Frankreich deckt Cyberangriffe von GRU-Hackern auf strategische Objekte auf.

Frankreich hat die GRU-Hacker der Gruppe APT28 (Fancy Bear) beschuldigt, Angriffe auf seine kritische Infrastruktur durchgeführt zu haben.

Dem Bericht von CERT-FR zufolge wurden im Zeitraum von 2021 bis 2024 folgende Objekte angegriffen:

• Ministerien, lokale Behörden und staatliche Einrichtungen;
• Organisationen der Verteidigungsindustrie (DTIB);
• Luft- und Raumfahrtunternehmen;
• Forschungseinrichtungen und analytische Zentren;
• Organisationen des Wirtschafts- und Finanzsektors.

Ziele der Angriffe im Jahr 2024

Im Jahr 2024 wurden hauptsächlich Regierungs-, Diplomatie-, Forschungs- und analytische Institutionen, einschließlich französischer staatlicher Einrichtungen, angegriffen.

Die Angreifer der Gruppe APT28 führten zunächst Phishing-Kampagnen durch, nutzten dabei Sicherheitsanfälligkeiten, einschließlich 'Zero-Day'-Sicherheitslücken, und führten E-Mail-Angriffe durch, indem sie Passwörter knacken.

Beispiele für Angriffe

Angriffe auf Roundcube-E-Mail-Server über Phishing.

Die Angreifer von APT28 versendeten Phishing-E-Mails an Benutzer, die mit dem Roundcube-E-Mail-Server arbeiteten. Die E-Mails enthielten Links oder schädlichen Code, der Sicherheitsanfälligkeiten des Servers ausnutzte. Ziel des Angriffs war es, Zugriff auf den Inhalt der Postfächer zu erhalten, einschließlich E-Mails, Kontakte und vertrauliche Daten, sowie neue Ziele für zukünftige Angriffe zu finden.

2023-Kampagnen über kostenlose Webservices.

APT28 versendete Phishing-E-Mails mit Links zu kostenlosen Hosting-Diensten von InfinityFree. Benutzer luden eine ZIP-Datei herunter, die die Schadsoftware HeadLace enthielt. Diese Software sammelte Anmeldedaten wie Benutzernamen und Passwörter sowie Systeminformationen und installierte einen Aufgabenplaner für permanenten Zugriff.

Kampagne mit OceanMap Stealer.

Die Hacker verwendeten eine erweiterte Version von OceanMap Stealer - einer Schadsoftware zur Datendiebstahl. Diese Software nutzte das IMAP-Protokoll, um gespeicherte Anmeldedaten aus Browsern zu extrahieren und diese Daten über verschlüsselte Kanäle an die Angreifer zu senden.

Phishing-Angriffe auf Benutzer von UKR.NET, Yahoo, ZimbraMail und Outlook Web Access.

Benutzer erhielten Phishing-E-Mails mit Links zu gefälschten Anmeldeseiten der oben genannten Dienste, um ihre Anmeldenamen und Passwörter zu stehlen.

Diese Studie von CERT-FR bestätigt die Vorwürfe Frankreichs über Cyberangriffe von der GRU und der Gruppe APT28. Die Angriffe auf die kritische Infrastruktur Frankreichs hatten das Ziel, Zugriff auf vertrauliche Daten zu erhalten und die Datenbank mit neuen Zielen für zukünftige Angriffe zu bereichern. Dies unterstreicht die Bedeutung der Gewährleistung der Cybersicherheit und des Schutzes von Informationen im Land.