Cyberspionage

Chinesische Hacker spionieren russisches Militär aus

Sicherheitsforscher haben einen groß angelegten Spionage-Angriff auf militärische Forschungseinrichtungen in Russland enthüllt. Hinter der Aktion sollen staatlich unterstützte Hacker aus China stehen.
Von 
CSO | 23. Mai 2022 17:55 Uhr
Chinesische Hacker haben es auf militärische Forschungseinrichtungen in Russland abgesehen.
Chinesische Hacker haben es auf militärische Forschungseinrichtungen in Russland abgesehen.
Foto: BeeBright - shutterstock.com

In den vergangenen zwei Monaten beobachtete das Research-Team des Sicherheitsanbieters Check Point, dass mehrere APT-Gruppen den Russland-Ukraine-Konflikt und die Sanktionen gegen russische Unternehmen als Köder für Spear-Phishing-Attacken nutzen. Wie die Forscher feststellten, waren die Angriffe Teil einer größeren chinesischen Spionageoperation.

Zu den Opfern zählen zwei Forschungsinstitute in Russland, die sich mit der Entwicklung von elektronischen Kriegsführungssystemen, militärisch spezialisierter Funkelektronikausrüstung und luftgestützten Radarstationen beschäftigen. Zudem deuten die Untersuchungen auf ein weiteres Ziel in Weißrussland hin, das ebenfalls mit dem Forschungsbereich in Verbindung steht.

So gehen die Angreifer vor

Zunächst senden die Cyberkriminellen ihren Zielpersonen eine speziell gestaltete Phishing-E-Mail. Diese enthält ein Dokument, worin die westlichen Sanktionen gegen Russland als Lockvogel verwendet werden. Wenn das Opfer das Dokument öffnet, lädt es den schädlichen Code vom Server der Hacker herunter, der eine Hintertür auf dem Computer des Opfers installiert und heimlich ausführt. Diese Backdoor sammelt Daten über den infizierten Rechner und sendet sie an den Angreifer zurück. Auf der Grundlage dieser Informationen können die Betrüger die Hintertür nutzen, um weitere Befehle auf dem Computer des Opfers auszuführen oder ständig vertrauliche Daten von ihm zu sammeln.

Die Security-Spezialisten entdeckten, dass am 23. März Phishing-Mails an mehrere militärische Forschungsinstitute in Russland gesendet wurden. Die Mails enthielten die Betreffzeile "List of <target institute name> persons under US sanctions for invading Ukraine" und einen Link zu einer gefakten Website, die das russische Gesundheitsministerium imitierte - inklusive offiziellem Titel und Siegel - sowie ein gefälschtes Dokument als Anhang. Am selben Tag sei eine weitere E-Mail an eine unbekannte Einrichtung in Weißrussland mit dem Betreff: US spread of deadly pathogens in Belarus verschickt worden.

Wie die Forscher erklären, weise die Phishing-Kampagne Ähnlichkeiten mit dem Vorgehen langjähriger chinesischer Hacker auf, darunter APT10 und Mustang Panda. "Fast elf Monate lang waren die Angreifer in der Lage, sich der Entdeckung zu entziehen, weil sie neue, unbekannte Tools, einen ausgeklügelten mehrschichtigen Loader und eine Hintertür mit der Bezeichnung SPINNER verwendeten", so die Check-Point-Forscher.

Lesetipp: Cyberkrieg - Chinesische Hacker nehmen Europa ins Visier

"Aus technischer Sicht ist die Qualität der Tools und ihre Verschleierung sogar für APT-Gruppen überdurchschnittlich gut", betont Itay Cohen, Head of Research bei Check Point Software Technologies. Die Sicherheitsforscher gehen davon aus, dass der Zweck der Spionageaktion darin bestand, Know-how aus der russischen Hightech-Militärkomplex zu sammeln, um China bei seiner technologischen Entwicklung auf dem militärischen Sektor zu unterstützen. "Ich glaube, unsere Ergebnisse sind ein weiterer Beweis dafür, dass Spionage ein systematischer Grundpfeiler für Chinas strategisches Ziel ist, eine technologische Überlegenheit gegenüber anderen Ländern zu erreichen", so Cohen.

Julia Mutzbauer ist  Editor bei CSO. Ihr Schwerpunkt ist Security.