FBI und SBU untersuchen russische Cyber-Spionagekampagne gegen Beamte in der Ukraine, Europa und den USA

Die SBU teilt mit, dass die Angreifer vor allem versuchen, in Konten auf beliebten Messaging-Apps einzudringen, um Zugang zu sensiblen militärischen, politischen und wirtschaftlichen Informationen sowie zu privaten Daten der Nutzer zu erlangen.

Nach Angaben ukrainischer Beamter geben sich die Hacker häufig als technischer Support oder automatisierte Service-Bots aus. Sie verschicken Phishing-Nachrichten, die darauf abzielen, Menschen zur Herausgabe von Passwörtern oder Verifizierungscodes zu verleiten. In vielen Fällen werden diese Nachrichten in den frühen Morgenstunden verschickt, wenn die Nutzer weniger aufmerksam sind und eher dazu neigen, ohne Überprüfung der Details zu klicken.

Die Warnung erfolgt vor dem Hintergrund einer stetigen Flut von Berichten, die auf russische Cyber-Spionageaktivitäten in ganz Europa und der Ukraine hindeuten.

Eine frühere Berichterstattung von Reuters beschrieb eine größere Operation, bei der mit Moskau verbundene Hacker auf mehr als 170 E-Mail-Konten ukrainischer Staatsanwälte und Ermittler zugriffen. Nach Angaben der ausgewerteten Daten wurden zwischen September 2024 und März 2026 mindestens 284 Postfächer kompromittiert. Zu den Betroffenen gehörten Antikorruptionsbehörden, Militärstaatsanwälte und verschiedene Regierungsbehörden.

Analysten, die das durchgesickerte Material untersuchten, gehen davon aus, dass dieselbe Aktivität über die Ukraine hinausreicht. Auch Einrichtungen in mehreren NATO- und Balkanstaaten waren betroffen, darunter die rumänische Luftwaffe, die griechische Militärführung, lokale Behörden in Bulgarien und Mitglieder des serbischen Militärs.

Die Attribution bleibt umstritten. Forscher bringen die Kampagne im Allgemeinen mit russischsprachigen Betreibern in Verbindung, sind sich jedoch uneinig, ob sie direkt mit der militärischen Hackergruppe namens Fancy Bear zusammenhängt.

Europäische Regierungen haben gleichzeitig ein breiteres Muster von Cyber- und Einflussoperationen gemeldet, die mit Russland in Verbindung stehen.

Rumäniens Cybersicherheitsbehörde bestätigte Angriffe auf Regierungswebsites während der Präsidentschaftswahlperiode des Landes. Beamte in Rumänien und Polen haben auch vor Desinformationsaktivitäten gewarnt, die mit dem kremlnahen „Doppelgänger“-Netzwerk verbunden sind, das gefälschte Nachrichtenseiten, koordinierte Social-Media-Beiträge und erfundene Behauptungen über Wahlbetrug nutzt, um die öffentliche Meinung zu beeinflussen.

In einer separaten Entwicklung identifizierten niederländische Geheimdienste kürzlich einen zuvor unbekannten, mit Russland verbundenen Akteur, den sie „Laundry Bear“ nannten. Nach Angaben niederländischer Beamter ist die Gruppe seit mindestens 2024 aktiv und hat Regierungseinrichtungen, Verteidigungsunternehmen, Technologieunternehmen und andere Organisationen in NATO- und EU-Ländern ins Visier genommen.

Die SBU betonte, dass die Kampagne nicht auf staatliche Einrichtungen beschränkt sei. Auch normale Nutzer seien betroffen, insbesondere über Messaging-Plattformen.

Die Behörden raten den Menschen, regelmäßig aktive Sitzungen in ihren Apps zu überprüfen, die Zwei-Faktor-Authentifizierung zu aktivieren, das Öffnen verdächtiger Links oder Dateien zu vermeiden und niemals Anmeldecodes, Passwörter oder Kontowiederherstellungsschlüssel an Dritte weiterzugeben.

Nutzer werden zudem davor gewarnt, QR-Codes zu scannen, die von unbekannten Konten oder Bots gesendet werden, da diese dazu verwendet werden können, fremde Geräte direkt mit dem Messaging-Konto eines Opfers zu verbinden.