Russische Hacker setzen HATVIBE und CHERRYSPY in Europa und Asien ein

MÜNCHEN (IT BOLTWISE) – Eine neue Welle von Cyberangriffen, die von russischen Hackern ausgeführt wird, hat Europa und Asien ins Visier genommen. Diese Angriffe, die auf die Verbreitung der Malware HATVIBE und CHERRYSPY abzielen, sind Teil einer größeren Strategie zur Informationsbeschaffung und geopolitischen Einflussnahme.

Die Bedrohung durch Cyberangriffe mit russischem Ursprung hat in den letzten Jahren zugenommen, insbesondere in Regionen wie Zentralasien, Ostasien und Europa. Eine kürzlich durchgeführte Untersuchung der Insikt Group von Recorded Future hat eine Verbindung zwischen diesen Angriffen und einer Hackergruppe namens TAG-110 hergestellt. Diese Gruppe wird auch von CERT-UA als UAC-0063 verfolgt und weist Überschneidungen mit der bekannten Gruppe APT28 auf. Die Aktivitäten dieser Hacker reichen mindestens bis ins Jahr 2021 zurück.

TAG-110 nutzt maßgeschneiderte Malware-Tools wie HATVIBE und CHERRYSPY, um gezielt Regierungsbehörden, Menschenrechtsorganisationen und Bildungseinrichtungen anzugreifen. HATVIBE fungiert dabei als Loader, um CHERRYSPY, ein Python-Backdoor-Programm, zu installieren, das für Datendiebstahl und Spionage eingesetzt wird. Diese Malware wurde erstmals im Mai 2023 von CERT-UA im Zusammenhang mit einem Angriff auf ukrainische staatliche Stellen dokumentiert.

Seitdem wurden 62 einzigartige Opfer in elf Ländern identifiziert, wobei die meisten Vorfälle in Tadschikistan, Kirgisistan, Kasachstan, Turkmenistan und Usbekistan auftraten. Diese Regionen sind von besonderem Interesse für die Hacker, da sie vermutlich Informationen sammeln, die Russlands geopolitische Ziele in der Region unterstützen. Auch in Armenien, China, Ungarn, Indien, Griechenland und der Ukraine wurden Opfer identifiziert.

Die Angriffe erfolgen häufig über Sicherheitslücken in öffentlich zugänglichen Webanwendungen oder durch Phishing-E-Mails, die als erster Zugangspunkt dienen, um HATVIBE zu installieren. Diese maßgeschneiderte HTML-Anwendung fungiert als Brücke zur Installation des CHERRYSPY-Backdoors, das für die Datensammlung und -exfiltration genutzt wird.

Experten vermuten, dass die Aktivitäten von TAG-110 Teil einer umfassenderen russischen Strategie sind, um Informationen über geopolitische Entwicklungen zu sammeln und Einfluss in postsowjetischen Staaten zu wahren. Diese Regionen sind für Moskau von Bedeutung, insbesondere nach den angespannten Beziehungen, die durch Russlands Invasion in der Ukraine entstanden sind.

Zusätzlich zu den Cyberangriffen hat Russland seine Sabotageoperationen gegen kritische Infrastrukturen in Europa verstärkt. Ziele waren unter anderem Estland, Finnland, Lettland, Litauen, Norwegen und Polen, mit dem Ziel, NATO-Verbündete zu destabilisieren und deren Unterstützung für die Ukraine zu untergraben. Diese verdeckten Aktivitäten sind Teil einer hybriden Kriegsstrategie Russlands, die darauf abzielt, NATO-Länder zu destabilisieren, ihre militärischen Fähigkeiten zu schwächen und politische Allianzen zu belasten.

Angesichts der anhaltend angespannten Beziehungen zwischen Russland und dem Westen ist es sehr wahrscheinlich, dass Russland die Zerstörungskraft seiner Sabotageoperationen erhöhen wird, ohne jedoch die Schwelle zu einem Krieg mit der NATO zu überschreiten. Diese physischen Angriffe werden voraussichtlich die russischen Bemühungen im Bereich der Cyber- und Einflussoperationen ergänzen, im Einklang mit der hybriden Kriegsdoktrin Russlands.