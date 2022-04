Microsoft hat nach eigenen Angaben die Kontrolle über sieben Domains übernommen, die demnach für Cyberangriffe benutzt wurde, um einen Vorteil im Krieg gegen die Ukraine zu erlangen. Hinter den Angriffen beobachtete das Unternehmen die Sofacy Group, die Geheimdienst-Einschätzungen zufolge dem russischen Militärgeheimdienst GRU angehört.

Domains auf kontrolliertes Sinkhole weitergeleitet

Ziel der Angriffe von Strontium – eine von vielen Bezeichnungen für die Sofacy Group, die Microsoft benutzt – über die kontrollierten Domains sind der Mitteilung nach außenpolitische Regierungsinstitutionen und Denkfabriken der Europäischen Union und den USA gewesen. Auch ukrainische Institutionen, einschließlich Medienorganisationen, nahmen die Akteure ins Visier. Man gehe davon aus, dass ein langfristiger Zugang zu den angegriffenen Systemen hergestellt werden sollte, um "taktische Unterstützung für die physische Invasion zu ermöglichen und sensible Informationen zu exfiltrieren".

Microsoft habe in der vergangenen Woche den erforderlichen Gerichtsbeschluss zur Übernahme der sieben von der Sofacy Group genutzten Internetdomains erhalten und die Angriffe unterbrochen. Der Mitteilung zufolge hat der Softwarehersteller die Domains an ein von Microsoft kontrolliertes Sinkhole weitergeleitet. Die ukrainische Regierung sei über die festgestellten Aktivitäten und ergriffenen Maßnahmen informiert worden.

Cyberkrieg in der Ukraine

Bereits kurz nach Beginn der russischen Invasion warnten Sicherheitsforscher vor der datenlöschenden Malware "HermeticWiper", die auf hunderten ukrainischen Rechnern entdeckt wurde – die Aktion sei lange vorher vorbereitet worden. Später entdeckten die gleichen Sicherheitsforscher weitere Schädlinge, darunter auch Würmer. Ende März kam es zu einem Netzausfall durch einen massiven Cyberangriff auf einen der größten ukrainischen Internetprovider.

Die Ukraine befindet sich bereits seit Jahren im Cyberkrieg mit Russland und sei deshalb besser als etwa deutsche Unternehmen und öffentliche Einrichtungen gegen einen Angriff aus dem Cyberraum gerüstet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt offiziell "vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky". Kriminelle nutzen die Situation aus und starten Phishing-Versuche – unter Vorgabe "der Einhaltung der Sanktionen der EU gegen Russland" –, um an Bankzugangsdaten heranzukommen.

Microsoft beschreibt in seiner Mitteilung die aktuellen Angriffe der Sofacy Group ebenfalls als "nur einen kleinen Teil der Aktivitäten, die in der Ukraine beobachtet werden". Man habe bereits vor der russischen Invasion begonnen, ukrainische Organisationen und Regierungsbehörden im Cyberkrieg zu unterstützen und arbeite weiterhin eng mit ihnen zusammen. Seitdem beobachte man "fast alle nationalstaatlichen Akteure Russlands bei der Beteiligung an laufenden, groß angelegten Offensiven gegen die ukrainische Regierung und kritische Infrastrukturen". In den kommenden Wochen erwarte man einen umfassenderen Überblick über das Ausmaß des Cyberkriegs in der Ukraine.

(bme)