Thought Leadership
Der europäische Cybersecurity-Anbieter HarfangLab hat eine laufende Angriffskampagne durch die russische Gruppe Gamaredon identifiziert, deren Angriffe sich gezielt gegen ukrainische Militär- und Regierungsstellen richten.
Die neue Analyse liefert detaillierte Erkenntnisse über den Malware-Typ PteroLNK sowie die zugrundeliegende Infrastruktur – mit dem Ziel, auch kleinen und mittelständischen Organisationen konkrete Unterstützung bei der Risikobewertung und Verteidigung zu bieten.
Obwohl eine eindeutige Attribution im Bereich der Cyberbedrohungen oft schwierig ist, wird Gamaredon in Fachkreisen mit hoher Wahrscheinlichkeit dem russischen Geheimdienst FSB (Föderaler Sicherheitsdienst) zugeordnet. Frühere Angriffe richteten sich unter anderem gegen ukrainische Regierungsbehörden, kritische Infrastrukturen und militärische Kommandoeinheiten. Auch aktuelle Malware-Proben lassen auf eine Fortsetzung dieses Schwerpunkts schließen.
„Gamaredons Stärke liegt nicht in der technischen Raffinesse, sondern in der operativen Flexibilität: Sie agieren mit hoher Taktfrequenz und bemerkenswertem Anpassungsvermögen. Täglich entstehen neue, stark verschleierte Malware-Varianten. Ihre Infrastruktur wird mithilfe sogenannter ‘Dead Drop Resolvers’ kontinuierlich aktualisiert – und die Erkennungsrate dabei auf ein Minimum reduziert“, erklärt Ariel Jungheit, leitender Threat Researcher bei HarfangLab.
Die aufgedeckte Kampagne läuft seit Ende 2024 und reiht sich in eine seit über einem Jahrzehnt andauernde Serie von Cyberangriffen gegen die Ukraine ein. Obwohl bislang keine konkreten Hinweise auf Angriffe in Deutschland oder anderen europäischen Ländern vorliegen, zeigt die Vergangenheit jedoch, dass sich Gamaredon wiederholt auch gegen Ziele in benachbarten Staaten gerichtet hat – insbesondere in Ländern mit engen diplomatischen oder militärischen Beziehungen zur Ukraine. Die aktuelle Analyse zeigt, dass Gamaredon eine neue Variante der bekannten Pterodo-Malware namens PteroLNK einsetzt. Diese Version verfügt über erweiterte Steuerungsfunktionen via Command-and-Control-Kanäle – was ihre Erfolgswahrscheinlichkeit drastisch erhöht.
„Wir haben eine überarbeitete Version aus dem Pterodo-Malware-Ökosystem analysiert, die sich über USB-Datenträger und Netzlaufwerke verbreitet. Dabei ersetzt sie vorhandene Dateien und Ordner durch infizierte Verknüpfungen. Ein einzelner kompromittierter Rechner kann ausreichen, um ganze Netzwerke zu infizieren“, erläutert Jungheit. „Einmal installiert, lädt die Malware weitere Schadsoftware nach. Das Ziel bleibt unverändert: Spionage und die Schwächung der ukrainischen Verteidigungsfähigkeit – im direkten Interesse russischer Militärziele. Auffällig an der aktuellen Kampagne ist nicht nur ihr Durchhaltevermögen, sondern auch, dass sie nach wie vor aktiv ist.“
Transparenz und Zusammenarbeit als Schlüssel zur Resilienz
Im Gegensatz zu vielen branchenüblichen Berichten stellt HarfangLab Indikatoren für eine Kompromittierung (IOCs) sowie detaillierte Verhaltensanalysen der Malware öffentlich zur Verfügung. So sollen nicht nur große Sicherheitsanbieter, sondern auch kleinere Unternehmen zukünftig Risiken besser einschätzen können und ihre Abwehrstrategie somit gezielt stärken.
„Gamaredon ist ein Meister der Tarnung. Ihre Schadsoftware entzieht sich gekonnt statischen Analysen und gängigen Erkennungsmechanismen. Einige der von uns untersuchten Proben wurden selbst Monate nach ihrer Entdeckung von weniger als zehn Prozent der Antivirus-Programme erkannt – das ist erschreckend effektiv“, so Jungheit. „Unser Ziel ist es, Organisationen zu befähigen, selbst aktiv zu werden. Sicherheit darf kein Wettbewerbsvorteil einzelner Konzerne sein. Deshalb setzen wir auf Offenheit und konkrete, verwertbare Informationen – für große wie kleine IT-Teams. Noch liegt diese Bedrohung unter dem Radar. Wir hoffen, dass unsere Arbeit zu einer besseren Erkennung beiträgt.“
Alle weiteren Informationen zur Analyse sollten hier zu finden sein.
(ds/HarfangLab)
