GRUs BlueDelta nimmt mit mehrstufigen Spionagekampagnen wichtige Netzwerke in Europa ins Visier

Die Insikt Group verfolgt die Entwicklung der operativen Infrastruktur BlueDelta des GRU und zielt mit der Informationen stehlenden Headlace-Malware und Anmeldeinformationen abfangenden Webseiten auf Netzwerke in ganz Europa. BlueDelta hat die Headlace-Infrastruktur von April bis Dezember 2023 in drei verschiedenen Phasen bereitgestellt und dabei Phishing, kompromittierte Internetdienste und „Living-Off-the-Land“-Binärdateien zur Gewinnung von Informationen eingesetzt. Seiten zum Abgreifen von Zugangsdaten zielten auf das ukrainische Verteidigungsministerium, europäische Transportinfrastrukturen und eine Denkfabrik in Aserbaidschan ab und spiegeln eine umfassendere russische Strategie wider, die darauf abzielt, regionale und militärische Dynamiken zu beeinflussen.

GRUs BlueDelta-Spionagekampagnen in ganz Europa

Der russische strategische Militärgeheimdienst GRU führt trotz anhaltender geopolitischer Spannungen weiterhin hochentwickelte Cyber-Spionageoperationen durch. Die neuesten Erkenntnisse der Insikt Group unterstreichen die Aktivitäten von BlueDelta, das mithilfe maßgeschneiderter Schadsoftware und der Erfassung von Anmeldeinformationen systematisch wichtige Netzwerke in ganz Europa ins Visier genommen hat.

Von April bis Dezember 2023 setzte BlueDelta in drei verschiedenen Phasen die Headlace-Malware mithilfe von Geofencing-Techniken ein, um Netzwerke in ganz Europa anzugreifen, mit einem starken Fokus auf die Ukraine. Die Headlace-Malware wird mithilfe von Phishing-E-Mails verbreitet und imitiert manchmal legitime Nachrichten, um ihre Wirksamkeit zu erhöhen. BlueDelta nutzt legitime Internetdienste (LIS) und Living Off-the-Land Binaries (LOLBins) aus und verschleiert so seine Aktivitäten zusätzlich im regulären Netzwerkverkehr. Diese Komplexität erschwert die Erkennung und erhöht den Erfolg von BlueDelta bei der Kompromittierung von Netzwerken.

Ein bemerkenswerter Aspekt der Aktivitäten von BlueDelta ist der Schwerpunkt auf Seiten zum Erfassen von Anmeldeinformationen. Es zielt auf Dienste wie Yahoo und UKR[.]net ab und verwendet erweiterte Funktionen, die in der Lage sind, Zwei-Faktor-Authentifizierung und CAPTCHA-Herausforderungen weiterzuleiten. Ziel der jüngsten Operationen waren das ukrainische Verteidigungsministerium, ukrainische Waffenimport- und -exportunternehmen, die europäische Eisenbahninfrastruktur und eine Denkfabrik mit Sitz in Aserbaidschan.

Durch die erfolgreiche Infiltration von Netzwerken des ukrainischen Verteidigungsministeriums und europäischer Eisenbahnsysteme könnte BlueDelta Informationen sammeln, die möglicherweise Einfluss auf die Taktik auf dem Gefechtsfeld und umfassendere Militärstrategien haben. Darüber hinaus deutet das Interesse von BlueDelta am Zentrum für wirtschaftliche und soziale Entwicklung in Aserbaidschan darauf hin, dass das Unternehmen versucht, die regionale Politik zu verstehen und möglicherweise zu beeinflussen.

Für Organisationen in Regierung, Militär, Verteidigung und verwandten Sektoren sind die zunehmenden Aktivitäten von BlueDelta ein Aufruf, ihre Cybersicherheitsmaßnahmen zu verstärken: der Erkennung ausgefeilter Phishing-Versuche muss Priorität eingeräumt werden, der Zugriff auf nicht unbedingt erforderliche Internetdienste muss eingeschränkt werden und die Überwachung kritischer Netzwerkinfrastrukturen muss verstärkt werden. Zur Verteidigung gegen derartige staatliche Gegner sind kontinuierliche Schulungen im Bereich Cybersicherheit zum Erkennen und Reagieren auf fortgeschrittene Bedrohungen unabdingbar.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.