Cyberattacke auf SPD und andere: Russische Angreifer nutzten Outlook-Lücke

Bei dem Angriff, der 2023 unter anderem die SPD-Parteizentrale getroffen hat, nutzten die Täter eine Lücke in Outlook aus und setzten ein Botnet ein.

In Pocket speichern vorlesen Druckansicht 109 Kommentare lesen
Hände an Laptop-Tastatur mit unscharfem Code im Hintergrund

(Bild: Tero Vesalainen/Shutterstock.com)

Lesezeit: 2 Min.

Bei dem Angriff vom Januar 2023, bei dem der SPD-Vorstand über eine Sicherheitslücke in Outlook angegriffen wurde, war auch eine Vielzahl anderer Unternehmen und Institutionen betroffen. Das bestätigte das Bundesinnenministerium am Freitag.

Die Angriffe haben sich nach Behördenangaben auch gegen Unternehmen der Logistikbranche sowie der Rüstungs-, Luft- und Raumfahrtbranche gerichtet. Auch einige Stiftungen und Verbände seien betroffen. Außer deutschen Stellen wurden auch Ziele in der Tschechischen Republik, der Ukraine und weiteren diese unterstützenden Staaten von APT-28 als Teil dieser Kampagne angegangen.

Die Angreifer nutzten dabei die als CVE-2023-23397 bezeichnete Lücke in Outlook für Windows aus, die seit mindestens März 2022 bestand und die Microsoft erst zwei Monate nach dem Angriff Mitte März 2023 geschlossen hat.

Die Angreifer sollen die Sicherheitslücke als Einfallstor genutzt haben, um sich erhöhte Privilegien und Zugriff auf gehashte Nutzerpassworte zu verschaffen. APT-28 soll für den Angriff zudem auf ein Netz aus mittels MooBot infizierten, unsicheren Ubiquity Edge-Router zurückgegriffen haben, das in einer gemeinsamen Aktion von FBI, BKA und anderen Polizeien weltweit im Februar remote gepatcht wurde.

Dabei scheint es den Angreifern in erster Linie um Spionage gegangen zu sein: Von Sabotagehandlungen, die damit auch die völkerrechtliche Grenze zu kriegerischen Handlungen überschreiten könnten, ist den deutschen Behörden im Zuge des Angriffs durch die auch "Fancy Bear" genannten Akteure nichts bekannt. Anders als Sabotage ist digitale Spionage völkerrechtlich vergleichsweise unbedenklich, wenn auch ein Verstoß gegen die UN-Regeln für verantwortliches Verhalten im Cyberspace.

"Wir können diesen Angriff vom letzten Jahr heute eindeutig der Gruppe APT28 zuordnen, die vom russischen Geheimdienst GRU gesteuert wird", sagte Bundesaußenministerin Annalena Baerbock am Freitag. Das Auswärtige Amt hat am Mittag den Geschäftsträger der russischen Botschaft in Berlin einbestellt, um förmlich Protest gegen das Vorgehen auszusprechen.

Die Bundesregierung nimmt das zum Anlass, "Schutzmaßnahmen gegen hybride Bedrohungen im Hinblick auf Europawahl" hochzufahren. "In diesem Jahr mit der Europawahl und weiteren Wahlen müssen wir uns gegen Hackerangriffe, Manipulationen und Desinformation besonders wappnen", sagte Bundesinnenministerin Nancy Faeser (SPD). Zur Europawahl sei mit einer Zunahme ausländischer Desinformation und Manipulationsversuchen "im Informationsraum" zu rechnen.

(vbr)