Zielscheibe Ukraine-Unterstützer: Russische Hacker attackieren Rüstungsfirmen in Osteuropa

Unter dem Codenamen Operation RoundPress haben Sicherheitsforscher des europäischen IT-Sicherheitsunternehmens ESET eine neue Cyberkampagne aufgedeckt, die brisanter kaum sein könnte: Eine russlandnahe Hackergruppe greift gezielt Unternehmen an, die an der militärischen Unterstützung der Ukraine beteiligt sind. Besonders betroffen: Firmen in Bulgarien, Rumänien und der Ukraine, die auf sowjetische Waffen spezialisiert sind – und damit eine zentrale Rolle bei der Aufrechterhaltung ukrainischer Verteidigungsfähigkeit spielen.

Digitale Spionage mit geopolitischer Sprengkraft

Hinter der Kampagne steht die berüchtigte Gruppe Sednit, auch bekannt als APT28 oder Fancy Bear. Die Gruppe ist kein unbeschriebenes Blatt – sie wurde bereits für die Angriffe auf das US-Demokratenkomitee 2016 verantwortlich gemacht und gilt als eine der einflussreichsten staatlich gesteuerten Hackerzellen weltweit.

„Die betroffenen Unternehmen verfügen über kritisches Know-how und Logistik, die für die Ukraine von strategischer Bedeutung sind“, erklärt ESET-Analyst Matthieu Faou. „Genau diese Strukturen wurden gezielt ausspioniert.“

Angriff über Webmail – Zero-Day inklusive

Die Hacker griffen über Schwachstellen in weit verbreiteter Webmail-Software an, darunter Roundcube, Zimbra, Horde und MDaemon. Besonders heikel: In MDaemon wurde eine bislang unbekannte Zero-Day-Sicherheitslücke ausgenutzt, die erst im Zuge der ESET-Recherchen entdeckt und inzwischen geschlossen wurde.

Der Angriffsweg: täuschend echte E-Mails, die vermeintlich von Nachrichtenportalen wie der Kyiv Post oder News.bg stammen. Schon das bloße Öffnen im Browser reicht aus – versteckter Schadcode wird sofort aktiviert, Spamfilter werden gezielt umgangen.

SpyPress.MDAEMON: Mitlesen trotz Zwei-Faktor-Schutz

Im Zentrum der Attacke steht eine neuartige Spionagesoftware mit dem Namen SpyPress.MDAEMON. Sie ist in der Lage, Zugangsdaten abzugreifen, E-Mail-Kommunikation in Echtzeit zu überwachen und sogar Zwei-Faktor-Authentifizierungen zu umgehen. In mehreren dokumentierten Fällen konnten die Angreifer sogenannte Anwendungspasswörter generieren und so dauerhaft auf E-Mail-Konten zugreifen – ohne dass Nutzer oder Administratoren etwas bemerkten.

„Viele Unternehmen betreiben veraltete Webmail-Server“, warnt Faou. „Allein das Anzeigen einer manipulierten Nachricht kann bereits zur Kompromittierung führen – ein Klick ist oft gar nicht nötig.“

Fokus auf Osteuropa – aber globale Reichweite

Obwohl auch einzelne Ziele in Afrika und Südamerika identifiziert wurden, liegt der geografische Schwerpunkt klar auf Osteuropa. Ziel ist es offenbar, gezielt Unternehmen zu infiltrieren, die militärisch oder logistisch mit der Ukraine verflochten sind. Besonders im Visier: Betriebe, die Ersatzteile und Munition sowjetischer Herkunft liefern – technisches Rückgrat der ukrainischen Streitkräfte.

Alte Handschrift, neue Methoden

Die Handschrift der Angreifer ist laut ESET eindeutig: Die Taktiken und eingesetzten Tools ähneln früheren Operationen von Sednit. Die Gruppe ist seit mindestens 2004 aktiv und agiert im Auftrag russischer Interessen. Die Operation RoundPress zeigt: Die Gruppe bleibt technisch auf der Höhe – und ihre Ziele werden zunehmend strategischer.

Der russische Angriffskrieg gegen die Ukraine wird längst auch digital geführt – nicht nur durch Desinformation, sondern durch gezielte Angriffe auf die Infrastruktur der Unterstützung. Operation RoundPress ist ein klares Zeichen: Die digitale Front verläuft mitten durch die europäische Wirtschaft.

Weitere Informationen sind im Blogpost „Operation Roundpress“ verfügbar.

Weitere Artikel zum Thema:

Russische Hackergruppe APT28 wieder in Ukraine aktiv

Kommentar: Wie KRITIS zum Zentrum des Kriegs in der Ukraine geworden sind

Qilin-Ransomware stiehlt Browser-Anmeldedaten