Cyberangriffe gehören zu Russlands Arsenal. Nach CORRECTIV-Recherchen war eine UN-Einrichtung im vergangenen Jahr Ziel russischer Hacker.

cross-posted from: https://lemmy.sdf.org/post/31749411

Das Flüchtlingskommissariat der Vereinten Nationen (UNHCR) ist im vergangenen Herbst offenbar Ziel russischer Hacker geworden. Ein gezielter Phishing-Versuch ist nach Einschätzung eines Sicherheitsexperten mit hoher Wahrscheinlichkeit auf die Gruppe RomCom zurückzuführen, die zuletzt unter anderem die Regierung in der Ukraine ausgespäht haben soll. Die UN-Agentur wollte den konkreten Fall nicht kommentieren.

[Die Recherche-Plattform] CORRECTIV hatte von dem Vorfall erfahren, weil seine Marke für den Angriffsversuch missbraucht worden ist. Ende September vergangenen Jahres hatte ein Mitarbeiter des UNHCR eine Presseanfrage im Namen eines CORRECTIV-Reporters erhalten. Darin wurde behauptet, die Redaktion plane einen Bericht über Korruption im ukrainischen Militär und Veruntreuung gelieferter Waffen. Weil es sich nicht um eine offizielle E-Mail-Adresse handelte, hatte sich das Flüchtlingskommissariat bei CORRECTIV nach den Hintergründen erkundigt. So konnte die Anfrage als Phishing erkannt werden.

Recherchen von CORRECTIV haben nun eine Verbindung zwischen der Phishing-Mail und der russischen Hackergruppe RomCom herstellen können: Der Adressat der vermeintlichen Presseanfrage wurde aufgefordert, auf einen personalisierten Link zu klicken, um angebliche Beweisdokumente einzusehen. Dieser führte zur Domain correctiv.news, bei der es sich allerdings nicht um eine offizielle CORRECTIV-Internetadresse handelt.

[…]

Wenige Wochen danach – ohne Kenntnis von dem Phishing-Versuch beim UNHCR zu haben – hatte ESET auf seiner Website darauf hingewiesen, dass RomCom zwei inzwischen behobene Sicherheitslücken ausgenutzt habe. So habe die Gruppe Menschen auf bestimmte Internetseiten gelockt und auf ihren Rechnern Schadsoftware installieren können.

[…]

RomCom ist einerseits als kriminelle Hackergruppe bekannt, andererseits agiert sie auch im Interesse des russischen Staates. Da der Link zum Zeitpunkt der Recherchen bereits offline war, ließ sich vorerst nicht nachvollziehen, ob über die Seite tatsächlich Schadsoftware installiert werden sollte oder sogar wurde.

[…]