Gemeinsamer Sicherheitshinweis zu Cyberaktivitäten der russischen GRU-Einheit 26165
21.05.2025
Gemeinsam mit Partnern aus Europa und Amerika informieren der Bundesnachrichtendienst (BND), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) in einem Sicherheitshinweis über russische Cyberangriffe, die sich insbesondere gegen westliche Logistik- und Technologieunternehmen richten. Betroffen sind hierbei vor allem Unternehmen, die an der Durchführung von Hilfslieferungen an die Ukraine beteiligt sind.
Verantwortlich für die Angriffe ist die Einheit 26165 des russischen Militärgeheimdienstes GRU und die dazugehörige Cybergruppierung APT28, auch bekannt als Fancy Bear, Sofacy, Forest Blizzard und weiteren Namen. Die bereits seit 2004 im Cyberraum aktive Einheit ist insbesondere bekannt für Cyberangriffe auf politische Ziele, wie etwa den Deutschen Bundestag (2015), die Demokratische Partei der USA (2016) oder die Sozialdemokratische Partei Deutschlands (2023).
Zur Erlangung der initialen Zugriffe greift APT28 auf unterschiedliche Methoden zurück. 2023 wurden deutsche Ziele insbesondere unter Ausnutzung einer kritischen Sicherheitslücke in Microsoft Outlook und mittels Spear-Phishing-E-Mails angegriffen. 2024 lag der Fokus gegen Deutschland auf Brute-Force-Angriffen, bei denen APT28 durch das Ausprobieren einer hohen Anzahl möglicher Kombinationen legitime Zugangsdaten zu erraten versucht.
Die Cyberangriffe dienen der Spionage gegen Knotenpunkte der Kritischen Infrastruktur aus dem Sektor Transport und Verkehr wie etwa Flughäfen, Seehäfen, Bahnstrecken und Grenzübergänge. Hierzu wurden durch die GRU-Einheit 26165 beispielsweise IP-Kameras an entsprechenden Orten in der Ukraine und ihren Anrainerstaaten infiltriert, um Hilfslieferungen zu beobachten, zu verfolgen und dadurch mutmaßlich Sabotageangriffe zu ermöglichen. Wie konkret die Bedrohung durch russische Sabotage gerade für die Logistikbranche ist, zeigt sich an der Explosion von Brandsätzen in der Logistikkette in mehreren europäischen Ländern im Juli 2024, für die europäische Sicherheitsbehörden ebenfalls den russischen Militärnachrichtendienst GRU verantwortlich gemacht haben.
Der mit Partnern veröffentlichte Joint Cybersecurity Advisory (JCSA) listet Techniken, Taktiken und Vorgehensweisen (TTPs) des Akteurs ATP28 auf und gibt Handlungsempfehlungen zur Sicherung der eigenen Netze sowie zur Abwehr potentieller Angriffe und Begrenzung möglicher Schäden.
Das Bundesamt für Verfassungsschutz ist für die Abwehr von Cyberangriffen, Spionage und Sabotage durch ausländische Nachrichtendienste zuständig und steht als vertraulicher Ansprechpartner zur Verfügung.
+49(0)228-99/792-3322