Russisches Sicherheitsunternehmen Kaspersky heute neue Forschungsergebnisse veröffentlicht Das fügt dem Puzzle einer Hackergruppe ein weiteres Teil hinzu, deren Aktivitäten offenbar weiter zurückreichen, als Forscher bisher angenommen haben.
Letzte Woche veröffentlichte Forschungsergebnisse des Sicherheitsunternehmens Malwarebytes werfen neues Licht auf eine Hackergruppe namens Red Stinger, die Spionageoperationen sowohl gegen pro-ukrainische Opfer in der Zentralukraine als auch gegen pro-russische Opfer in der Ostukraine durchgeführt hat. Die Ergebnisse waren aufgrund der ideologischen Mischung der Ziele und der fehlenden Verbindungen zu anderen bekannten Hackergruppen faszinierend. Einige Wochen bevor Malwarebytes seinen Bericht veröffentlichte, hatte Kaspersky auch Untersuchungen über die Gruppe veröffentlicht, die es Bad Magic nennt, und kam ebenfalls zu dem Schluss, dass die bei den Angriffen verwendete Malware keine Verbindung zu anderen bekannten Hacking-Tools hatte. Die heute von Kaspersky veröffentlichte Untersuchung bringt die Gruppe endlich mit früheren Aktivitäten in Verbindung und liefert einen vorläufigen Kontext, um die möglichen Beweggründe der Angreifer zu verstehen.
Kaspersky-Forscher ergänzten die Malwarebytes-Forschung mit dem, was sie unabhängig gefunden hatten, und überprüften historische Telemetriedaten, um nach Zusammenhängen zu suchen. Schließlich stellten sie fest, dass einige der von der Gruppe verwendeten Cloud-Infrastrukturen und Malware Ähnlichkeiten mit Spionagekampagnen des Sicherheitsunternehmens in der Ukraine aufwiesen ESET wurde 2016 identifiziertsowie Kampagnen für das Unternehmen CyberX wurde 2017 entdeckt.
„Malwarebytes hat mehr über die anfängliche Infektionsphase herausgefunden, und dann haben sie mehr über das Installationsprogramm herausgefunden“, das seit 2020 bei einigen Angriffen der Gruppe verwendet wurde, sagt Georgy Kucherin, ein Kaspersky-Malware-Forscher. „Nach der Veröffentlichung unseres Berichts über die Malware haben wir beschlossen, historische Daten zu ähnlichen Kampagnen einzusehen, die ähnliche Ziele verfolgen und in der Vergangenheit stattgefunden haben. So entdeckten wir die beiden ähnlichen Kampagnen von ESET und CyberX und kamen mit mittlerer bis hoher Sicherheit zu dem Schluss, dass die Kampagnen miteinander verknüpft sind und wahrscheinlich alle von demselben Akteur ausgeführt werden.“
Die unterschiedlichen Aktivitäten im Laufe der Zeit weisen eine ähnliche Viktimologie auf, was bedeutet, dass sich die Gruppe auf die gleichen Arten von Zielen konzentrierte, darunter sowohl Beamte, die für pro-russische Fraktionen in der Ukraine arbeiteten, als auch ukrainische Regierungsbeamte, Politiker und Institutionen. Kucherin weist außerdem darauf hin, dass er und seine Kollegen Ähnlichkeiten und mehrere Überschneidungen im Code der von der Malware der Gruppe verwendeten Plugins festgestellt hätten. Einige Codes scheinen sogar von einer Kampagne zur nächsten kopiert und eingefügt worden zu sein. Und die Forscher sahen eine ähnliche Nutzung von Cloud-Speicher und charakteristischen Dateiformaten bei den Dateien, die die Gruppe auf ihre Server exportierte.
Die letzte Woche veröffentlichte Studie von Malwarebytes dokumentierte seit 2020 fünf Kampagnen der Hackergruppe, darunter eine, die sich gegen einen Angehörigen des ukrainischen Militärs richtete, der an kritischer Infrastruktur der Ukraine arbeitet. Eine weitere Kampagne richtete sich gegen pro-russische Wahlbeamte in der Ostukraine, einen Berater der Zentralen Wahlkommission Russlands und einen, der für den Transport in der Region arbeitet.
Bereits 2016 schrieb ESET über die Aktivität namens „Operation Groundbait“: „Der Hauptpunkt, der Operation Groundbait von den anderen Angriffen unterscheidet, ist, dass sie hauptsächlich auf regierungsfeindliche Separatisten in den selbsternannten Volksrepubliken Donezk und Luhansk abzielte.“ . Während die Angreifer offenbar eher an Separatisten und den selbsternannten Regierungen in den ostukrainischen Kriegsgebieten interessiert sind, gab es auch eine Vielzahl anderer Ziele, darunter unter anderem ukrainische Regierungsbeamte, Politiker und Journalisten.“