Spionage gegen Infrastruktur-KnotenpunkteCyber-Aktivitäten der russischen GRU-Einheit 26165
6. Juni 2025
Gemeinsam mit internationalen Partnern informieren der Bundesnachrichtendienst (BND), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) in einem Sicherheitshinweis über russische Cyber-Aktivitäten, die sich insbesondere gegen westliche Logistik- und Technologieunternehmen richten. Betroffen sind hierbei vor allem Unternehmen, die an der Durchführung von Hilfslieferungen an die Ukraine beteiligt sind.
In dem mit internationalen Partnern veröffentlichten Joint Cybersecurity Advisory werden Techniken, Taktiken und Vorgehensweisen (TTPs) des Akteurs aufgelistet und Handlungsempfehlungen zur Sicherung der eigenen Netze sowie zur Abwehr potentieller Angriffe und Begrenzung möglicher Schäden gegeben. Verantwortlich für die Angriffe ist die Einheit 26165 des russischen Militärgeheimdienstes GRU und die dazugehörige Cyber-Gruppierung APT28, auch bekannt als Fancy Bear, Sofacy, Forest Blizzard und unter weiteren Namen.
Die bereits seit 2004 im Cyber-Raum aktive Einheit ist insbesondere bekannt für Cyber-Angriffe auf politische Ziele, wie etwa den Deutschen Bundestag (2015), die Demokratische Partei der USA (2016) oder die Sozialdemokratische Partei Deutschlands (2023).
Zur Erlangung des initialen Zugriffs greift APT28 auf unterschiedliche Methoden zurück. 2023 wurden deutsche Ziele insbesondere unter Ausnutzung einer kritischen Sicherheitslücke in Microsoft Outlook und mittels Spear-Phishing-E-Mails angegriffen. 2024 lag der Fokus gegen Deutschland auf Brute-Force-Angriffen.
Die Cyber-Angriffe dienen der Spionage gegen Infrastruktur-Knotenpunkte wie etwa Flughäfen, Seehäfen, Bahnstrecken und Grenzübergänge. Hierzu wurden durch die GRU-Einheit 26165 beispielsweise IP-Kameras an entsprechenden Orten in der Ukraine und ihren Anrainerstaaten infiltriert, um Hilfslieferungen zu beobachten, zu verfolgen und dadurch mutmaßliche Sabotageangriffe zu ermöglichen. (rhh)
