Wineloader von "CDU": Russische Cyberspione nehmen deutsche Politiker ins Visier

Grüße aus Moskau: Die in Russland verortete Bedrohungsgruppe APT29, die etwa auch als "Cozy Bear", "Midnight Blizzard", "Nobelium" oder "The Dukes" bekannt ist, soll wichtige deutsche Politiker und Parteien mit einer neuen Schadsoftware angegriffen haben. Das geht aus einer Analyse der IT-Sicherheitsfirma Mandiant hervor, die seit 2022 zu Google gehört. Die Cyberattacke erfolgte demnach über Ende Februar verschickte Phishing-E-Mails, die zu einem angeblichen Abendessen der CDU am 1. März einluden. Darin enthaltene Links führten Opfer auf eine kompromittierte Webseite. Dort verbarg sich zunächst das ausführbare Programm Rootsaw, das als sogenannter Malware-Dropper fungierte und eine als Wineloader betitelte Backdoor zu installieren versuchte.

"Um an der Veranstaltung teilzunehmen, füllen Sie bitte einen Fragebogen aus und senden Sie ihn in den nächsten Tagen per E-Mail", hieß es in der betrügerischen Mail auf Deutsch laut einem Bildschirmfoto, das Mandiant in einem Blogbeitrag zu der Untersuchung mit veröffentlicht hat. Wer genauer las, konnte aber über holprige Formulierungen stolpern. So sollte das Dinner von einem "regionalen repräsentativen Amt" der Partei organisiert werden, das am Veranstaltungstag "um 19 Uhr helfen wird".

Zuerst wurden Empfänger aufgefordert, einen Fragebogen auszufüllen. Im Anschluss sollten Einladungen "in die ordnungsgemäße Zeit gesendet" werden, hieß es weiter. Der erstmals im Frühjahr 2023 öffentlich gemachte Rootsaw-Downloader setzte die Startzeit dann in einer zweiten Mitteilung plötzlich auf 18:30 Uhr fest und gab die Kleiderordnung "Business-Smart" vor. Informationen über den Ort würden "noch geklärt".

CDU-Dinner frei erfunden

Wie viele Geladene auf die gefährlichen Links klickten, ist nicht bekannt. Die CDU bestätigte dem Spiegel, dass man bereits Hinweise auf den Vorfall erhalten habe. Der in der Mail genannte Anlass sei frei erfunden: "Am 1. März gab es kein offizielles Abendessen der CDU." Laut Spiegel beschäftigen sich auch schon der Verfassungsschutz und das BSI mit dem Fall. Das Ziel der Attacken sei es gewesen, Daten von infizierten Rechnern zu stehlen.

Die Schadsoftware weist Mandiant zufolge Merkmale bekannter APT29-Malwarefamilien auf und deutet auf einen gemeinsamen Entwickler hin. Gesteuert wird die Gruppe nach Einschätzungen westlicher Beobachter vom russischen Auslandsgeheimdienst SWR. APT wird unter anderem mit verheerenden Cybereinbrüchen bei SolarWinds, HPE und Microsoft in Verbindung gebracht. Sie soll auch für Cyberangriffe auf Server der Demokratischen Partei vor der US-Wahl 2016, auf westliche Ministerien und Botschaften sowie Entwicklungslabors für Corona-Impfstoffe verantwortlich sein.

Warnung vor umfassenden russischen Cyber-Operationen

Die Wineloader-Hintertür, die erst seit Januar auf dem Schirm westlicher Fachleute ist, ist laut Mandiant wohl eine Variante der Schadsoftware-Familien Burntbatter, Muskybeat und Beatdrop. Beide wurden bisher allein APT29 zugeordnet, und zwar hinsichtlich der Art, wie sie Systeme angreifen und wie sie gegen eine Analyse geschützt sind. Wineloader sei aber deutlich einfacher zu handhaben, sodass einschlägige Malware-Operationen mittlerweile "hochgradig anpassungsfähig" seien.

Die neue Malware soll Ende Januar auch bei Kampagnen gegen diplomatische Einheiten in Tschechien, Indien, Italien, Lettland und Peru im Einsatz gewesen sein. In einem von Hackernews dokumentierten Fall wurden auch Links in PDFs genutzt, um auf Webseiten mit Wineloader zu locken. Im aktuellen Fall waren die Links aber in den Mails direkt enthalten.

Die Forscher gehen angesichts der geopolitischen Interessen Russlands von einer umfassenden Bedrohung für europäische und westliche politische Parteien, zivilgesellschaftliche Organisationen und Unternehmen aus. Über Phishing hinaus könnten die Angreifer auch versuchen, etwa Cloud-basierte Authentifizierungsmechanismen zu unterlaufen. Die aufgedeckte Attacke sei "Teil der umfassenderen Bemühungen Russlands", die europäische Unterstützung für die Ukraine zu untergraben, meint der Mandiant-Analyst Dan Black. Sein Kollege John Hultquist sieht "keinen Grund zu der Annahme, dass diese Aktivitäten auf eine bestimmte Partei oder ein bestimmtes Land beschränkt sind". Der SWR habe schon immer die Aufgabe gehabt, dem Kreml dabei zu helfen, die westliche Politik zu verstehen und vorherzusagen.

(nie)