Seit April 2024 ist die Hackergruppe Sednit mit einem erneuerten Werkzeugkasten wieder in Erscheinung getreten. Dieser stützt sich auf zwei Schadprogramme – BeardShell und Covenant –, die jeweils einen anderen Cloud-Dienst als Kommunikationskanal nutzen und so die Ausfallsicherheit der Infrastruktur gewährleisten. Der kombinierte Einsatz beider Schadprogramme ermöglichte eine langfristige Überwachung ukrainischer Militärangehöriger. Bemerkenswerterweise lässt sich der Code dieser aktuellen Werkzeuge direkt auf solche zurückführen, die die Gruppe bereits um 2010 einsetzte.

Die wichtigsten Erkenntnisse dieses Beitrags:

  • ESET-Forscher konnten die Reaktivierung des spezialisierten Implantat-Teams von Sednit auf einen Fall aus dem Jahr 2024 in der Ukraine zurückverfolgen, bei dem ein Keylogger namens SlimAgent zum Einsatz kam.
  • Der Code von SlimAgent wurde von Xagent abgeleitet – Sednits zentraler Hintertür aus den 2010er Jahren.
  • Im Rahmen derselben Operation wurde auch BeardShell eingesetzt, ein weiteres von Sednit entwickeltes Schadprogramm. Es führt PowerShell-Befehle über einen legitimen Cloud-Dienst aus, der als verdeckter Kommunikationskanal dient.
  • BeardShell verwendet eine charakteristische Verschleierungstechnik, die sich auch in Xtunnel findet – dem Sednit-Werkzeug zur Netzwerkweiterleitung aus den 2010er Jahren.
  • In den Jahren 2025 und 2026 setzte Sednit BeardShell wiederholt gemeinsam mit Covenant ein, einem dritten wesentlichen Bestandteil seines modernen Werkzeugkastens.
  • Sednit hat dieses ursprünglich quelloffene Implantat grundlegend überarbeitet, um langfristige Spionageoperationen zu unterstützen, und dabei ein neues Netzwerkprotokoll auf Basis eines weiteren legitimen Cloud-Dienstes implementiert.

Hintergrundinformationen zu Sednit

Die Sednit-Gruppe – auch bekannt unter den Namen APT28, Fancy Bear, Forest Blizzard oder Sofacy – ist nachweislich seit mindestens 2004 aktiv. Das US-Justizministerium hat die Gruppe mitverantwortlich für den Einbruch in die Systeme des Demokratischen Nationalkomitees (DNC) kurz vor den US-Präsidentschaftswahlen 2016 gemacht und sie der Einheit 26165 des russischen Militärgeheimdienstes GRU zugeordnet. Darüber hinaus wird Sednit unter anderem mit dem Cyberangriff auf den internationalen Fernsehsender TV5Monde, dem Datenleck bei der Welt-Anti-Doping-Agentur (WADA) sowie zahlreichen weiteren Vorfällen in Verbindung gebracht.

Was wurde aus Sednits hochentwickeltem Arsenal?

Sednit gilt als eine der APT-Gruppen mit der beeindruckendsten Liste kompromittierter Ziele. Zu den bekanntesten Fällen zählen der Angriff auf den Deutschen Bundestag (2015), den französischen Sender TV5Monde (2015) sowie das Demokratische Nationalkomitee der USA (2016).

In dieser Phase öffentlichkeitswirksamer Operationen verfügte Sednit über ein umfangreiches Arsenal maßgeschneiderter Schadsoftware: von vollwertigen Spionagewerkzeugen wie Xagent und Sedreco bis hin zu spezialisierten Programmen wie dem Netzwerk-Pivot-Tool Xtunnel und dem auf den Diebstahl von Daten von USB-Datenträgern ausgelegten USBStealer. Im Jahr 2016 haben wir dieses Arsenal in unserem Whitepaper Unterwegs mit Sednit ausführlich beschrieben.

Ab 2019 zeichnete sich jedoch ein deutlicher Wandel ab: Bis vor Kurzem wurden Sednits hochentwickelte Implantate kaum noch im Einsatz beobachtet – seltene Ausnahmen bildeten etwa die von Trellix im Jahr 2021 dokumentierte Graphite-Malware. Gleichzeitig intensivierte die Gruppe ihre Phishing-Aktivitäten erheblich. Die dabei verwendete maßgeschneiderte Schadsoftware beschränkte sich meist auf einfache, skriptbasierte Implantate. Die Gründe für diesen technischen Strategiewechsel sind bis heute nicht abschließend geklärt.

Eine tiefergehende technische Analyse gibt es im englischsprachigen Original-Blogpost.