Cyberkriminelle nehmen Spyware-Hersteller als Vorbild bei Angriff auf Browser
Cyberangriffe auf Besucher von Regierungsseiten zeigen dasselbe Vorgehen wie Intellexa und die NSO Group. Es war wohl eine von Russland unterstützte Gruppe.
(Bild: Motortion Films/Shutterstock.com)
- Frank Schräer
IT-Sicherheitsforscher haben in den letzten Monaten mehrere Cyberangriffe auf Besucher von zuvor infizierten Webseiten der mongolischen Regierung festgestellt. Diese Attacken werden mit hoher Wahrscheinlichkeit einer von Russland unterstützten kriminellen Gruppe zugeschrieben. Dabei wurden dieselben Sicherheitslücken ausgenutzt und dieselbe Vorgehensweise gefunden, die auch kommerzielle Spyware-Anbieter wie Intellexa und die NSO Group verwendet haben. Die Angreifer konnten durch in Websites eingeschleuste Malware Daten aus den Webbrowsern der Besucher auslesen, etwa Cookies, Kennwörter und Internet-Verläufe.
Bei den Angreifern handelt es sich wohl um APT29 (auch als "Cozy Bear" bekannt), eine von der russischen Regierung unterstützte Gruppe von Cyberkriminellen. Dieser Bande werden auch Cyber-Attacken auf den Softwareanbieter SolarWinds und versuchte Wahlmanipulation in den USA vorgeworfen. Zuletzt war der Gruppe eine sprachlich misslungene Spear-Phishing-Attacke auf die CDU zugerechnet worden, noch bevor eine Lücke im Check Point Gateway das Einfallstor für den jüngsten CDU-Angriff ausgemacht wurde. APT29 wird zum Umfeld des russischen Militärgeheimdiensts GRU gezählt.
Jetzt bringt Googles "Threat Analysis Group" (TAG) die Gruppe mit Cyberangriffen auf Webseiten des mongolischen Kabinetts und dem Außenministerium des Landes in Verbindung. Diese hätten die Websites als sogenanntes "Watering Hole" genutzt – normale, unverdächtige und häufig frequentierte Internetseiten, um sie mit Malware zu infizieren. In diesem Fall wurden versteckte iFrames ausgeliefert, durch die Daten von Besuchern abgriffen werden konnten, wie die TAG schreibt.
Angriffe auf Internetnutzer mit Smartphones
Zunächst wurden iPhones der Seitenbesucher angegriffen, nämlich im November 2023 und im Februar 2024, um Cookies und dort gespeicherte Daten auszulesen. Im Juli 2024 wurden dann auch Chrome-Nutzer von Android unter den Besuchern attackiert, wobei in allen Fällen versteckte iFrames genutzt wurden. Zwar waren entsprechende Sicherheitslücken von den Herstellern zu den genannten Zeitpunkten bereits geschlossen worden, jedoch waren viele Geräte noch nicht durch Updates oder Patches entsprechend aktualisiert.
Die TAG bemerkt, dass der Code beim Angriff auf iPhones "genau denselben Trigger wie der Exploit von Intellexa" verwendete. Die Android-Attacke wurde hingegen leicht modifiziert gegenüber der Vorgehensweise der NSO Group, nutzte aber einen "sehr ähnlichen Auslöser", obwohl sie sich konzeptuell unterscheidet und die Ähnlichkeiten weniger offensichtlich sind als beim iOS-Angriff. Während von iPhones lediglich Cookie-Daten erbeutet werden konnten, waren beim Android-Angriff zusätzlich im Chrome-Browser gespeicherte Log-in-Daten und der Internet-Verlauf betroffen.
Spyware gekauft und kopiert oder alles nur geklaut?
Unklar bleibt, wie die russischen Cyberangreifer an die Details zum Ausnutzen dieser Sicherheitslücken gekommen sind. Sie könnten die Informationen von den kommerziellen Spyware-Herstellern Intellexa oder der NSO Group erworben oder gestohlen haben. Denn es deutet laut TAG nichts darauf hin, dass diese Angriffe komplett selbst entwickelt wurden.
Das europäische Intellexa-Konsortium ist bekannt für die Spyware Predator, die laut den USA weltweit als digitales Repressionsmittel eingesetzt wird. Deshalb haben sie das Vorgehen gegen Entwickler und Anbieter kommerzieller Spyware Anfang dieses Jahres verschärft und sind gegen führende Köpfe der Spyware-Entwickler von Intellexa vorgegangen. Von der NSO Group kennt man die Pegasus-Spyware, mit der jüngst auch Putin-kritische Journalisten in der EU angegriffen wurden.
(fds)