Beobachtungen
In den vergangenen Wochen sind erneut Cyberspionage-Operationen der APT-Gruppierung „Ghostwriter“ bekanntgeworden. Aus den Medien ist bekannt, dass die Gruppierung 2021 bereits mehrere Bundestags- und Landtagsabgeordnete ins Visier genommen hatte. Die Cyberabwehr des Landesamtes für Verfassungsschutz Baden-Württemberg veröffentlichte in den vergangenen Jahren wiederholt Sicherheitshinweise zu den Aktivitäten von Ghostwriter.
Derzeit bemüht sich die Gruppierung laut Cyberpress und Censys besonders um die Ausspähung von Gmail-/Google-Konten mittels Phishings. Dabei werden auch die SMS- und OTP-basierte Multi-Faktor-Authentifizierung (MFA) umgangen. Im Fokus stehen beispielsweise Politiker, Journalisten und Personen des öffentlichen Lebens. Die jüngst bekanntgewordenen Angriffe galten Personen aus Osteuropa, insbesondere ukrainischen und polnischen Zielen sowie belarussischen Oppositionellen. Eine Ausweitung des Vorgehens auf andere europäische Ziele einschließlich Deutschlands und weitere Dienste kann angesichts der vergangenen Aktivitäten nicht ausgeschlossen werden.
Methoden
Ghostwriter setzt auf gezielte Phishing-Angriffe (Spear-Phishing) mittels nahezu perfekt imitierter E-Mails und Webseiten. So werden Nutzer beispielsweise unter dem Vorwand der Verifizierung ihres Gmail-/Google-Kontos oder verdächtiger Konto-Aktivitäten aufgefordert eine von den Angreifern betriebene Webseite aufzurufen. Hierbei wird ein hoher Zeitdruck vorgegaukelt, indem behauptet wird, das Konto werde andernfalls nach 24 Stunden deaktiviert bzw. gelöscht. Wie beim klassischen massenhaften Phishing, sollen sich die Personen im weiteren Verlauf mit ihren Zugangsdaten einloggen, einschließlich der Abfrage der MFA. Die Eingaben werden in Echtzeit an die Angreifer übermittelt, welche somit Zugang zum Konto erlangen können. Diese Vorgehensweise wird als Adversary-in-the-Middle (AiTM) bezeichnet.
Die Gruppierung ist für sogenannte Hack-and-Leak bzw. Hack-and-Publish Operationen mit dem Ziel der Beeinflussung des öffentlichen Meinungsbildes bekannt. Im Vordergrund steht daher das Sammeln sensibler und privater Informationen, welche veröffentlicht werden um Opfern zu schaden, und das Ausnutzen von gekaperten Zugängen für die Veröffentlichung und Verbreitung von Falschinformationen über legitime Profile und Nachrichtenportale. Zudem werden erlangte Kontaktinformationen gegebenenfalls zur Identifizierung weiterer Ziele herangezogen.
Attribution
Für Ghostwriter werden auch die Bezeichnungen UNC1151, UAC-0057 sowie FrostyNeighbor verwendet. Die APT-Gruppierung ist wahrscheinlich bereits seit etwa 10 Jahren aktiv und wird dem russischen Staat, konkret dem russischen Militärgeheimdienst GRU, zugeordnet. Es werden aber auch enge Beziehungen zur belarussischen Regierung attestiert. Die Interessen beider Staaten weisen große Überschneidungen auf. Es gibt Anzeichen, die auf eine Kooperation hinsichtlich der Ghostwriter-Aktivitäten hinweisen.
Empfehlungen
Ghostwriter war in den letzten Jahren durchweg aktiv und setzt seine Anstrengungen fort, Ziele anzugreifen, die den Interessen Russlands und seines engen Verbündeten Belarus entgegenstehen. Während Belarus nicht militärisch am Krieg gegen die Ukraine teilnimmt, nehmen Cyberakteure regelmäßig ukrainische Ziele ins Visier. Aufgrund der kontinuierlichen Unterstützung der Ukraine durch Deutschland, ist auch mit erneuten Angriffen der Ghostwriter-Gruppierung gegen deutsche Ziele zu rechnen.
Besonders bei unerwartet angeforderten Verifizierungen von Gmail-/Google-Konten sollte vor dem Hintergrund der aktuellen Phishing-Kampagne sichergestellt werden, dass E-Mails tatsächlich vom Betreiber des Dienstes stammen und keine Weiterleitung auf nachgeahmte Webseiten vorliegt. Die Vorgehensweise kann grundsätzlich auch bei anderen Diensten eingesetzt werden, daher ist eine allgemein erhöhte Aufmerksamkeit und Sensibilisierung für Phishing-Angriffe weiterhin wichtig. Verdächtige E-Mails sollten gemeldet und verdächtige Links keinesfalls geöffnet werden. Censys stellt eine aktuelle Liste von Indicators of Compromise (IOCs) für diese Kampagne zur Verfügung. Wir raten daher, die eigenen Systeme anhand der IOCs auf eine mögliche Betroffenheit zu prüfen.