Vom russischen Geheimdienst unterstützte Kampagnen geben sich als CIA aus, um Sympathisanten der Ukraine, russische Staatsbürger und Informanten ins Visier zu nehmen

• Analysten für stille Push-Drohungen haben eine Phishing-Kampagne entdeckt, bei der mit Hilfe von Köder-Websites Informationen über russische Personen gesammelt werden, die mit der Verteidigung der Ukraine sympathisieren. Antikriegsaktionen sind in der Russischen Föderation illegal, und teilnehmende Bürger werden regelmäßig verhaftet und angeklagt.
• Unser Team ist der festen Überzeugung, dass diese Kampagne wahrscheinlich das Werk entweder des russischen Geheimdienstes oder eines Bedrohungsakteurs mit ähnlich ausgerichteten Motiven ist.
• Wir haben festgestellt, dass die Kampagne aus vier großen Phishing-Clustern besteht, die sich als CIA, Russian Volunteer Corps, Legion Liberty und Hochuzhit („Ich will leben“) ausgeben – eine Hotline für russische Militärangehörige in der Ukraine, die von der Hauptabteilung für Nachrichtendienste der Ukraine (auch bekannt als Verteidigungsnachrichtendienst der Ukraine) betrieben wird.
• Die offizielle Legion „Freiheit Russlands“ veröffentlichte am 14. März 2024 einen Post auf X (früher bekannt als Twitter): „Wir erinnern Sie daran, dass der einzige offizielle Telegram-Kanal der Legion auf unserer Website aufgeführt ist: hxxps://legionliberty[.]army Lassen Sie sich nicht von Fälschungen täuschen. Tappen Sie nicht in die Fallen der Sicherheitskräfte des Putin-Regimes!“
• Alle Kampagnencluster scheinen ein gemeinsames Ziel zu verfolgen: das Sammeln persönlicher Informationen von Besuchern/Opfern der Website zum Nutzen des Bedrohungsakteurs.

Die Zunahme von Cyberangriffen während andauernder Kriegskonflikte ist in den letzten Jahren zu einem erheblichen Problem geworden, insbesondere da Cyberfähigkeiten zunehmend als eine Form der modernen Kriegsführung eingesetzt werden. Die Motive hinter diesen Cyberangriffen sind unterschiedlich und reichen von der Störung der Operationen des Gegners und der Auslösung einer weit verbreiteten Panik bis hin zur Beschaffung von Informationen und der Schaffung strategischer Vorteile.

Lautlose Push-Bedrohung Forscher haben Phishing-Seiten bei einem bekannten Anbieter für kugelsicheres Hosting, Nybula LLC, ASN 401116, identifiziert, aber ein finanzielles Motiv für die Gruppe der Bedrohungsakteure wurde noch nicht gefunden. Die Phishing-Seiten scheinen die offiziellen Websites mehrerer Organisationen zu imitieren, darunter die der US-amerikanischen Central Intelligence Agency (CIA), des Russian Volunteer Corps (RVC), Legion Liberty und der Appelle-Hotline-Gruppe Hochuzhit.

Die RVC ist eine Anti-Putin-Gruppe und eine Einheit der ukrainischen Armee, die aus russischen Staatsbürgern besteht (einige leben in der Ukraine, haben Russland verlassen und sich nach Kriegsbeginn angeschlossen). Die Teilnahme an solchen Anti-Kriegs-Aktionen gilt in der Russischen Föderation als illegal, und Bürger, die sich daran beteiligen oder freiwillig melden, müssen mit einer Verhaftung rechnen.

Alle Kampagnen, die unsere Bedrohungsanalysten beobachtet haben, wiesen ähnliche Merkmale auf und verfolgten ein gemeinsames Ziel: das Sammeln persönlicher Informationen von Opfern, die die Website besuchten. Aufgrund dessen und einer Reihe von Faktoren, auf die wir in diesem Blog eingehen werden, ist unser Team der festen Überzeugung, dass diese Phishing-Honeypots wahrscheinlich das Werk entweder russischer Geheimdienste oder eines Bedrohungsakteurs sind, der mit russischen Interessen in Verbindung steht.

Hintergrundinformationen zur Phishing-Kampagne des russischen Geheimdienstes

Silent Push Threat Forscher entdeckten Phishing-Seiten auf einem kugelsicheren Hosting-Anbieter, Nybula LLC (ASN 401116), die anscheinend rusvolcorps[.]com imitieren. Nach der ersten Untersuchung von 81.161.238[.]212, bei der eine Phishing-Seite entdeckt wurde, stellten wir fest, dass es mehrere Cluster miteinander verbundener Kampagnen gab. Nachfolgend finden Sie eine Beispieldomain für jedes der vier Phishing-Cluster, die von den Silent Push Threat Analysts gefunden wurden:

• rusvolcorps[.]net
• legiohliberty[.]army
• ciagov[.]icu
• hochuzhitlife[.]com

Die Kampagnen gaben sich als die entsprechenden legitimen Websites von vier offiziellen Gruppen aus:

• rusvolcorps[.]com: The Russian Volunteer Corps (RVC)
• legionliberty[.]army: The Legion Liberty (Freedom of the Russian Legion)
• cia[.]gov: The U.S. Central Intelligence Agency (CIA)
• hochuzhit[.]com: Eine Beschwerde-Hotline für russische Militärangehörige in der Ukraine, die vom Verteidigungsnachrichtendienst der Ukraine betrieben wird.

Alle vier Kampagnen waren durch verschiedene Infrastrukturmanagement- und Fingerprinting-Methoden miteinander verbunden. Die Websites, die online waren, lieferten unseren Bedrohungsanalysten wichtige Informationen, die es uns ermöglichten, die Motive der Bedrohungsakteure hinter den verschiedenen Kampagnen zu beobachten. Fingerabdrücke, die auf technischen Ähnlichkeiten basierten, verbanden die Kampagnen miteinander, bestehend aus Korrelationen zwischen dem WHOIS-Organisationsnamen „Semen Gerda“ und anderen Metadaten-IP-Adressen, der Registrierung über den NiceNIC-Registrar, Ähnlichkeiten im Inhalt und externen Quellen.

Grafik Quelle: Silent Push 

Weiterlesen hier.

Bild/Quelle: https://depositphotos.com/de/home.html