Mastodon Mastodon Mastodon Mastodon

Russische Spionagekampagne zielt auf Signal- und WhatsApp-Konten

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Sicherheitsdienst der Ukraine (SBU) hat gemeinsam mit dem FBI eine lang andauernde Cyberoperation aufgedeckt, die nach Angaben des ukrainischen Geheimdienstes von russischen Nachrichtendiensten durchgeführt wird. Ziel der Kampagne ist die Kompromittierung von Accounts in Messengern – Signal, WhatsApp und anderen Plattformen – die Regierungsbeamten, Militärangehörigen, Politikern und Aktivisten in der Ukraine, Europa und den USA gehören. Die Angreifer nutzen SMS-Phishing, bei dem offizielle Service-Bots der Messenger imitiert werden, um Zugangsdaten zu stehlen. Allen Nutzern sicherer Messenger, insbesondere solchen mit Bezug zu staatlichen und militärischen Strukturen, wird empfohlen, umgehend ihre aktiven Sitzungen zu überprüfen und die Zwei-Faktor-Authentifizierung zu aktivieren.

Angriffsmechanismus: SMS-Phishing als angeblicher Support

Wie der SBU berichtet, versenden die Angreifer an ihre Opfer SMS-Nachrichten, die als Benachrichtigungen des offiziellen Support-Bots des Messengers getarnt sind. Die Nachrichten verleiten Nutzer dazu, die Zugangsdaten zu ihren Konten preiszugeben – Bestätigungscodes, PIN-Codes oder Wiederherstellungsschlüssel.

Diese Social-Engineering-Methode ist aus mehreren Gründen wirksam:

  • Der SMS-Kanal wird von Nutzern als vertrauenswürdiger wahrgenommen als E-Mail
  • Die Imitation eines offiziellen Service-Bots des Messengers erzeugt den Eindruck von Legitimität
  • Dringlich formulierte Nachrichten senken die kritische Aufmerksamkeit beim Lesen

Der SBU betont, dass sich die Angriffe nicht nur gegen Organisationen, Beamte und öffentliche Personen richten, sondern auch gegen die privaten Konten gewöhnlicher Bürger der Ukraine. Dies weist auf den groß angelegten Charakter der Operation hin, bei dem persönliche Kontakte als Einstiegspunkte für den Zugriff auf wertvollere Ziele genutzt werden können.

Bedrohungskontext und Attribution

Der SBU hat die Kampagne direkt mit russischen Geheimdiensten in Verbindung gebracht, nannte jedoch keine konkrete Hackergruppierung. Zu beachten ist, dass das FBI nach vorliegenden Informationen ebenfalls eine laufende Phishing-Kampagne, die auf kommerzielle Messenger abzielt, mit russischen Nachrichtendiensten in Zusammenhang bringt, auch wenn ein ursprüngliches öffentliches Dokument des FBI hierzu in den verfügbaren Quellen nicht vorliegt – dieses Detail sollte daher mit Vorbehalt betrachtet werden, bis eine offizielle Bestätigung der US-Behörde vorliegt.

Parallel dazu hat CERT-UA berichtet über eine separate, aber thematisch verwandte Kampagne zielgerichteten Phishings, die sich gegen ukrainische Regierungsorganisationen richtet. Diese Operation wird der Gruppierung UNC1151 (auch bekannt als Ghostwriter und UAC-0057) zugeschrieben, die mit Belarus in Verbindung gebracht wird. Die Angreifer nutzten kompromittierte Konten zur Auslieferung von Schadsoftware – des Infostealers OYSTERBLUES.

Die Gesamtheit dieser Ereignisse zeigt den koordinierten Druck auf die Kommunikationsinfrastruktur der ukrainischen Staatsstrukturen aus mehreren Richtungen gleichzeitig.

Einschätzung der Auswirkungen

Die Kompromittierung von Messengern stellt eine kritische Bedrohung für mehrere Nutzergruppen dar:

  • Militärangehörige und Verteidigungssektor – Abfluss operativer Informationen, Koordinaten, Planungen
  • Regierungsbeamte – Zugriff auf politisch und wirtschaftlich sensible Kommunikation
  • Aktivisten und Journalisten – Offenlegung von Quellen, Kontakten, Aktionsplänen
  • Normale Bürger – Nutzung ihrer Accounts als Zwischenstationen für Angriffe auf höherwertige Ziele

In einem aktiven bewaffneten Konflikt kann das Abfangen militärischer Kommunikation über Messenger unmittelbare Auswirkungen auf das Geschehen an der Front haben. Messenger, die ursprünglich als geschützte Kommunikationskanäle positioniert wurden, werden gerade deshalb zu vorrangigen Zielen, weil Nutzer ihnen die sensibelsten Informationen anvertrauen.

Praktische Empfehlungen

Um das Risiko einer Kompromittierung von Messenger-Accounts zu verringern, sollten folgende Maßnahmen umgesetzt werden:

  1. Audit aktiver Sitzungen – prüfen Sie in den Einstellungen des Messengers die Liste der verbundenen Geräte (Signal: Einstellungen → Verknüpfte Geräte; WhatsApp: Einstellungen → Verknüpfte Geräte). Deaktivieren Sie alle unbekannten Sitzungen sofort
  2. Aktivieren Sie die Zwei-Faktor-Authentifizierung – aktivieren Sie den Registrierungs-PIN in Signal und die zweistufige Verifizierung in WhatsApp
  3. Geben Sie niemals Bestätigungscodes weiter – kein legitimer Dienst fordert Verifizierungscodes, PIN-Codes oder Wiederherstellungsschlüssel per SMS oder im Chat an
  4. Scannen Sie keine QR-Codes aus unzuverlässigen Quellen – ein QR-Code kann genutzt werden, um Ihr Konto mit dem Gerät eines Angreifers zu verknüpfen
  5. Ignorieren Sie verdächtige Links – klicken Sie keine Links an und öffnen Sie keine Dateien aus unbekannten oder zweifelhaften Chats
  6. Schulen Sie Ihre Mitarbeitenden – für Organisationen: informieren Sie das Personal über die laufende SMS-Phishing-Kampagne mit konkreten Beispielen für die Tarnung als Support-Bots

Angesichts der Tatsache, dass die Kampagne andauert und mehrere Länder betrifft, ist die Priorität für Gegenmaßnahmen hoch. Die Überprüfung aktiver Sitzungen und die Einrichtung der Zwei-Faktor-Authentifizierung sollten innerhalb der nächsten 24 Stunden erfolgen, insbesondere für Nutzer mit Bezug zu staatlichen, militärischen oder zivilgesellschaftlichen Strukturen. Organisationen sollten in Erwägung ziehen, für dienstliche Kommunikation auf verwaltete, unternehmensweite Messaging-Lösungen mit zentralisiertem Sitzungsmanagement umzusteigen, sofern Messenger für dienstliche Zwecke eingesetzt werden.


CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.