16. Mai 2025

Russische Hacker attackieren Firmen, die Waffen für die Ukraine liefern 

Hacker der berüchtigten Sednit-Gruppe (auch bekannt als Fancy Bear) greifen gezielt Rüstungsunternehmen in Osteuropa an. Dabei nutzten sie raffiniertes Spearphishing, um in die E-Mail-Postfächer ihrer Opfer zu kompromittieren. Ihr Ziel: E-Mails, Kontakte und Zugangsdaten von Mitarbeitern. Die attackierten Unternehmen sind in Teilen an der Versorgung des ukrainischen Militärs beteiligt. [...]

Im Mittelpunkt der Angriffe steht die Schadsoftware SpyPress.MDAEMON, die Zugangsdaten ausliest, E-Mails mitverfolgt und sogar Zwei-Faktor-Authentifizierung aushebelt. (c) stock.adobe.com/inas

Eine russische Hackergruppe hat gezielt Unternehmen angegriffen, die an der militärischen Unterstützung der Ukraine beteiligt sind. Die Angriffe richteten sich unter anderem gegen Hersteller sowjetischer Waffentechnik in Bulgarien, Rumänien und der Ukraine, die eine Schlüsselrolle bei der Aufrechterhaltung ukrainischer Verteidigungskapazitäten spielen. Sicherheitsforscher des europäischen IT-Sicherheitsanbieters ESET haben die Spionagekampagne unter dem Namen Operation RoundPress aufgedeckt. Hinter der Attacke steckt die russlandnahe Gruppe Sednit, auch bekannt als Fancy Bear oder APT28.

„Diese Unternehmen verfügen über technisches Knowhow und Logistik, die für die ukrainische Verteidigung gegen Russland von strategischer Bedeutung sind“, sagt ESET-Forscher Matthieu Faou. „Genau diese Strukturen wurden digital ausspioniert.“

Angriff über manipulierte Webmail-Systeme

Die Hacker nutzten Schwachstellen in verbreiteter Webmail-Software, darunter Roundcube, Zimbra, Horde und MDaemon. Besonders kritisch: Die Angreifer konnten sogar eine bislang unbekannte Zero-Day-Sicherheitslücke in MDaemon ausnutzen, die inzwischen geschlossen wurde.

Der Angriff beginnt mit manipulierten E-Mails, die sich als Nachrichtenmeldungen tarnen. Als Absender dienen scheinbar seriöse Quellen wie die Kyiv Post oder das bulgarische Nachrichtenportal News.bg. Sobald die E-Mail im Browser geöffnet wird, startet ein versteckter Schadcode. Spamfilter werden dabei erfolgreich umgangen.

Spionagesoftware liest mit – trotz Zwei-Faktor-Authentifizierung

Im Mittelpunkt steht die Schadsoftware SpyPress.MDAEMON, die Zugangsdaten ausliest, E-Mails mitverfolgt und sogar Zwei-Faktor-Authentifizierung aushebelt. In mehreren Fällen konnten Angreifer ein Anwendungspasswort erzeugen und damit dauerhaft auf Postfächer zugreifen.

„Viele Firmen betreiben veraltete Webmail-Server“, erklärt Faou. „Schon das bloße Anzeigen einer E-Mail im Browser kann ausreichen, um Schadcode auszuführen, ohne dass der Empfänger aktiv etwas anklickt.“

Geopolitische Dimension: Fokus auf Osteuropa

Die meisten betroffenen Organisationen befinden sich in der Ukraine, Bulgarien und Rumänien. Viele dieser Unternehmen arbeiten an der Herstellung von Waffen sowjetischer Bauart, die für den Einsatz durch ukrainische Streitkräfte besonders relevant sind. Daneben wurden auch Ziele in Afrika und Südamerika registriert. Der regionale Schwerpunkt liegt jedoch klar auf osteuropäischen Firmen mit Ukraine-Bezug.

Alte Bekannte: Sednit erneut aktiv

Die Gruppe Sednit ist seit mindestens 2004 aktiv und gilt als eine der einflussreichsten staatlich gesteuerten Hackergruppen. Sie wurde unter anderem für den Angriff auf den Parteivorstand der US-Demokraten im Jahr 2016 verantwortlich gemacht. Die jetzt entdeckte Operation RoundPress weist laut ESET klare technische Parallelen zu früheren Sednit-Kampagnen auf.

Weitere Informationen finden Sie im Blogpost „Operation Roundpress“ auf Welivesecurity.com.


Mehr Artikel

News

Produktionsplanung 2026: Worauf es ankommt

4. Dezember 2025

Resilienz gilt als das neue Patentrezept, um aktuelle und kommende Krisen nicht nur zu meistern, sondern sogar gestärkt daraus hervorzugehen. Doch Investitionen in die Krisenprävention können zu Lasten der Effizienz gehen. Ein Dilemma, das sich in den Griff bekommen lässt. […]

Maximilian Schirmer (rechts) übergibt zu Jahresende die Geschäftsführung von tarife.at an Michael Kreil. (c) tarife.at
News

tarife.at ab 2026 mit neuer Geschäftsführung

3. Dezember 2025 pi/cb

Beim österreichischen Vergleichsportal tarife.at kommt es mit Jahresbeginn zu einem planmäßigen Führungswechsel. Michael Kreil übernimmt mit 1. Jänner 2026 die Geschäftsführung. Maximilian Schirmer, der das Unternehmen gegründet hat, scheidet per 14. April 2026 aus der Gesellschaft aus. […]

News

Warum Unternehmen ihren Technologie-Stack und ihre Datenarchitektur überdenken sollten

3. Dezember 2025 Matthias Ingerfeld *

Seit Jahren sehen sich Unternehmen mit einem grundlegenden Datenproblem konfrontiert: Systeme, die alltägliche Anwendungen ausführen (OLTP), und Analysesysteme, die Erkenntnisse liefern (OLAP). Diese Trennung entstand aufgrund traditioneller Beschränkungen der Infrastruktur, prägte aber auch die Arbeitsweise von Unternehmen.  Sie führte zu doppelt gepflegten Daten, isolierten Teams und langsameren Entscheidungsprozessen. […]

News

Windows 11 im Außendienst: Plattform für stabile Prozesse

3. Dezember 2025 Simon Müller *

Das Betriebssystem Windows 11 bildet im technischen Außendienst die zentrale Arbeitsumgebung für Service, Wartung und Inspektionen. Es verbindet robuste Geräte, klare Abläufe und schnelle Entscheidungswege mit einer einheitlichen Basis für Anwendungen. Sicherheitsfunktionen, Updates und Unternehmensrichtlinien greifen konsistent und schaffen eine vertrauenswürdige Plattform, auf der sowohl Management als auch Nutzer im Feld arbeiten können. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*