In dem veröffentlichten Joint Cybersecurity Advisory werden Techniken, Taktiken und Vorgehensweisen (TTPs) des Akteurs aufgelistet und Handlungsempfehlungen zur Sicherung der eigenen Netze sowie zur Abwehr potentieller Angriffe und Begrenzung möglicher Schäden gegeben.

Verantwortlich für die Angriffe ist die Einheit 26165 des russischen Militärgeheimdienstes GRU und die dazugehörige Cybergruppierung APT28, auch bekannt als Fancy Bear, Sofacy, Forest Blizzard und unter weiteren Namen. Die bereits seit 2004 im Cyberraum aktive Einheit ist insbesondere bekannt für Cyberangriffe auf politische Ziele, wie etwa den Deutschen Bundestag (2015), die Demokratische Partei der USA (2016) oder die Sozialdemokratische Partei Deutschlands (2023).

Zur Erlangung des initialen Zugriffs greift APT28 auf unterschiedliche Methoden zurück. 2023 wurden deutsche Ziele insbesondere unter Ausnutzung einer kritischen Sicherheitslücke in Microsoft Outlook und mittels Spear-Phishing-E-Mails angegriffen. 2024 lag der Fokus gegen Deutschland auf Brute-Force-Angriffen. (Bei einem Brute-Force-Angriff versucht der Angreifer durch das Ausprobieren einer hohen Anzahl möglicher Kombinationen legitime Zugangsdaten zu erraten.)

Die Cyberangriffe dienen der Spionage gegen Infrastruktur-Knotenpunkte wie etwa Flughäfen, Seehäfen, Bahnstrecken und Grenzübergänge. Hierzu wurden durch die GRU-Einheit 26165 beispielsweise IP-Kameras an entsprechenden Orten in der Ukraine und ihren Anrainerstaaten infiltriert, um Hilfslieferungen zu beobachten, zu verfolgen und dadurch mutmaßliche Sabotageangriffe zu ermöglichen.

Quelle: BSI