GSB 7.0 Standardlösung

Warnmeldung vom 22. September 2016 zu APT 28

Datum 23.09.2016

Der Cyberabwehr des BfV liegen Erkenntnisse zu einen Angriff auf zumindest ein deutsches Medienunternehmen vor

Der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) liegen Erkenntnisse zu einem versuchten Cyberangriff der Angreifergruppierung APT 28 auf zumindest ein deutsches Medienunternehmen vor. Der Angriff erfolgte über eine Spear-Phishing Mail mit einem darin enthaltenen Link zu einer mit Schadcode infizierten Seite.

Der gespoofte („gefälschte“) Absender lautete heinrich.krammer@hq.nato.int.

Diese Absenderadresse wurde auch bei den im August und September 2016 erfolgten Cyberattacken auf den Deutschen Bundestag, die Partei DIE LINKE und die CDU Saarland genutzt.

Beide Angriffswellen weisen starke technische Überschneidungen auf. Alle bislang festgestellten Angriffsversuche erfolgten zwischen dem 15. August und dem 15. September 2016.
Bei einem der Angriffe wurde statt eines schadhaften Links ein maliziöses Office-Dokument als Anlage verwendet.

Viele der von den Akteuren der APT 28 Kampagne versandten Spear-Phishing Mails sind in der Regel in englischer Sprache verfasst und nehmen Bezug auf ein aktuelles tagespolitisches Ereignis. Das Opfer wird in diesen E-Mails aufgefordert, für weiterführende Informationen einen maliziösen Link oder ein schadhaftes Office-Dokument zu öffnen. Klickt das Opfer auf den Link, wird er auf eine legitime Nachrichtenseite weitergeleitet, während sich im Hintergrund die Schadsoftware automatisch auf seinem Rechner installiert.

Bewertung des BfV
Die Kampagne APT 28 stellt derzeit eine der aktivsten und aggressivsten Cyberspionageoperationen im virtuellen Raum dar. Bei dieser Kampagne bestehen Indizien für eine Steuerung durch staatliche Stellen in Russland.

Dazu erklärte der Präsident des BfV, Dr. Hans-Georg Maaßen:
“Wir beobachten gegenwärtig eine Welle von Cyberattacken, die weit über die bisher bekannten Angriffe gegen den Deutschen Bundestag sowie gegen Parteien hinausgeht. Aufgrund des Modus operandi und der technischen Parameter rechnen wir diese Angriffe der Kampagne APT 28 zu. Die Angriffswelle ist Bestandteil einer der derzeit aktivsten und aggressivsten Cyberspionageoperationen. Bei dieser Kampagne sehen wir Anhaltspunkte für eine Steuerung durch staatliche Stellen in Russland."

Handlungsempfehlung des BfV
Die Cyberabwehr des BfV empfiehlt eine Überprüfung der E-Mail Postfächer nach der Absenderadresse heinrich.krammer@hq.nato.int.

Zudem wird eine Prüfung empfohlen, ob empfangene E-Mails (z. B. von internationalen Organisationen) tatsächlich von Ihnen auch bekannten Absendern stammen.

Rückmeldungen und Nachfragen an die Cyberabwehr des BfV über die
E-Mailadresse: cyberabwehr@bfv.bund.de

Logo BfV
Logo BKA
Logo BND
Logo BSI