Hacker nutzen Social Engineering, um Experten für russische Operationen anzugreifen
Ein neuer und hochentwickelter Cyberangriff, der vermutlich von einer russischen staatlich organisierten Gruppe durchgeführt wird, wurde aufgedeckt. Mit dieser innovativen Methode werden Benutzer dazu verleitet, anwendungsspezifische Passwörter (ASPs) zu erstellen und weiterzugeben. So werden gängige Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung ( MFA ) umgangen.
Dieser ausgeklügelte Angriff wurde gemeinsam vom Citizen Lab (einer Forschungsgruppe der Universität Toronto) und der Threat Intelligence Group (GTIG) von Google bekannt gegeben . Ihre Untersuchung begann, nachdem Keir Giles, ein bekannter Experte für russische Informationsoperationen und leitender Mitarbeiter bei Chatham House, Citizen Lab um Hilfe gebeten hatte, nachdem er angegriffen worden war.
Dieser neue Angriff unterschied sich vom üblichen Phishing . Er war langsam und sehr überzeugend. Er begann am 22. Mai 2025, als Herr Giles eine E-Mail von einer Person namens Claudie S. Weber erhielt, die sich als Mitarbeiterin des US-Außenministeriums ausgab. Die E-Mail wirkte echt, selbst mit anderen offiziellen Adressen in der CC-Zeile. Die Angreifer ließen sich Zeit und verschickten innerhalb weniger Wochen über zehn E-Mails, um Vertrauen aufzubauen. Experten vermuten, dass sie möglicherweise fortschrittliche Tools eingesetzt haben, um ihre Nachrichten sehr natürlich klingen zu lassen.
Der Haupttrick bestand darin, Herrn Giles dazu zu bringen, sich für eine gefälschte MS DoS Guest Tenant-Plattform anzumelden. Sie schickten ihm ein professionell gestaltetes PDF mit Anweisungen. Dieses PDF führte ihn dazu, ein App-spezifisches Passwort (ASP) für sein Google-Konto zu erstellen.
Zu Ihrer Information: Ein ASP ist ein spezieller 16-stelliger Code für ältere Apps, die mit modernen Sicherheitsvorkehrungen nicht kompatibel sind. Die Hacker täuschten vor, dieser ASP würde ihm Zugang zu einem sicheren Regierungssystem verschaffen, gab ihnen aber tatsächlich die volle Kontrolle über seine Konten.
GTIG hat die Gruppe hinter diesen Angriffen als UNC6293 identifiziert . Sie gehen davon aus, dass UNC6293 mit APT29 (auch bekannt als Cozy Bear ) in Verbindung steht, einer Cyberspionagegruppe mit Verbindungen zum russischen Auslandsgeheimdienst (SVR). Google erkannte später den Angriff auf die Konten von Herrn Giles, ergriff Maßnahmen zu deren Sicherung und deaktivierte die E-Mail-Adresse des Angreifers.
Dieser Vorfall verdeutlicht ein wachsendes Problem: Da Standardsicherheit wie MFA immer häufiger zum Einsatz kommt, finden Angreifer neue Wege, diese zu umgehen. Experten erwarten mehr Social-Engineering-Angriffe, die auf app-spezifische Passwörter abzielen.
Cybersicherheitsteams wird nun geraten, den Einsatz von ASPS in ihren Organisationen zu überwachen und die Nutzer über diese neuen Risiken aufzuklären. Google arbeitet bereits daran, ASPs für Geschäftskunden in Google Workspaces schrittweise abzuschaffen, achtet aber weiterhin auf die Sicherheit und die Nutzerbedürfnisse privater Gmail-Konten.
HackRead
