Russische Hacker-Elitetruppe kehrt mit neuem Spionage-Arsenal zurück
Berüchtigte Sednit-Gruppe nutzt hochentwickelte Schadsoftware gegen ukrainische Militärangehörige
 |
Hacker haben es auf ukrainische Militärangehörige abgesehen (Foto: ESET) |
Jena (pts022/10.03.2026/11:15)
Sie haben den Deutschen Bundestag gehackt, den französischen Fernsehsender TV5Monde lahmgelegt und das Demokratische Nationalkomitee der USA ausspioniert. Jetzt ist die Hackergruppe Sednit wieder voll einsatzbereit und hat sich ein neues, gefährlicheres Arsenal zugelegt. Das geht aus einem aktuellen Bericht des Cybersicherheitsunternehmens ESET hervor.
Sednit, auch bekannt als APT28, Fancy Bear oder Forest Blizzard, gilt als eine der schlagkräftigsten staatlich gesteuerten Hackergruppen der Welt. Sie wird dem russischen Militärgeheimdienst GRU zugeordnet. Nach einer Phase, in der die Gruppe vor allem mit Phishing-Angriffen und einfacheren Werkzeugen auffiel, ist nun klar: Die Elite-Entwickler sind zurück.
Drei Schadprogramme, ein Ziel: ukrainisches Militärpersonal
Den Ausgangspunkt der ESET Analyse bildet ein Fund des ukrainischen Notfallteams CERT-UA: Im April 2024 wurde auf einem Rechner einer ukrainischen Behörde ein Schadprogramm namens SlimAgent entdeckt. Das Werkzeug zeichnet Tastatureingaben auf, fertigt Screenshots an und liest die Zwischenablage aus. Betroffen von dieser Langzeitspionage waren ukrainische Militärangehörige. ESET Forscher erkannten in dem Schadprogramm eine direkte Weiterentwicklung des Xagent-Backdoors aus Sednits Blütezeit in den 2010er-Jahren. Sogar das Farbschema der Ausgabe-Protokolle ist identisch geblieben.
Auf demselben ukrainischen Rechner arbeitete noch ein weiteres Werkzeug: BeardShell. Diese Malware nutzt den Cloud-Speicherdienst Icedrive als verdeckten Kommunikationskanal zu seinen Hintermännern. Diese Methode kann klassische Sicherheitsfilter unterlaufen, weil der Datenverkehr wie ganz normale Cloud-Nutzung aussieht. Die Entwickler mussten dafür die interne, nicht öffentlich dokumentierte, Icedrive-Schnittstelle selbst nachprogrammieren. Laut ESET lieferten sie Aktualisierungen innerhalb von Stunden, wenn technische Änderungen des Dienstanbieters die Verbindung unterbrachen.
Als drittes Standbein setzt Sednit seit 2023 ein modifiziertes Open-Source-Framework namens Covenant ein. Das ursprünglich für Sicherheitstests entwickelte Programm wurde von der Gruppe für die Langzeit-Spionage umgebaut. Über manipulierte Cloud-Konten bei Diensten wie Filen, Koofr oder pCloud halten die Angreifer dauerhaften Zugang zu ihren Zielrechnern. ESET fand Belege dafür, dass einzelne ukrainische Militärcomputer so über mehr als sechs Monate hinweg überwacht wurden.
Code-Spuren führen zurück ins Jahr 2010
Besonders aufschlussreich für die Forscher ist, was die neuen Werkzeuge mit denen von vor zehn Jahren verbindet. In BeardShell fanden sie eine seltene mathematische Verschleierungstechnik, die zuvor nur in Xtunnel, Sednits Netzwerk-Tool aus den Jahren 2013 bis 2016, zu finden war. Solche Code-Fingerabdrücke gelten in der Analyse staatlicher Hacker als starke Indizien für Kontinuität innerhalb des Entwicklerteams. Die Forscher sind daher überzeugt, dass dieselben Programmierer, die damals Xagent schrieben, hinter BeardShell stehen.
Was steckt hinter dem Comeback?
Warum Sednit zwischen 2019 und 2024 von aufwändiger Individualentwicklung auf einfachere Methoden umstieg, bleibt unklar. Eine mögliche Erklärung: Der russische Angriffskrieg gegen die Ukraine erforderte ab 2022 eine Ausweitung der Geheimdienstoperationen und rief die Spezialisten wieder auf den Plan. Eine andere Möglichkeit ist, dass sie nie wirklich aufgehört haben zu arbeiten, sondern schlicht vorsichtiger wurden und unter dem Radar blieben.
Für westliche Sicherheitsbehörden und Unternehmen ist der ESET-Bericht eine deutliche Warnung: Eine der gefährlichsten staatlichen Hackergruppen der Welt ist wieder in vollem Umfang aktiv.
Weitere Informationen zu Sednits Rückkehr gibt es im aktuellen Blogpost "Sednit ist wieder da" auf Welivesecurity.com.
(Ende)| Aussender: | ESET Deutschland GmbH |
| Ansprechpartner: | Philipp Plum |
| Tel.: | +49 3641 3114 141 |
| E-Mail: | philipp.plum@eset.com |
| Website: | www.eset.de |
