Security-Experten von Proofpoint haben eine Reihe bösartiger E-Mail-Kampagnen der russischen Gruppe TA499 beobachtet. Die Kampagnen der Gruppe, auch bekannt als „Vovan und Lexus“, nahmen Ende Januar 2022 an Fahrt auf und wurden zunehmend aggressiver, nachdem Russland Ende Februar 2022 in die Ukraine einmarschierte. Ursprünglich richteten die Kampagnen sich an hochrangige nordamerikanische und europäische Regierungsvertreter sowie CEOs bekannter Unternehmen und Prominente.
Die Akteure haben ihre Tätigkeiten stetig ausgeweitet und nehmen jetzt auch prominente Geschäftsleute und hochrangige Persönlichkeiten ins Visier, die große Summen für die ukrainischen humanitären Bemühungen gespendet haben oder sich öffentlich zu russischer Desinformation und Propaganda geäußert haben. So richten sich einige Aktionen von TA499 an Befürworter von Sanktionen gegen die Nord Stream II-Pipeline.
Mit den Kampagnen versucht TA499, Informationen von den Zielpersonen zu erfragen und sie zu weiteren Kontakten per Telefon oder Videokonferenz zu verleiten. Die E-Mails, die zur Kontaktaufnahme dienen, enthielten keine Schadsoftware, sondern lediglich Mitteilungen oder Einladungen, die Vorgaben, von einer ukrainischen Botschaft, dem ukrainischen Premierminister, einem ukrainischen Parlamentarier oder deren Assistenten zu stammen.
Die Cybersecurity-Forscher von Proofpoint ordnen die beobachteten Kampagnen ein: „TA499 ist ein Content-Creator, der versucht, mit digitalen Inhalten globalen Einfluss auszuüben. Die Akteure setzen sowohl in ihren E-Mails als auch in den anschließenden Videoanrufen stark auf Social Engineering. Weil ihr physischer Auftritt so überzeugend sein kann, müssen potenzielle Opfer die Rolle von E-Mails in dieser Betrugsmasche kennen, um die Pläne der Gruppe zu durchkreuzen.“
Bedrohungsakteur TA499
Proofpoint ordnet TA499 als patriotisch motivierte Gruppe ein, die mit dem russischen Staat verbündet ist und die Persönlichkeit von Amtsinhabern annimmt, um zum Ziel zu gelangen. Die Gruppe hat es auf prominente Personen abgesehen, die sich gegen das russische Regime, für Sanktionen gegen Russland oder gegen die Inhaftierung des bekannten russischen Oppositionsführers Alexei Navalny ausgesprochen haben. Zwar ist nicht bekannt, inwieweit TA499 offiziell von der Regierung unterstützt wird. Die Aufnahmen, die TA499 von Telefonaten und Videokonferenzen mit ihren prominenten Opfern macht, werden allerdings in der Regel genutzt, um Unterstützung und Sympathie für das derzeitige russische Regime und dessen Handlungen zu gewinnen.
Kritik an Putin und Russland: TA499 tritt in Aktion
Die E-Mail-Kampagnen von TA499 liefen auf Hochtouren, als die Spannungen zwischen Russland und der Ukraine zunahmen, und haben seit dem Einmarsch Russlands in die Ukraine im Februar 2022 nicht nachgelassen.
Seit Ende Januar 2022 haben sich die Akteure weitgehend darauf konzentriert, ein Video- oder Telefongespräch mit hochrangigen nordamerikanischen oder europäischen Regierungsvertretern und CEOs prominenter Unternehmen zu vereinbaren. Im Gegensatz zu den Aktivitäten im Jahr 2021 konzentrierten sich diese Kampagnen fast ausschließlich auf Themen im Zusammenhang mit dem Krieg Russlands gegen die Ukraine. TA499 verwendete dieselben Social-Engineering-Ködern weiter, nachdem sie die Zielgruppe im März 2022 erweitert hatte.
Erst in der zweiten Hälfte 2022 begann TA499, wieder einige der Themen und E-Mailadressen aus der Zeit vor dem Krieg aufzunehmen. Diese machen aber nur einen Bruchteil der Gesamtaktivitäten aus.
Anfang 2022
Die ersten Kampagnen von TA499 im Jahr 2022 verwendeten dieselbe von der Gruppe kontrollierte Domain (oleksandrmerezhko.com) und Absenderadresse ([email protected]) wie die Kampagnen im Jahr 2021. Sie richteten sich direkt an Personen, die sich zu diesen Themen geäußert hatten:
- Gesetzentwurf zur Bewaffnung der Ukraine gegen Russland
- Unterstützung von Sanktionen gegen die Nord Stream II-Pipeline
- Bombardierung russischer Militäreinrichtungen und andere militärische Aktionen
Nachdem die internationale Gemeinschaft das Vorgehen des russischen Präsidenten Wladimir Putin in der Ukraine verurteilt und Sanktionen verhängt hatte, verwendete TA499 im März 2022 neue Persönlichkeiten. Vor allem gab sich die Gruppe als ukrainischer Premierminister Denys Shmyhal oder sein Assistent aus. Um die E-Mails glaubhaft erscheinen zu lassen nutzten die Akteure Absenderadressen des beliebten Internetdienstes und E-Mail-Anbieters Ukr.net. Sie gaben vor, entweder von der „Botschaft der Ukraine für die USA“ oder von der „Botschaft der Ukraine in den USA“ zu stammen: [email protected] und [email protected]. Die Themen konzentrierten sich auf ukrainische Beamte, die Anfragen an die Zielpersonen stellten, z. B.:
- Ukrainisches Parlament – [Name der Zielperson]. Anfrage
- Premierminister der Ukraine. Anfrage
- Ukrainisches Parlament – [Name der Zielperson].
