Elite-Hacker starten Doppelangriff

Russische Top-Hacker Gamaredon und Turla greifen ukrainische Spitzenziele an

Russland, Grapeloader, APT29, russische Hacker, Hacker
LinkedInRedditWhatsAppPocket

Die Sicherheitsforscher von ESET haben erstmals technische Belege dafür veröffentlicht, dass die beiden bekannten Hackergruppen Gamaredon und Turla koordiniert in der Ukraine agieren.

Beide Gruppen werden dem russischen Inlandsgeheimdienst FSB zugeschrieben. Analysen zeigten, dass Turla in mehreren Fällen direkt auf den Vorarbeiten von Gamaredon aufbauen konnte.

Anzeige

Unterschiedliche Rollen, gemeinsames Ziel

Während Gamaredon für großflächige und schnelle Infektionen bekannt ist, konzentriert sich Turla traditionell auf eine kleine Zahl besonders wertvoller Systeme. In den aktuellen Angriffen zeigte sich dieses Muster erneut: Gamaredon kompromittierte Hunderte Rechner, Turla nutzte den Zugang zu gezielten Spionagezwecken. Dabei kam unter anderem die Schadsoftware Kazuar zum Einsatz.

Gamaredon verschafft den Erstzugang meist über Spear-Phishing-Mails, manipulierte Office-Dokumente oder LNK-Dateien. Auf den so infizierten Systemen konnte ESET in einzelnen Fällen nachweisen, dass Turla-Tools über Gamaredon-Infrastruktur nachgeladen oder reaktiviert wurden. Besonders auffällig war der Einsatz des Gamaredon-Werkzeugs PteroGraphin, das Kazuar neu startete. Weitere Beispiele mit den Tools PteroOdd und PteroPaste stützen den Verdacht einer engen Zusammenarbeit.

Zielrichtung und geografische Ausweitung

Die Hauptangriffe betreffen weiterhin ukrainische Behörden und Einrichtungen mit sensiblen Daten. ESET entdeckte allerdings auch Spuren eines Installers, der von einem Konto in Kirgisistan hochgeladen wurde – ein Hinweis, dass Turla möglicherweise weitere Regionen ins Visier nimmt.

Anzeige

Die Kombination aus Gamaredons Masse und Turlas Präzision verstärkt den Druck auf besonders schützenswerte Organisationen. Eine Gruppe liefert den schnellen Zugang, die andere führt langfristige Spionageoperationen durch. Dieses Zusammenspiel beschleunigt Angriffe und erhöht die Wirksamkeit.

Auch wenn die jüngsten Aktivitäten vor allem auf die Ukraine zielen, können sich ähnliche Angriffe leicht auf andere Staaten und Unternehmen ausbreiten. Gemeinsame Cloud-Dienste, internationale Lieferketten oder Tochtergesellschaften können als Einfallstor dienen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Handlungsempfehlungen für Organisationen

  • Mitarbeiterschulungen zu Phishing und manipulierten Dateien durchführen
  • Erkennung und Reaktionsfähigkeiten mit EDR/XDR-Systemen ausbauen
  • Patches zeitnah einspielen und privilegierte Zugänge absichern
  • Backups regelmäßig testen und Wiederherstellung sicherstellen


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.