Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier

Ein neuer Cybersecurity-Bericht beim Verfassungsschutz, der gemeinsam von FBI, CISA und NSA verfasst wurde, beleuchtet die Aktivitäten der russischen militärischen Cyber-Einheit 29155, die seit mindestens 2020 weltweit Angriffe auf kritische Infrastrukturen durchführt.

Diese Einheit, die dem russischen Militärgeheimdienst GRU angehört, nutzt dabei fortschrittliche Techniken für , Sabotage und gezielte Rufschädigung. Der Bericht analysiert die Taktiken, Techniken und Verfahren (TTPs), die von diesen Akteuren verwendet werden, und gibt Empfehlungen, wie Unternehmen ihre Sicherheit stärken können.

Hintergrund und Bedrohungslage

Die Einheit 29155 ist bekannt für ihre Operationen in Europa und darüber hinaus, einschließlich gescheiterter Staatsstreiche, Sabotageaktionen und Attentatsversuchen. Seit 2020 hat die Einheit ihre Methoden um offensive Cyber-Operationen erweitert, die auf die Zerstörung von Daten und die Erzeugung von Reputationsschäden abzielen. Ein besonderes Augenmerk liegt auf der Verbreitung der WhisperGate-Malware, die erstmals gegen ukrainische Opfer im Januar 2022 eingesetzt wurde.

Wichtige Erkenntnisse des Berichts

  1. Ziele und Methoden der Einheit 29155:
    • Die Cyber-Akteure von Einheit 29155 zielen darauf ab, kritische Informationen zu sammeln, sensible Daten zu stehlen und gezielte Sabotageakte durchzuführen. Ihre Aktivitäten umfassen Netzwerkoperationen gegen Mitglieder der NATO sowie Länder in Europa, Lateinamerika und Zentralasien.
    • Zu den Methoden gehören Website-Defacements, das Scannen von Infrastrukturen, Datenexfiltration und Leaks. Seit Anfang 2022 konzentrieren sich die Aktivitäten der Cyber-Akteure auf die Störung von Hilfsmaßnahmen für die Ukraine.
  2. Technische Details und verwendete Werkzeuge:
    • Die Einheit nutzt eine Vielzahl öffentlich verfügbarer Tools, um Schwachstellen in Netzwerken zu identifizieren und auszunutzen, darunter Acunetix, Nmap, und MASSCAN.
    • Für die Kommunikation und Datenexfiltration setzen die Akteure auf Virtual Private Servers (VPS) und Tunneling-Tools wie GOST, um ihre Identität zu verschleiern.
    • Zur Ausnutzung von Schwachstellen wurden diverse bekannte Exploits verwendet, etwa für Microsoft Windows Server, Atlassian Confluence, und Sophos Firewalls.
  3. Empfohlene Schutzmaßnahmen:
    • Unternehmen sollten ihre Systeme regelmäßig aktualisieren und bekannte Schwachstellen unverzüglich beheben.
    • Netzwerksegmentierung kann dazu beitragen, die Ausbreitung von Malware zu verhindern und den Zugriff auf kritische Systeme zu kontrollieren.
    • Es wird empfohlen, multifaktorielle Authentifizierung (MFA) zu implementieren, insbesondere für Systeme mit externem Zugang wie VPNs und Webmail.
    • Sicherheitsüberwachungsprogramme wie SIEM oder EDR sollten eingesetzt werden, um verdächtige Aktivitäten frühzeitig zu erkennen.

Empfehlungen für Unternehmen

Die Autoren des Berichts raten Organisationen, ihre Cyberabwehr zu stärken, indem sie die oben genannten Maßnahmen umsetzen und ihre Sicherheitsprogramme regelmäßig gegen die von MITRE ATT&CK identifizierten Techniken testen. Eine kontinuierliche Überprüfung und Anpassung der Sicherheitsstrategien ist notwendig, um den sich ständig weiterentwickelnden Bedrohungen durch staatlich gesponserte Cyber-Akteure effektiv zu begegnen.

Fazit

Die Analyse zeigt, dass staatlich geförderte Cyber-Bedrohungen eine ernsthafte Gefahr für die globale kritische Infrastruktur darstellen. Durch die Implementierung robuster Sicherheitsmaßnahmen und die Anpassung an neue Bedrohungen können Unternehmen ihre Resilienz gegenüber solchen Angriffen deutlich verbessern.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.