Der Sicherheitshinweis von FBI, CISA, NSA sowie dem BfV und weiteren internationalen Partnern informiert über weltweite russische Cyberaktivitäten u. a. gegen Kritische Infrastrukturen. Darin wird eine russische Cybergruppierung, die nach Erkenntnissen der amerikanischen Dienste mit der russischen Militäreinheit 29155 der GRU in Verbindung steht benannt. Dabei handelt es sich um UNC2589, auch bekannt als UAC-0056, Cadet Blizzard oder Ember Bear.

Die Militäreinheit 29155 ist bekannt durch Aktivitäten wie etwa Sabotageoperationen und Mordanschläge. Mitglieder der Einheit sollen auch für den Giftanschlag auf Sergei Skripal im Jahr 2018 verantwortlich sein. Seit 2020 führt die Einheit auch Cyberangriffe durch und erweitert ihre dahingehenden Fähigkeiten kontinuierlich. Dabei werden auch nicht-staatliche Akteure wie Cyberkriminelle in Operationen eingebunden.

Die Cyberangriffe dienen der Spionage, der Sabotage und gehen häufig mit der Verunstaltung von Websites und der Veröffentlichung gestohlener Daten einher (sog. Defacement bzw. „Hack and Leak“-Operationen). Im Besonderen waren die Hacker für die WhisperGate-Kampagne verantwortlich, bei der in der Nacht vom 13. auf den 14. Januar 2022 eine Schadsoftware gegen IT-Systeme von ukrainischen Regierungsstellen eingesetzt wurde, die Daten auf den infizierten Systemen unwiederbringlich überschreibt. Kurz darauf wurden auch zahlreiche Regierungsseiten der Ukraine angegriffen und teilweise verunstaltet.

Zudem soll der Akteur auch Netzwerke in NATO-Mitgliedsstaaten in Europa und Nordamerika sowie Ländern in Lateinamerika und Zentralasien angegriffen haben. Die Aktivitäten umfassten sowohl destruktive Handlungen als auch Scanning und Datendiebstahl. Unter den bekannten Zielen befinden sich Kritische Infrastruktur sowie Regierungsstellen und Firmen aus den Bereichen Finanzen, Transport, Energie und Gesundheit. Seit Anfang 2022 scheint die primäre Absicht des Akteurs darin zu bestehen, Hilfsleistungen für die Ukraine auszukundschaften und zu stören. Es wurden bereits mehr als 14.000 Fälle von Domain-Scanning in 28 NATO- und EU-Ländern registriert, darunter auch Deutschland.

In dem mit internationalen Partnern veröffentlichtem Joint Cybersecurity Advisory werden Techniken, Taktiken und Vorgehensweisen (TTPs) des Akteurs aufgelistet und Handlungsempfehlungen zur Sicherung der eigenen Netze sowie zur Abwehr potentieller Angriffe und Begrenzung möglicher Schäden gegeben.

Das Bundesamt für Verfassungsschutz ist für die Abwehr von Cyberangriffen, Spionage und Sabotage durch ausländische Nachrichtendienste zuständig und steht als vertraulicher Ansprechpartner zur Verfügung.

wirtschaftsschutz@bfv.bund.de

+49(0)228-99/792-3322