{"id":6245,"date":"2025-12-17T11:10:22","date_gmt":"2025-12-17T11:10:22","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6245"},"modified":"2025-12-17T11:10:22","modified_gmt":"2025-12-17T11:10:22","slug":"russische-apt-gruppe-greift-westliche-kritis-betreiber-an","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6245","title":{"rendered":"Russische APT-Gruppe greift westliche KRITIS-Betreiber an"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Eine russische Cyberspionage-Kampagne zielt auf Energieversorger.\n

Evgeny_V \u2013 shutterstock.com<\/p>\n<\/div>\n

Das Team von Amazon Threat Intelligence<\/a> stellte fest, dass eine vom russischen Staat gef\u00f6rderte Cyberspionagegruppe vermehrt Energieunternehmen<\/a> und Anbieter kritischer Infrastrukturen (KRITIS) ins Visier genommen hat.<\/p>\n

Die Gruppe ist demnach seit mindestens 2021 aktiv und hat es vor allem auf Fehlkonfigurationen von Ger\u00e4ten abgesehen. Die Angreifer nutzen aber auch bekannte Schwachstellen wie CVE-2022-26318 in WatchGuard Firebox- und XTM-Ger\u00e4ten, CVE-2021-26084 und CVE-2023-22518 in Confluence oder CVE-2023-2753 in Veeam Backup aus.<\/p>\n

Laut den von Amazon gesammelten Telemetriedaten hat sich die Gruppe in diesem Jahr jedoch stark auf Fehlkonfigurationen konzentriert und sich von Zero-Day- oder N-Day-Schwachstellen abgewendet. Die Hauptziele waren demnach Enterprise Router und Routing-Infrastrukturen, VPN-Konzentratoren und Remote-Access-Gateways, Netzwerkmanagement-Appliances, Kollaborations- und Wiki-Plattformen sowie Cloud-basierte Projektmanagementsysteme.<\/p>\n

\u201eDiese taktische Anpassung erm\u00f6glicht die gleichen operativen Ergebnisse, n\u00e4mlich das Sammeln von Anmeldedaten und laterale Bewegungen innerhalb der Online-Dienste und Infrastrukturen der Opfer, w\u00e4hrend gleichzeitig die Entdeckungsgefahr und der Ressourcenaufwand der Akteure reduziert werden\u201c, so die Security-Spezialisten.<\/p>\n

Verbindungen zu Sandworm und Curly COMrades<\/h2>\n

Die Telemetriedaten zeigen, dass es \u00dcberschneidungen zwischen der Infrastruktur der Gruppe und Sandworm gibt, die auch als APT44 und Seashell Blizzard bekannt ist und mit dem russischen Milit\u00e4rgeheimdienst GRU in Verbindung steht. Zudem besteht ein Zusammenhang mit einer Gruppe, deren Aktivit\u00e4ten in der Vergangenheit von Bitdefender unter dem Namen Curly COMrades<\/a> dokumentiert wurden.<\/p>\n

Es k\u00f6nnte sich jedoch um zusammenarbeitende Untergruppen innerhalb des GRU handeln: W\u00e4hrend die von Amazon verfolgte Gruppe den ersten Zugriff und die laterale Bewegung \u00fcbernimmt, stellt Curly COMrades die Persistenz des Hosts durch seine benutzerdefinierten Malware-Implantate CurlyShell und CurlCat sicher.<\/p>\n

Amazon entdeckte Angriffe auf Netzwerk-Edge-Ger\u00e4te von Kunden, die auf AWS-EC2-Instanzen gehostet werden. Dabei stellten die Angreifer \u00fcber von ihnen kontrollierte IP-Adressen dauerhafte Verbindungen her. Dies deutet auf einen interaktiven Zugriff auf die kompromittierten Ger\u00e4te hin.<\/p>\n

Abgriff von Anmeldedaten<\/h2>\n

Die Sicherheitsforscher beobachteten auch Credential-Replay-Angriffe auf andere Online-Dienste der Opfer, bei denen gestohlene Domain-Anmeldedaten nach der Kompromittierung von Netzwerk-Edge-Ger\u00e4ten verwendet wurden. Das Amazon-Team geht davon aus, dass die T\u00e4ter Anmeldedaten sammeln, indem sie die Funktionen der kompromittierten Ger\u00e4te zur Erfassung und Analyse des Datenverkehrs nutzen.<\/p>\n

\u201eDie zeitliche L\u00fccke zwischen der Kompromittierung der Ger\u00e4te und den Authentifizierungsversuchen gegen die Dienste der Opfer deutet eher auf eine passive Sammlung als auf einen aktiven Diebstahl von Anmeldedaten hin\u201c, hei\u00dft es im Forschungsbericht.<\/p>\n

Beim Abfangen des Netzwerkverkehrs gehen die Angreifer \u00e4hnlich vor wie Sandworm. Die gezielte Ausrichtung auf Netzwerk-Edge-Ger\u00e4te versetzt sie dabei in die Lage, Anmeldedaten w\u00e4hrend der \u00dcbertragung abzufangen.<\/p>\n

Tipps zum Schutz f\u00fcr KRITIS-Betreiber<\/h2>\n

Die Gruppe konzentriert sich stark auf den Energiesektor. Dazu z\u00e4hlen zudem MSSPs (Managed Security Service Provider) mit Kunden aus der Energieversorgung. Die Angreifer haben jedoch auch Technologie- und Cloud-Dienstleister sowie TK-Anbieter in mehreren Regionen ins Visier genommen.<\/p>\n

Amazon r\u00e4t Unternehmen, ihre Netzwerk-Edge-Ger\u00e4te auf unauthorisierte Packet Capture Files oder -Dienstprogramme zu \u00fcberpr\u00fcfen. Zudem wird empfohlen, Ger\u00e4tekonfigurationen zu checken und Verwaltungsschnittstellen zu isolieren sowie eine Multi-Faktor-Authentifizierung zu implementieren.<\/p>\n

Unternehmen sollten au\u00dferdem Authentifizierungsprotokolle pr\u00fcfen und Authentifizierungsversuche aus unerwarteten geografischen Standorten \u00fcberwachen. Zudem empfiehlt sich, eine Anomalieerkennung f\u00fcr Authentifizierungsmuster f\u00fcr alle Online-Dienste zu implementieren. Auch die Verwendung von Klartextprotokollen, die Anmeldedaten w\u00e4hrend der \u00dcbertragung offenlegen k\u00f6nnten, sollte kontrolliert werden.<\/p>\n

Der Amazon-Bericht enth\u00e4lt zudem Indikatoren f\u00fcr Kompromittierungen im Zusammenhang mit dieser Angriffskampagne sowie spezifische Sicherheitsempfehlungen speziell f\u00fcr AWS-Umgebungen. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Eine russische Cyberspionage-Kampagne zielt auf Energieversorger. Evgeny_V \u2013 shutterstock.com Das Team von Amazon Threat Intelligence stellte fest, dass eine vom russischen Staat gef\u00f6rderte Cyberspionagegruppe vermehrt Energieunternehmen und Anbieter kritischer Infrastrukturen (KRITIS) ins Visier genommen hat. Die Gruppe ist demnach seit mindestens 2021 aktiv und hat es vor allem auf Fehlkonfigurationen von Ger\u00e4ten abgesehen. Die Angreifer […]<\/p>\n","protected":false},"author":0,"featured_media":6246,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6245","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6245"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6245"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6245\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6246"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6245"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6245"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6245"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}