Russische Hackergruppe nahm UN-Agentur ins Visier
Cyberangriffe sind gängiges Mittel für Russland, um an Informationen zu kommen. Ziel waren bereits US-Demokraten oder der Bundestag. Nach Recherchen von CORRECTIV hat eine russische Hackergruppe möglicherweise versucht, in das Netz des Flüchtlingskommissariats der Vereinten Nationen einzudringen.
Das Flüchtlingskommissariat der Vereinten Nationen (UNHCR) ist im vergangenen Herbst offenbar Ziel russischer Hacker geworden. Ein gezielter Phishing-Versuch ist nach Einschätzung eines Sicherheitsexperten mit hoher Wahrscheinlichkeit auf die Gruppe RomCom zurückzuführen, die zuletzt unter anderem die Regierung in der Ukraine ausgespäht haben soll. Die UN-Agentur wollte den konkreten Fall nicht kommentieren.
CORRECTIV hatte von dem Vorfall erfahren, weil seine Marke für den Angriffsversuch missbraucht worden ist. Ende September vergangenen Jahres hatte ein Mitarbeiter des UNHCR eine Presseanfrage im Namen eines CORRECTIV-Reporters erhalten. Darin wurde behauptet, die Redaktion plane einen Bericht über Korruption im ukrainischen Militär und Veruntreuung gelieferter Waffen. Weil es sich nicht um eine offizielle E-Mail-Adresse handelte, hatte sich das Flüchtlingskommissariat bei CORRECTIV nach den Hintergründen erkundigt. So konnte die Anfrage als Phishing erkannt werden.
Recherchen von CORRECTIV haben nun eine Verbindung zwischen der Phishing-Mail und der russischen Hackergruppe RomCom herstellen können: Der Adressat der vermeintlichen Presseanfrage wurde aufgefordert, auf einen personalisierten Link zu klicken, um angebliche Beweisdokumente einzusehen. Dieser führte zur Domain correctiv.news, bei der es sich allerdings nicht um eine offizielle CORRECTIV-Internetadresse handelt.
Nach Erkenntnissen eines Analysten der slowakischen IT-Sicherheitsfirma ESET handelt es sich vielmehr um eine Adresse, die er anhand technischer Merkmale „mit hoher Sicherheit“ RomCom zuordnet. Die Hacker-Gruppe ist unter anderem auch als Storm-0978 oder UAT-5647 bekannt.
Volle Kontrolle über einen Computer möglich
Wenige Wochen danach – ohne Kenntnis von dem Phishing-Versuch beim UNHCR zu haben – hatte ESET auf seiner Website darauf hingewiesen, dass RomCom zwei inzwischen behobene Sicherheitslücken ausgenutzt habe. So habe die Gruppe Menschen auf bestimmte Internetseiten gelockt und auf ihren Rechnern Schadsoftware installieren können.
In dem Bericht werden bereits vermeintliche CORRECTIV-Domains wie correctiv.sbs oder redircorrectiv.com gelistet. Es sei sogar möglich gewesen, die volle Kontrolle über einen Computer zu erhalten. Solche Sicherheitslücken sind für Hacker von großem Wert.
Auf Anfrage teilte der Analyst von ESET mit, dass es vorstellbar sei, dass RomCom die raren Sicherheitslücken zuerst für ausgewählte gezielte Attacken verwendet habe. Nach Auffliegen, so das Szenario, habe man versucht, durch weitere zufällige Opfer Spuren und Motive zu verwischen sowie selbst finanziell etwas herauszuschlagen.
RomCom ist einerseits als kriminelle Hackergruppe bekannt, andererseits agiert sie auch im Interesse des russischen Staates. Da der Link zum Zeitpunkt der Recherchen bereits offline war, ließ sich vorerst nicht nachvollziehen, ob über die Seite tatsächlich Schadsoftware installiert werden sollte oder sogar wurde.
Bekannte Vorgehensweise russischer Hacker
Sicherheitsbehörden und Experten beobachten seit einiger Zeit ein Zusammenwirken von Hacktivisten, kriminellen Gruppen und russischen Geheimdiensten. Zuletzt hat das Bundesamt für Verfassungsschutz laut Tagesschau Dutzende Stiftungen, Vereine und Organisationen vor russischen Cyberattacken gewarnt. Auch die Vorgehensweise, die nun beim Angriffsversuch auf das UNHCR zu beobachten war, ist bekannt.
Im September vergangenen Jahres hatten ZDF und Spiegel berichtet, dass russische Staatshacker die Website des Kieler Instituts für Weltwirtschaft imitierten, um Besuchern gefährliche Schadsoftware aufzuspielen. Bei der groß angelegten Kampagne, die laut dem zitierten IT-Bericht der Hackergruppe APT28 alias „Fancy Bear“ zugeschrieben wird, verschickten die Angreifer E-Mails mit Links, die zu eigens dafür eingerichteten und scheinbar seriösen Webseiten führen. Die Experten von X-Force warnten vor weiteren Fake-Adressen mit dem Kürzel der Agentur der Europäischen Union für das Weltraumprogramm (Euspa).
Der Angriffsversuch auf das UNHCR dürfte sich somit zeitlich und methodisch in das russische Vorgehensmuster fügen. Ob es in diesem Rahmen weitere potentielle Ziele von RomCom gab, ist CORRECTIV nicht bekannt.
Faktencheck: Stella Hesch
