Russische Hacker wollten Diplomaten mit günstigen BMW austricksen

Als ein polnischer Diplomat seinen BMW an andere Diplomat*innen verkaufen wollte, konnte er nicht wissen, welche kuriosen und weitreichenden Wendungen sein Gebrauchtwagenverkauf nehmen sollte. Dabei war sein ausgesandtes Flugblatt in Form eines Word-Dokuments völlig legitim und unverdächtig.

Am Ende hat der russische Auslandsgeheimdienst mit dem Flyer versucht, dutzende Botschaftsmitarbeiter*innen in mindestens 22 ausländischen Vertretungen in Kiew auszuspionieren. Das geht aus einem Bericht der Cybersicherheitsfirma Unit 42 hervor.

➤ Mehr lesen: Russland testet neuen Atom-Bomber Tu-160M

Flyer wurde von russischen Hacker*innen abgefangen

"Mitte April 2023 verschickte ein Diplomat des polnischen Außenministeriums per E-Mail ein legitimes Flugblatt an verschiedene Botschaften, in dem der Verkauf einer gebrauchten BMW 5er Limousine in Kiew beworben wurde", hieß es in dem Bericht

Die Hacker*innen, die als "APT29" oder "Cozy Bear" bekannt sind, fingen den Flyer jedoch ab, kopierten ihn, versahen ihn mit Schadsoftware und schickten ihn dann an Dutzende anderer ausländische Diplomaten, die in Kiew arbeiten, so Unit 42.

➤ Mehr lesen: Geheime russische U-Boot-Basis lässt Experten rätseln

Schadsoftware versteckt

Die Malware versteckten die Hacker*innen in einem Link, der zu hochauflösenden Fotos des Gebrauchtwagens führte. Sollte jemand den Link öffnen und die entsprechenden Bilder ansehen beziehungsweise herunterladen, würde die Spionagesoftware auf den jeweiligen Rechner landen.

Wie sich herausstellte, hatten die SVR-Hacker*innen den BMW des Diplomaten in ihrer gefälschten Version der Anzeige zu einem niedrigeren Preis - 7.500 Euro - angeboten, um mehr Menschen zum Herunterladen von Schadsoftware zu bewegen, die ihnen Fernzugriff auf ihre Geräte ermöglicht.

➤ Mehr lesen: Video zeigt, wie Russland vergeblich versucht, Storm Shadow abzufangen

Im Visier der Hacker-Gruppe

"Dies ist ein erstaunliches Ausmaß für die in der Regel eng begrenzten und geheimen Operationen von Advanced Persistent Threats (APT)", heißt es in dem Bericht. Die Forscher*innen von Unit 42 konnten die gefälschte Autowerbung mit dem SVR in Verbindung bringen, weil die Hacker-Gruppe bestimmte Werkzeuge und Techniken wiederverwendet habe, die zuvor mit der Spionagebehörde in Verbindung gebracht worden waren.

"Diplomatische Vertretungen werden immer ein hochwertiges Spionageziel sein", heißt es im Bericht von Unit 42. "16 Monate nach der russischen Invasion in der Ukraine haben nachrichtendienstliche Informationen über die Ukraine und die diplomatischen Bemühungen der Verbündeten mit Sicherheit hohe Priorität für die russische Regierung".

Kein Kommentar

21 der 22 Botschaften, die von den Hacker*innen ins Visier genommen und anschließend von Reuters kontaktiert wurden, gaben keinen Kommentar ab. Es war nicht klar, welche Botschaften, wenn überhaupt, kompromittiert worden waren.

Ein Sprecher des US-Außenministeriums sagte, man sei sich der Aktivitäten bewusst und habe auf der Grundlage der Analyse der Direktion für Cyber- und Technologiesicherheit festgestellt, dass die Systeme oder Konten des Ministeriums nicht betroffen seien.

Das Auto sei immer noch verfügbar, sagte der polnische Diplomat gegenüber Reuters: "Ich werde wahrscheinlich versuchen, es in Polen zu verkaufen", sagte er. "Nach dieser Situation möchte ich keine weiteren Probleme mehr haben."