Thought Leadership
Sicherheitsforscher von Sekoia haben Details zu einem Angriff der russischen APT-Gruppe Star Blizzard (oder auch Calisto genannt) auf die Pressefreiheitsorganisation Reporter ohne Grenzen veröffentlicht. Die Attacke war extrem durchdacht.
Die französische Niederlassung von Reporter ohne Grenzen (RSF) ist im März 2025 Ziel eines Cyberangriffs geworden. Die Organisation wandte sich an das Threat Detection and Response Team (TDR) von Sekoia, nachdem ein hochrangiges Mitglied eine verdächtige Phishing-Mail erhalten hatte. Wie das Sicherheitsunternehmen Sekoia nun berichtet, steckt dahinter die Hackergruppe Star Blizzard, die dem russischen Geheimdienst FSB zugerechnet wird. Die Angreifer versuchten, über eine mehrstufige Phishing-Kampagne an Zugangsdaten zu gelangen.
Psychologisch ausgefeiltes Vorgehen
Die Vorgehensweise der Hacker war bemerkenswert durchdacht: Statt direkt einen schadhaften Anhang mitzuschicken, verzichteten die Angreifer in der ersten E-Mail bewusst darauf. Die Nachricht, die über einen ProtonMail-Account verschickt wurde, gab vor, von einem vertrauenswürdigen Kontakt zu stammen und verwies auf ein nicht vorhandenes Dokument. Erst nachdem das Opfer antwortete und nach dem fehlenden Anhang fragte, erfolgte die zweite Phase des Angriffs.
In der Folge-Mail erhielt das Ziel einen Link zu einer gehackten Website, die auf eine angebliche PDF-Datei in ProtonDrive weiterleitete. Der Angriff scheiterte jedoch, weil Proton das Konto der Hacker bereits deaktiviert hatte. Die Phishing-Mails wurden sowohl auf Französisch als auch auf Englisch verfasst und nutzten das Thema Friedensverhandlungen als Köder.
Spezialisiertes Toolkit für ProtonMail
Bei einer weiteren Kampagne gegen eine andere Organisation entdeckten die Sekoia-Forscher ein ZIP-Archiv, das als PDF getarnt war. Nach dem Öffnen erschien eine Fehlermeldung über angebliche Verschlüsselung, die das Opfer dazu bringen sollte, einen präparierten Link anzuklicken.
Das eingesetzte Phishing-Kit ist speziell auf ProtonMail-Nutzer ausgerichtet und kann auch Zwei-Faktor-Authentifizierung aushebeln. Die vermutlich selbst entwickelte Software injiziert JavaScript-Code in die Anmeldeseite und fungiert als Man-in-the-Middle zwischen Opfer und dem echten ProtonMail-Dienst. Dabei wird der Nutzername bereits vorausgefüllt und der Fokus automatisch auf das Passwortfeld gelegt.
Wer ist gefährdet?
Sekoia stuft die aktuellen Vorfälle als Teil einer größeren Spear-Phishing-Kampagne ein, die die sogenannte ClickFix-Technik verwendet. Besonders gefährdet sind laut den Sicherheitsforschern NGOs mit Ukraine-Bezug sowie Einzelpersonen und Forscher, die über Informationen zum Ukraine-Konflikt verfügen oder mit ukrainischen Stellen zusammenarbeiten.
