Cyberangriffe auf kritische Infrastrukturen und staatliche Einrichtungen nehmen weltweit zu – und immer wieder steht dabei die russlandnahe Gruppe Sednit (auch bekannt als Fancy Bear oder APT28) im Zentrum. ESET-Forscher haben nun eine neue, gezielte Spionagekampagne aufgedeckt: Operation RoundPress.

Im Rahmen dieser Kampagne kompromittiert Sednit gezielt Webmail-Server, indem sie Spearphishing-E-Mails verschicken, die eine XSS-Sicherheitslücke ausnutzen. Durch das Einschleusen von bösartigem JavaScript-Code in die Webmail-Oberfläche gelingt es den Angreifern, Zugangsdaten abzugreifen und E-Mails sowie Kontakte aus den Postfächern der Opfer zu exfiltrieren. Betroffen sind populäre Webmail-Lösungen wie Roundcube, Horde, MDaemon und Zimbra.

Die meisten Opfer sind Regierungsstellen und Rüstungsunternehmen in Osteuropa, doch auch Behörden in Afrika, Europa und Südamerika wurden ins Visier genommen. Besonders brisant: Die Angriffe finden in einem geopolitisch sensiblen Zeitraum statt – parallel zu den anstehenden Friedensgesprächen zwischen der Ukraine und Russland in der Türkei.

Ein weiteres technisches Detail: Die Schadsoftware „SpyPress.MDAEMON“ kann sogar eine Zwei-Faktor-Authentifizierung umgehen und so das Risiko für betroffene Organisationen weiter erhöhen.

Operation RoundPress zeigt, wie gezielt und technisch versiert Sednit vorgeht, um an sensible Informationen zu gelangen. Unternehmen und Behörden sollten ihre Webmail-Systeme dringend auf Schwachstellen prüfen und Schutzmaßnahmen ergreifen.

Sednit-Profil

Die Sednit-Gruppe - auch bekannt als APT28, Fancy Bear, Forest Blizzard oder Sofacy - ist seit mindestens 2004 aktiv. Das US-Justizministerium nannte die Gruppe als einen der Verantwortlichen für den Hack des Demokratischen Nationalkomitees (DNC) kurz vor den US-Wahlen 2016 und brachte sie mit dem GRU in Verbindung. Die Gruppe wird auch hinter dem Hack des globalen Fernsehsenders TV5Monde, dem E-Mail-Leck der Welt-Anti-Doping-Agentur (WADA) und vielen anderen Vorfällen vermutet. Sednit verfügt über ein breit gefächertes Arsenal an Malware-Tools, von denen wir einige Beispiele bereits in unserem Sednit-Whitepaper aus dem Jahr 2016 dokumentiert haben.

Überblick: Sednit/ Fancy Bear/ APT28

Die russlandnahe Gruppe Sednit (auch bekannt als Fancy Bear, APT28, Pawn Storm oder Sofacy) agiert seit mindestens 2004 als eine der aktivsten und gefährlichsten Cyber-Spionagegruppen weltweit. Ihr Ziel: das Ausspähen von Regierungen, Militär, Verteidigungsunternehmen und politischen Akteuren – insbesondere in Europa, aber auch weltweit.

Taktiken, Techniken und Ziele

Sednit ist bekannt für:

Spearphishing-Kampagnen: Hochgradig personalisierte E-Mails, die gezielt an hochrangige Ziele gesendet werden. Zero-Day-Exploits und eigene Exploit-Kits: Die Gruppe entwickelt und nutzt eigene Schwachstellen und Angriffswerkzeuge, um Sicherheitsmechanismen zu umgehen. Langanhaltende Infiltration: Ziel ist der dauerhafte, verdeckte Zugriff auf Netzwerke und Systeme, um kontinuierlich Daten abzugreifen.

Details zu Operation RoundPress

  • Angriffsvektor: Spearphishing-E-Mail mit XSS-Exploit, der bösartige JavaScript-Payloads in Webmail-Umgebungen einschleust.
  • Betroffene Systeme: Roundcube, Horde, MDaemon, Zimbra.
  • Funktionen der Malware:
    • Diebstahl von Zugangsdaten
    • Exfiltration von Kontakten und E-Mails
    • Umgehung von Zwei-Faktor-Authentifizierung (bei MDaemon via SpyPress.MDAEMON)
  • Zielgruppen:
    • Mehrheitlich Regierungsstellen und Verteidigungsunternehmen in Osteuropa
    • Weitere Ziele in Afrika, Europa und Südamerika

Geopolitischer Kontext

Die zeitliche Nähe der Angriffe zu den Friedensgesprächen zwischen der Ukraine und Russland unterstreicht die strategische Ausrichtung der Operation. Sednit ist bekannt dafür, Cyberangriffe mit geopolitischen Ereignissen zu verknüpfen, um maximalen Einfluss zu erzielen.

Historie und Einordnung

Sednit/ APT28 ist seit Jahren für spektakuläre Angriffe bekannt, darunter die Attacken auf den Deutschen Bundestag, die US-Demokraten (DNC) und die Welt-Anti-Doping-Agentur (WADA). Die Gruppe nutzt fortschrittliche Spionagesoftware wie SEDRECO, XAGENT und XTUNNEL, um Netzwerke langfristig auszuspähen.

Eine detaillierte technische Analyse finden Sie im englischsprachigen Original-Blogpost auf Welivesecurity.com.