereite Ressourcen zu erhalten, die keine Spuren früherer Operationen hinterlassen.
- Seit dem groß angelegten Einmarsch Russlands in die Ukraine setzt APT44 verstärkt auf Malware wie DarkCrystal RAT (DCRat), Warzone und RADTHIEF (Rhadamanthys Stealer) sowie auf Hosting-Infrastrukturen von Akteuren wie yalishanda, die in Untergrundforen aktiv sind.
Darüber hinaus ist Sandworm für die Ausnutzung kritischer Sicherheitslücken bekannt, darunter CVE-2024-1709 (ConnectWise) und CVE-2023-48788 (Fortinet), um Zugang zu sensiblen Netzwerken zu erlangen.
Seashell Blizzard attackierte kritische Infrastrukturen in den Bereichen Energie, Öl und Gas, Telekommunikation, Rüstungsindustrie und internationale Regierungen. Die Operationen kombinieren breite „Spray-and-Pray“-Angriffe mit gezielten Attacken, um langfristigen Zugang zu sichern. Microsoft betont, dass die Gruppe durch neue Exploits ihre Aktivitäten weltweit skaliert, um die strategischen Ziele des Kremls zu unterstützen.
Bisher hat die Untergruppe bereits acht bekannte Sicherheitslücken ausgenutzt:
- Microsoft Exchange Server (CVE-2021-34473, bekannt als ProxyShell)
- Zimbra Collaboration (CVE-2022-41352)
- Openfire (CVE-2023-32315)
- JetBrains TeamCity (CVE-2023-42793)
- Microsoft Outlook (CVE-2023-23397)
- Fortinet FortiClient EMS (CVE-2023-48788)
- ConnectWise ScreenConnect (CVE-2024-1709)
- JBOSS (CVE unbekannt)
Nach erfolgreicher Erstinfektion sichert sich die Gruppe den dauerhaften Zugriff (Persistenz) über drei verschiedene Methoden:
- Einsatz von Fernzugriffssoftware (seit 24. Februar 2024):
Die Angreifer installieren legitime Fernzugriffsprogramme wie Atera Agent und Splashtop Remote Services, um das infizierte System zu kontrollieren. Zusätzlich nutzen sie diesen Zugang, um weitere Schadprogramme zu installieren, etwa zur Passwortbeschaffung, Datenabfluss oder zur dauerhaften Zugriffssicherung mit Werkzeugen wie OpenSSH und einem speziellen Programm namens ShadowLink, das den Zugang über das TOR-Netzwerk ermöglicht. - Web-Shell-Installation (seit Ende 2021):
Die Angreifer setzen eine sogenannte Web-Shell namens LocalOlive ein. Diese ermöglicht die Fernsteuerung des Systems und das Nachladen weiterer Schadprogramme, etwa Tunneling-Tools wie Chisel, plink und rsockstun, um Datenströme zu verstecken und interne Netzwerke zu erreichen. - Manipulation von Outlook Web Access (OWA) (2021 bis 2024):
Die Gruppe verändert die Anmeldeseiten von OWA, um heimlich JavaScript-Code einzuschleusen. Dieser Code stiehlt Anmeldedaten und sendet sie in Echtzeit an die Angreifer. Außerdem nehmen sie Änderungen an DNS-Einstellungen vor, um Login-Daten von wichtigen Authentifizierungsdiensten abzufangen.
Laut Microsoft stellt diese Untergruppe eine globale Ausweitung der Aktivitäten von Seashell Blizzard dar. Sie agiert weltweit und vergrößert sowohl die geographische Reichweite als auch den Umfang der Cyberoperationen. „Die weitreichenden und opportunistischen Zugangsmethoden von Seashell Blizzard bieten Russland voraussichtlich umfassende Möglichkeiten für gezielte Operationen, die mittelfristig von strategischem Wert bleiben werden.“
Neue Kampagne mit BACKORDER-Malware
Der niederländische Cybersecurity-Anbieter EclecticIQ hat aufgedeckt, dass die russische Hackergruppe Sandworm eine neue Angriffskampagne durchführt. Dabei nutzen die Angreifer manipulierte Microsoft Key Management Service (KMS)-Aktivierungsprogramme sowie gefälschte Windows-Updates, um eine Schadsoftware namens BACKORDER zu verbreiten.
BACKORDER ist eine in der Programmiersprache Go entwickelte Malware. Sie lädt nach dem ersten Zugriff zusätzliche Schadsoftware von einem externen Server herunter und führt diese aus. Nach Erkenntnissen des Sicherheitsunternehmens Mandiant wird BACKORDER häufig über infizierte Installationsprogramme verbreitet. Ziel dieser Kampagne ist es, den Trojaner DarkCrystal RAT (DCRat) auf den angegriffenen Systemen einzuschleusen.
Sicherheitsexperte Arda Büyükkaya hebt hervor, dass die weit verbreitete Nutzung raubkopierter Software in der Ukraine – selbst in Regierungsbehörden – ein erhebliches Sicherheitsrisiko darstellt. Diese Praxis ermöglicht es Angreifern wie Sandworm (APT44), Malware in weit verbreitete Programme einzuschleusen.
Neue Hintertür: RDP-Backdoor „Kalambur“
Zusätzliche Analysen deckten eine bislang unbekannte RDP-Backdoor namens Kalambur auf. Diese Backdoor tarnt sich als Windows-Update und nutzt das TOR-Netzwerk für die Fernsteuerung sowie die Installation von OpenSSH, um den Remote-Desktop-Zugriff (RDP) über Port 3389 zu ermöglichen.
Laut Microsoft weist Kalambur funktionale Ähnlichkeiten mit ShadowLink auf. Nach der Aktivierung richtet ShadowLink einen TOR-Server ein, über den sich der Angreifer über eine eindeutige .onion-Domain mit dem kompromittierten Gerät verbinden kann. Der Zugriff erfolgt über Port 3389 und wird direkt zum RDP-Dienst des Zielsystems weitergeleitet.
Laut Büyükkaya demonstriert Sandworm (APT44) durch die Infiltration industrieller Steuerungssysteme (ICS) mittels präparierter Software seine strategische Absicht, die kritische Infrastruktur der Ukraine zu destabilisieren – ein weiteres Beispiel für die Unterstützung russischer geopolitischer Ziele durch Cyberoperationen.