In einem besorgniserregenden Vorfall hat das Sicherheitszentrum von Google neue Beweise veröffentlicht, die zeigen, dass der russische Auslandsgeheimdienst (SVR) auf hoch entwickelte Exploits zugegriffen hat, die normalerweise von kommerziellen Spyware-Herstellern wie der NSO Group und Intellexa verwendet werden. Dieser Schritt hebt eine gefährliche Verbindung zwischen staatlich geförderter Cyberspionage und kommerziellen Spyware-Technologien hervor, die bislang nur von Regierungsbehörden genutzt wurden.
Ein Exploit-Skript ist ein Programm oder Code, der eine Schwachstelle in einem Computer- oder Netzwerksystem ausnutzt, um unbefugten Zugang zu erhalten, Daten zu stehlen oder andere schädliche Aktionen durchzuführen. Exploit-Skripte sind oft Teil von Cyberangriffen und können automatisiert oder manuell ausgeführt werden, um Sicherheitslücken zu missbrauchen.
Angriff auf die Mongolei:
Google hat herausgefunden, dass die Hackergruppe APT29, die für Cyberspionage bekannt ist, zwischen November 2023 und Juli 2024 Watering-Hole-Angriffe auf die Webseiten der mongolischen Regierung durchführte. Bei einem Watering-Hole-Angriff wird eine häufig besuchte Website kompromittiert, um Besucher mit Malware zu infizieren. In diesem Fall konnten die Hacker Schwachstellen in den Safari- und Chrome-Browsern ausnutzen, um Daten wie Cookies zu stehlen, die in den Browsern gespeichert sind.
Diese Cookies ermöglichten den Angreifern den Zugriff auf E-Mail-Konten der mongolischen Regierungsmitglieder. Die Angreifer nutzten diese Informationen, um sich unbefugten Zugang zu sensiblen Regierungsdaten zu verschaffen. Die Schwachstellen in den Browsern waren zwar zum Zeitpunkt des Angriffs bereits durch Sicherheitsupdates behoben, jedoch waren viele Geräte nicht aktualisiert, was die Angreifer ausnutzten. Eine leider recht häufige Schwachstelle bei Verwaltungen und Betrieben, was es den Angreifern deutlich erleichterte.
Verbindung zu russischen Cyberangreifern
Google-Sicherheitsforscher Clement Lecigne erklärt, dass die Bedrohungsanalysegruppe von Google den bei den Angriffen verwendeten Code identifiziert hat, der bereits in einer Kampagne von APT29 im Jahr 2021 zum Einsatz kam. Diese Entdeckung legt nahe, dass die Angriffe direkt vom russischen SVR orchestriert wurden. APT29, auch bekannt als Cozy Bear, ist für seine lang anhaltenden und komplexen Cyberangriffe berüchtigt und hat bereits bedeutende Unternehmen wie Microsoft und Solarwinds ins Visier genommen.
Der Ursprung der Exploits: Die Rolle der Spyware-Hersteller
Eine zentrale Frage bleibt unbeantwortet: Wie gelangten die Exploits von den kommerziellen Spyware-Herstellern NSO Group und Intellexa in russische Hände? Google vermutet, dass die russischen Hacker die Exploits entweder gekauft haben könnten, nachdem diese bereits gepatcht waren, oder sie diese von einem anderen Kunden der Spywarehersteller gestohlen haben. Diese Möglichkeit wirft erhebliche Fragen über die Sicherheit und den Vertrieb solcher Technologien auf.
Die NSO Group betont, dass sie keine Produkte an Russland verkauft und ihre Technologien ausschließlich an verbündete Staaten wie die USA und Israel liefert. Das Unternehmen versichert, dass seine Systeme hochgradig sicher seien und kontinuierlich überwacht werden, um externe Bedrohungen zu erkennen und zu neutralisieren.
Schlussfolgerungen
Dieser Vorfall zeigt eindringlich, wie kommerzielle Spyware-Technologien, die für die Überwachung durch Regierungen entwickelt wurden, in die Hände von Hackergruppen gelangen können, die sie für staatlich unterstützte Cyberangriffe nutzen. Die Verbindung zwischen kommerzieller Spyware und staatlich geförderter Cyberspionage hebt die dringende Notwendigkeit hervor, die Sicherheitspraktiken und die Überwachung von Spyware-Technologien weltweit zu überprüfen. Die Enthüllungen werfen auch Fragen zur Ethik und Regulierung der Spyware-Industrie auf und fordern eine verstärkte internationale Zusammenarbeit im Bereich der Cybersicherheit.
Quellen:
Eigene Recherchen
Russian government hackers found using exploits made by spyware companies NSO and Intellexa | TechCrunch
State-backed attackers and commercial surveillance vendors repeatedly use the same exploits (blog.google)