Ab Ende Dezember 2022 kam es zu einem Cyberangriff von APT28 auf die Sozialdemokratische Partei Deutschlands (SPD). Der Angriff ist Teil einer größeren Kampagne, in der seit mindestens März 2022 eine Schwachstelle im Microsoft-Windows-Client von Outlook ausgenutzt wurde (CVE-2023-23397). Die Durchführung dieser Kampagne wurde durch die Bundesregierung nun öffentlich APT28 zugeschrieben.

Die SPD hatte den Angriff im Juni 2023 öffentlich gemacht. Die Schwachstelle erlaubt ohne Nutzerinteraktion (Zero-Click-Exploit) ein Ausleiten der (gehashten) Windows-Zugangsdaten der jeweiligen Nutzer an vom Angreifer kontrollierte Infrastruktur. Diese kann der Angreifer – je nach Konfiguration des Opfernetzwerks – direkt für maliziöse Zugriffe beispielsweise auf E-Mail-Konten einsetzen und bei zu geringer Passwortkomplexität auch das Passwort des jeweiligen Opfers erraten.

APT28 verwendete bei der Durchführung der Angriffe kompromittierte Netzwerkgeräte von ansonsten unbeteiligten Unternehmen und Privatpersonen zur Verschleierung der eigenen Infrastruktur. Weitere Informationen diesbezüglich finden Sie in einem Sicherheitshinweis zu Cyberaktivitäten von APT 28.

Neben der SPD wurden im Rahmen der Kampagne deutsche Einrichtungen aus den Bereichen Logistik, Rüstung, Luft- und Raumfahrt, IT-Dienstleistungen sowie Stiftungen und Verbände durch APT28 angegriffen. Auch im Ausland wurden Logistik-, Rüstungs-, IT-Dienstleistungs- und Luft- und Raumfahrtunternehmen attackiert. Darüber hinaus zielten die Angriffe auf staatliche Institutionen sowie Kritische Infrastruktur insbesondere aus dem Bereich der Energieversorgung im inner- und außereuropäischen Ausland. Ziele mit Bezügen zum Angriffskrieg Russlands gegen die Ukraine stellten einen Schwerpunkt der Angriffe dar.

Die Aufklärung der Angriffe ist Ergebnis einer umfassenden Zusammenarbeit deutscher Behörden und ihrer ausländischen Partner. Maßgeblich war dabei auch die Kooperationsbereitschaft der angegriffenen Institutionen, durch welche das Bundesamt für Verfassungsschutz in die Lage versetzt wurde, bis dato unbekannte Ziele der Kampagne aufzudecken und in Zusammenarbeit mit weiteren Behörden, insbesondere dem Bundesamt für Sicherheit in der Informationstechnik, diese zu warnen und bei der Aufklärung der Angriffe zu unterstützen.

Das Bundesamt für Verfassungsschutz ist für die nachrichtendienstliche Aufklärung von Cyberangriffen, Spionage und Sabotage durch ausländische Nachrichtendienste zuständig und steht als vertraulicher Ansprechpartner unter wirtschaftsschutz@bfv.bund.de oder +49(0)228-99/792-3322 zur Verfügung.