Geheime Cyberkriegsführung im Fokus: APT28 attackiert Logistik: Behörden warnen drastisch
Mit einem gemeinsamen Sicherheitshinweis warnen Bundesnachrichtendienst (BND), das Bundesamt für Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor gezielten Cyberangriffen der russischen GRU-Einheit 26165 auf westliche Logistik- und Technologieunternehmen – vor allem im Kontext von Ukraine-Hilfslieferungen.
Die russische GRU-Einheit 26165 führt offenbar koordinierte Cyberangriffe gegen westliche Technologie- und Logistikunternehmen durch – insbesondere gegen jene, die an Hilfslieferungen für die Ukraine beteiligt sind. Die Warnung der deutschen Behörden erfolgte gemeinsam mit internationalen Partnern im Rahmen eines Joint Cybersecurity Advisory, das detaillierte Informationen zu den Taktiken, Techniken und Vorgehensweisen (TTPs) der russischen Angreifer enthält. Im Zentrum steht dabei die Einheit 26165 des russischen Militärgeheimdienstes GRU, auch bekannt als APT28 – eine der berüchtigtsten Cybergruppen weltweit. Die Gruppe operiert unter verschiedenen Namen wie Fancy Bear, Sofacy oder Forest Blizzard und ist bereits seit 2004 aktiv.
APT28 ist verantwortlich für zahlreiche bekannte Angriffe, unter anderem auf den Deutschen Bundestag (2015), die Demokratische Partei der USA (2016) oder zuletzt auf die SPD (2023). Aktuell richtet sich die Gruppe gezielt gegen logistische Schlüsselinfrastrukturen, die im Kontext der Ukraine-Unterstützung eine zentrale Rolle spielen: Flughäfen, Bahnlinien, Seehäfen und Grenzübergänge. So wurden laut den Behörden IP-Kameras an strategischen Punkten infiltriert, um Materialtransporte zu beobachten – mit dem Ziel, mögliche Sabotageakte vorzubereiten.
Spear-Phishing, Outlook-Lücken und Brute-Force-Angriffe
Die Methoden der Angreifer sind technisch vielseitig. Während 2023 vor allem kritische Sicherheitslücken in Microsoft Outlook ausgenutzt, sowie gezielte Spear-Phishing-Kampagnen eingesetzt wurden, verlagerte sich der Fokus 2024 auf sogenannte Brute-Force-Angriffe. Dabei versuchen Angreifer systematisch, über automatisiertes Ausprobieren von Passwörtern Zugang zu Unternehmenssystemen zu erlangen.
Die deutschen Sicherheitsbehörden mahnen Unternehmen und Organisationen zur erhöhten Wachsamkeit, insbesondere jene, die logistische oder technologische Komponenten für Hilfslieferungen in die Ukraine bereitstellen. Die begleitenden Handlungsempfehlungen im Sicherheitshinweis zielen auf eine schnelle Schließung potenzieller Schwachstellen, insbesondere in der IT-Infrastruktur, und die frühzeitige Erkennung von Angriffsversuchen.
„Vorboten ernsterer Maßnahmen“
John Hultquist, Chief Analyst der Google Threat Intelligence Group, bewertet die Lage unmissverständlich: „Der russische Militärgeheimdienst hat ein offensichtliches Interesse daran, den Materialfluss in die Ukraine nachzuverfolgen, und jeder, der in diesen Prozess involviert ist, sollte sich als potenzielles Ziel betrachten.“ Die Cyberoperationen dienten nicht nur der Informationsgewinnung, sondern könnten auch in direkte Stör- oder Zerstörungsmaßnahmen münden – ob physisch oder digital. Hultquist warnt daher, die aktuellen Vorfälle nicht als Einzelfälle abzutun, sondern als Vorzeichen weiter eskalierender Maßnahmen zu verstehen.
Die Aktivitäten von APT28 unterstreichen erneut, wie eng digitale und physische Kriegsführung inzwischen verzahnt sind. Was mit gehackten IP-Kameras und Phishing beginnt, kann in der realen Welt zu Versorgungsengpässen und Sabotageakten führen. Unternehmen sollten daher nicht nur ihre eigenen Systeme schützen, sondern auch ihre Rolle in geopolitischen Lieferketten neu bewerten – denn im Fadenkreuz der Angreifer steht nicht nur Technik, sondern strategische Infrastruktur.
