Microsoft Threat Intelligence hat eine hochentwickelte Cyberspionage-Kampagne aufgedeckt, die gezielt gegen ausländische diplomatische Vertretungen in Moskau gerichtet ist. Die Hackergruppe Secret Blizzard, auch bekannt unter den Bezeichnungen Turla, Waterbug und Venomous Bear, setzt dabei auf eine besonders perfide Methode: Die Tarnung von Schadsoftware als legitimen Kaspersky-Antivirus-Installer.
Kompromittierte Internet-Provider ermöglichen Man-in-the-Middle-Angriffe
Die seit 2024 laufende Angriffskampagne wurde erst im Februar 2025 von Sicherheitsexperten identifiziert. Das Besondere an dieser Operation: Die Cyberkriminellen haben sich privilegierten Zugang zur Netzwerkinfrastruktur mehrerer nicht näher benannter Internet-Service-Provider verschafft. Diese Position ermöglicht es ihnen, hocheffektive Man-in-the-Middle-Attacken (MitM) durchzuführen.
Durch die Kontrolle über den Datenverkehr können die Angreifer ihre Ziele auf präparierte Websites umleiten, die täuschend echt bekannte und vertrauenswürdige Plattformen nachahmen. Diese Methode schafft bei den Opfern ein falsches Sicherheitsgefühl und erhöht die Erfolgswahrscheinlichkeit der Attacke erheblich.
ApolloShadow: Trojaner im Gewand des Virenschutzes
Das Herzstück der Angriffsstrategie bildet die Malware ApolloShadow, die sich als authentischer Kaspersky-Antivirus-Installer ausgibt. Nach der Weiterleitung auf eine von den Hackern kontrollierte Domain werden den Nutzern gefälschte Zertifikatsfehler angezeigt.
Als vermeintliche Lösung wird den Opfern der Download und die Installation des manipulierten Installers angeboten. Nach der Aktivierung analysiert ApolloShadow die ProcessToken-Berechtigungen des Systems. Verfügt das Gerät nicht standardmäßig über Administratorrechte, löst die Schadsoftware ein User Account Control (UAC)-Fenster aus, um erweiterte Systemzugriffe zu erlangen.
Gefährliche Root-Zertifikat-Installation
Für die Erlangung umfassender Systemberechtigungen nutzt ApolloShadow die Datei CertificateDB.exe, die als Kaspersky-Komponente getarnt ist. Dieser ausführbare Code dient der Installation von Root-Zertifikaten, was den Angreifern kritische Möglichkeiten eröffnet.
Die Einschleusung eines Root-Zertifikats ermöglicht es Secret Blizzard, das kompromittierte System zu täuschen und bösartige Webressourcen als vollständig legitim und sicher erscheinen zu lassen. Dies gewährleistet einen langfristigen, verdeckten Zugang zum System der Opfer.
Erhöhtes Risiko für diplomatische Einrichtungen
Diese Angriffskampagne stellt eine besondere Bedrohung für diplomatisches Personal dar, das lokale Telekommunikationsanbieter und Internetdienste nutzt. Microsoft betont, dass dies der erste dokumentierte Fall ist, der die Fähigkeit von Secret Blizzard zur Durchführung von Spionageoperationen auf Provider-Ebene bestätigt.
Adversary-in-the-Middle (AitM)-Angriffe schaffen ein kritisch hohes Risiko für diplomatische Missionen, da sie die Interception vertraulicher Korrespondenz und den Zugriff auf staatlich relevante, geheime Informationen ermöglichen. Die Tragweite solcher Kompromittierungen kann internationale Beziehungen und nationale Sicherheitsinteressen erheblich beeinträchtigen.
Unklare Verbindungen zu Telekommunikationsanbietern
Die Microsoft-Forscher weisen ausdrücklich darauf hin, dass die Art der Beziehung zwischen der Hackergruppe und den Internet-Providern ungeklärt bleibt. Diese Ungewissheit wirft zusätzliche Fragen über das Ausmaß der Kompromittierung der Telekommunikationsinfrastruktur auf.
Die Entdeckung derartiger Angriffe unterstreicht die kritische Bedeutung verstärkter Cybersicherheitsmaßnahmen für diplomatische Vertretungen. Organisationen müssen mehrstufige Schutzsysteme implementieren, die eine sorgfältige Überprüfung digitaler Zertifikate, kontinuierliche Netzwerküberwachung und regelmäßige Schulungen des Personals in Informationssicherheit umfassen. Nur durch proaktive Sicherheitsstrategien können solche hochentwickelten Bedrohungen erfolgreich abgewehrt werden.
