Unsichtbare Methoden der bekannten Hackergruppe
APT31 arbeitet seit Jahren mit Taktiken die kaum im Alltag auffallen. Sie brauchen keinen großartigen Aufwand und hinterlassen keine sichtbar Spuren. Stattdessen greifen sie auf vorhandene Strukturen zurück – die Cloud stellt dafür das perfekte Versteck dar. Verbindungen zu Diensten wie Yandex erscheinen in Netzwerken wie Routine, infolgedessen illegale Aktivitäten kaum bemerkt werden. Die Gruppe ist unter den Namen Bronze Vinewood, Judgement Panda, Red keres, TA412, Violet Typhoon oder Zirconium bekannt.
Unauffällige Angriffsstrategie
Aktuelle Angriffe betreffen russische IT-Dienstleister die in staatliche Systeme eingebunden sind. Der Einstieg erfolgt meist durch eine einfache Email – ein RAR-Archiv mit einer unauffälligen LNK-Datei. Diese Datei beginnt einen Loader – ein DLL-Side-Loader – der sich tief ins System einnistet. Schadsoftware tarnen sich als gewöhnliche Prozesse. Sogar geplante Tasks wirken wie Routine-Updates die kaum jemand hinterfragt. Kommunikation über die Yandex Cloud verschwindet im normalen Datenverkehr. Untersuchungen offenbarten zudem, dass einige Systeme bereits Abschluss 2022 kompromittiert waren – lange vor Entdeckung der Aktivitäten.
Bewährte Methoden und ihre Verbreitung
Seit Jahren verwendet APT31 bewährte Bausteine wie LNK-Dateien, Office-Makros und das Side-Loading über legitime Anwendungen. Cloud-Dienste wie Yandex, Disk und Yandex Cloud fungieren regelmäßig als Steuerungs- und exfiltration Infrastruktur. Der daher verbundene Traffic ähnele Normaltekst was die Erkennung erschwere. Auch in Industrienetzen finden sich solche Muster: Selbst hochsegmentierte Systeme seien nicht vollständig geschützt, wenn Integratoren oder Dienstleister als Brücken fungieren – so lassen sich im Grunde isolierte Bereiche erzielen.
Russland, China und ihre komplexen Partnerschaften
Russland fördere heimische Dienste und präsentiere dies als digitale Souveränität. Dienste wie Yandex Cloud erfüllten die gesetzlichen Anforderungen und seien im offiziellen Software-Register gelistet. Ausländische Plattformen sollten aus Behördennetzen verschwinden. Das resultiere in einer einheitlichen, jedoch anfälligen IT-Landschaft. Hochschulen wie die Higher School of Economics gleichermaßen staatliche Einrichtungen wie die RANEPA setzen die Yandex-Cloud schon produktiv ein. Je ergänzend diese Dienste im öffentlichen Sektor verankert sind, desto attraktiver werden sie für Gruppen wie APT31. Die politische Nähe zwischen Russland und China beeinflusse daran wenig. Operative Ziele folgten ihrer eigenen Logik – während Russland Ressourcen verschiebe entstünde ein Umfeld in dem verdeckte Zugriffe länger unentdeckt verbleiben.
Cloud als Schutzschicht für Angreifer
Durch den Einsatz legitimer Dienste spart die Gruppe Infrastruktur und wirkt im Traffic vertraut. Netzwerkadministratoren identifizieren das Muster kaum und es entsteht eine Tarnung fast von selbst. Russland’s Cloud-Dienste bieten das Rauschen – die Hintergrundaktivitäten – in welchem APT31 sich unbemerkt bewegen kann.
Kommentare
Effiziente Tarnung und zukünftige Trends
APT31 zeigt einmal ergänzend wie moderne Spionage auf unauffälligen Abläufen basiert. Es gehe nicht mehr um spektakuläre Attacken – vielmehr um lange andauernde Zugriffe. Besonders in einem geopolitischen Umfeld in dem Russland und China sich gegenseitig ausspähen seien solche langanhaltenden, kaum erkennbare Angriffe von Interesse. Russische Dienstleister bieten dafür ideale Voraussetzungen: Sie sitzen an kritischen Schnittstellen, durch die Angreifer in behördennahe Systeme eindringen können – ein Umstand der ebenfalls für andere Akteure attraktiv ist.
Die Methode ist unspektakulär, dennoch wirksam. Wer Cloud-Dienste auch als Tarnung verwendet, kann das Risiko einer Entdeckung beträchtlich verringern. Genau das praktiziert APT31 – und das wird mutmaßlich auch in der Zukunft zu wahrnehmen sein.