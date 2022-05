Unter falschem Namen ist Turla auf der Suche nach Sicherheitslücken. Foto: DER STANDARD/Pichler

Securityexperten des Unternehmens Sekoia haben eine umfassende Kampagne einer bekannten russischen Hackergruppe aufgedeckt. Das Kollektiv "Turla" greift dabei mindestens drei Ziele in Europa an. Darunter befindet sich auch die österreichische Wirtschaftskammer (WKO). Die Untersuchung baut auf Erkenntnissen von Googles Threat Analysis Group von Anfang Mai über Cyberaktivitäten in Osteuropa auf.

Wie die Forscher berichten, versuchen die Cyberkriminellen mit ihrer Kampagne noch nicht, direkt in Systeme einzudringen oder anderweitig Schaden anzurichten, sondern scheinen vorerst vor allem Informationen zu sammeln. Die Hacker haben drei Domains registriert, die sich mit den offiziellen Adressen der WKO, des Baltic Defense College (BALTDEF) sowie der Plattform Nato Joint Advanced Distribution Learning verwechseln lassen. Erkennbar sind sie daran, dass es sich eigentlich um Subdomains der Domain webdirect[punkt]org (Formatierung absichtlich geändert) handelt.

Suche nach Schwachstellen

Auf den Seiten wird ein Word-Dokument verbreitet, das sich unter dem Titel "War Bulletin 19.00 CET 27.04" als eine Art "Infobrief" über den Krieg ausgibt. Das Dokument enthält allerdings keine gefährlichen Makros, sondern eine eingebettete Bilddatei, die beim Öffnen der Datei nach dem Download von einem externen Server geladen wird.

Nach Ansicht von Sekoia dient dies dazu, aus den Anfragen an diesen Server durch die genutzten Textverarbeitungsprogramme herauszufinden, welche Anwendung in welcher Version verwendet wird. Wird etwa auf einem System, das einem wertvollen Ziel zugeordnet wird, eine veraltete Version von Word eingesetzt, so könnte Turla dies nutzen, um künftig gezielt Malware auszuspielen, die eine bekannte Sicherheitslücke in der Software ausnutzt.

Alte Bekannte

Die Gruppe Turla ist mindestens seit 2014 aktiv, möglicherweise unter verschiedenen Namen sogar schon seit 1996. Die Mitglieder sollen Verbindungen zum Geheimdienst FSB haben. Turla soll in der Vergangenheit Spionage im nahen Osten sowie Armenien betrieben haben.

Zugerechnet werden ihr auch Angriffe gegen das Pentagon, die Nasa, das finnische Außenministerium, Ministerien verschiedener osteuropäischer Staaten und weitere hochrangige Ziele mit unterschiedlichsten Methoden. (gpi, 23.5.22)