- Botschaft der Ukraine – CEO [Zielname]. Anfrage
Mitte 2022
Mitte 2022 begann TA499, E-Mail-Adressen mit Botschaftsbezug ([email protected]) und E-Mail-Adressen der Internationalen Atomenergie-Organisation (IAEO) ([email protected]) zu nutzen, um E-Mails mit der Betreffzeile „URGENT: IAEO Director General“ an internationale Helfer und Assistenten hochrangiger Regierungsbeamter zu senden. Der Zeitpunkt dieser Aktion fiel mit einer öffentlichen Erklärung des IAEO-Generaldirektors zur kritischen Situation im ukrainischen Kernkraftwerk Saporischschja zusammen.
Die Welt schaut zu… auf YouTube (oder RUTUBE)
TA499 stellt Aufnahmen ihrer Videoanrufe auf YouTube und RUTUBE ein. Einer der YouTube-Kanäle der Gruppe wurde zu Beginn des Kriegs Russlands gegen die Ukraine abgeschaltet, sodass TA499 gezwungen war, einen seiner älteren YouTube-Kanäle für die Veröffentlichung zu nutzen.
Bei hochrangigen Zielpersonen, die sich zu Videokonferenzen bereit erklären, gibt sich TA499 als verschiedene Personen aus. Mitglieder der Gruppe schminken sich dafür aufwändig, um genau wie die verkörperte Person auszusehen. So haben sie sich als der Premierminister der Ukraine, Denys Shmyhal, und Oleksandr Merezhko ausgegeben. Die 2021 aufgezeichneten Videoanrufe zeigen, dass TA499 sich auch als Leonid Volkov ausgibt. Einige Quellen gehen davon aus, dass die Gruppe Deepfake-Software mit künstlicher Intelligenz verwendet, um das Aussehen von Volkov und anderen Personen anzunehmen. Die Gruppe bestreitet den Einsatz der Software allerdings. Die Akteure scheinen keine Stimmmodulation zu verwenden und konzentrieren sich in erster Linie auf die mangelnde Vertrautheit der Zielpersonen mit der verkörperten Person und das Überraschungsmoment.
Gespräche mit TA499 beginnen in der Regel ernst und erlauben der Zielperson, freiwillig so viele Informationen wie möglich mitzuteilen. Sobald die Zielperson beginnt, Fragen zu stellen, spiegelt der Darsteller die Antworten der Zielperson, um das Gespräch in Gang zu halten. In einigen der Videos aus dem Jahr 2021 bittet der Leonid-Wolkow-Imitator um finanzielle Unterstützung und scheint die Zielperson zu ermutigen, besondere Verpflichtungen und Bemühungen im Einklang mit der von Nawalny angeführten russischen Opposition zu äußern. Sobald sich die Zielperson zu der Angelegenheit äußert, geht das Video in Possen über, bei denen versucht wird, die Zielperson bei peinlichen Kommentaren oder Handlungen zu erwischen. Die Aufnahmen werden dann bearbeitet und auf YouTube und Twitter für ein russisch- und englischsprachiges Publikum veröffentlicht.
Schlussfolgerungen
TA499 ist eine sehr öffentlichkeitswirksame Gruppe, die sich eine Fangemeinde aufgebaut hat. Sie verfügt über Personen, die nicht nur das in diesem Bericht besprochene Material online stellen, sondern auch in staatlich geförderten russischen Medien agieren und an Konferenzen teilnehmen. Es ist unwahrscheinlich, dass der Krieg Russlands gegen die Ukraine in naher Zukunft beendet wird. Darum wird die Ukraine wahrscheinlich weiterhin Unterstützung von Organisationen auf der ganzen Welt erhalten. Entsprechend gehen die Security-Experten von Proofpoint davon aus, dass TA499 seine Kampagnen fortsetzen wird. TA499 wird wahrscheinlich alte Infrastrukturen wiederverwenden oder zusätzliche Infrastrukturen zur Unterstützung dieser Aktivitäten aufbauen.
Es wird immer wahrscheinlicher, Zielscheibe dieser Gruppe zu werden. Das primäre Ziel von TA499 ist nach wie vor das Führungspersonal einer Organisation. Die Proofpoint-Experten empfehlen allerdings allen, die vermuten, dass sie ein Ziel von TA499 sein könnten, die Identität derjenigen zu überprüfen, die sie einladen, Geschäfte zu tätigen oder politische Themen in Videokonferenzen zu diskutieren. Insbesondere wenn hochrangige Personen sich plötzlich per E-Mail und ohne vorherige Kontaktaufnahme durch eine bekannte und verifizierte Quelle melden, sollten Sie mit Vorsicht vorgehen.
Verdachtsmomente
Indikator | Typ | Verwendung |
[email protected] | Absenderadresse | Kampagnen 2022 |
[email protected] | Absenderadresse | Kampagnen 2022 |
[email protected] | Absenderadresse | Kampagnen 2022 |
[email protected] | Absenderadresse | Kampagnen 2022 |
[email protected] | Absenderadresse | Kampagnen 2022 |
[email protected] | Absenderadresse | Kampagnen 2022 |
[email protected] | Absenderadresse | Kampagnen 2022 |
iaea.com.uk | Domain | Kampagnen 2022 |
oleksandrmerezhko.com | Domain | Kampagnen 2021 & 2022 |
navalny.team | Domain | Kampagnen 2021 |
[email protected] | Absenderadresse | Kampagnen 2021 & 2022 |
[email protected] | Absenderadresse | Kampagnen 2021 |
[email protected] | Absenderadresse | Kampagnen 2021 |
www.proofpoint.com