Zoombombing & russische Desinformation

Wer schon einmal ein Webinar veranstaltet hat, weiß: Bei einer Online-Präsentation gibt es viel zu bedenken – selbst wenn die Technik reibungslos funktioniert. Es erfordert einiges an Geschick, neben den eigenen Ausführungen die Zuhörer durch die Veranstaltung zu führen. Umso schlimmer, wenn Sie im Zuge eines „Zoombombing“ plötzlich unerwartet Trolle und Störenfriede abwehren müssen.
„Zoombombing & russische Desinformation“ weiterlesen

Verflechtungen zu Russland im UC&C-Sektor

sanctions and boycotts

Russische Cyberangriffe stellen seit mehr als einem Jahrzehnt ein Risiko für die Online-Sicherheit dar – immer häufiger und offensichtlicher, mit klarer Verbindung zur russischen Regierung. Mit dem russischen Einmarsch in die Ukraine ist die Cyber-Kriegsführung des Kremls nun endgültig in konventionelle Kampfhandlungen übergegangen.

Daraus folgt: Staatlich geförderte Aktivitäten zur illegalen Informationsbeschaffung sind nicht mehr bloß als abstrakte Bedrohung zu betrachten; sie dienen jetzt der Durchführung konkreter Angriffe und der Zerstörung.

Angesichts dieses Krieges ist es unerlässlich, zu beleuchten, wo Technologieanbieter in Bezug zu Russland stehen. Denn anhaltende Investitionen in Russlands technologische Infrastruktur verschaffen der russischen Regierung potenzielle Möglichkeiten, ihre Cyber-Kriegsführung fortzusetzen. Dies unterstützt unweigerlich die eigentlichen Kriegsanstrengungen in der Ukraine.

Viele Technologiefirmen haben daher ihre vollständige Abkehr vom russischen Markt angekündigt, darunter Konzerne wie Apple, Oracle oder SAP. Auch Wildix verurteilt die Invasion ausdrücklich und hat alle russischen Konten von seinem Cloud-basierten Kommunikationsnetzwerk abgeschnitten.

Doch wie haben andere digitale Kommunikationsanbieter bislang auf dieses Ereignis reagiert?

Wie die Beziehungen aussehen und die großen Kommunikationsanbieter auf den Überfall auf die Ukraine reagieren

Microsoft

Als Anbieter der Teams-Plattform war Microsoft nicht zimperlich, wenn es um die Beziehungen zu Russland geht: Am 4. März 2022 kündigte das Unternehmen an, alle neuen Verkäufe und Dienste in Russland einzustellen und begründete seinen Schritt ausdrücklich mit dem Einmarsch in die Ukraine.

Doch diese Ankündigung allein deutet nicht unbedingt auf einen endgültigen Bruch mit Russland hin. Bei Redaktionsschluss unterhielt Microsoft noch eine Niederlassung in Moskau. Es ist derzeit unklar, ob dieser Standort geschlossen oder weiter genutzt werden soll. Am selben Tag, an dem das Unternehmen ankündigte, seine Dienste in Russland einzustellen, veröffentlichte die Moskauer Microsoft-Niederlassung auf LinkedIn noch eine Stellenausschreibung für einen technischen Kundendienstleiter. Das deutet auf eine Fortsetzung des Geschäftsbetriebs in Russland hin.

Vonage

Ein Blick auf die Internetseite von Vonage verrät: Es gibt einen eigenen Bereich für russische Kunden. Auch der Mutterkonzern von Vonage, Ericsson, unterhält auf seiner Website ein umfangreiches Internetangebot in russischer Sprache und bietet zahlreiche Stellenangebote für seine russischen Niederlassungen an. Bisher hat sich Vonage durch den Einmarsch in der Ukraine noch nicht zu den Zukunftsplänen seiner russischen Beziehungen geäußert.

Neben den üblichen Beiträgen in den sozialen Medien veröffentlichte Vonage lediglich eine Erwiderung zum Trend-Bericht für das Jahr 2021, der Daten russischer Kunden enthält. Zwar muss man diesen Report erst herunterladen, um russische Aktivitäten offensichtlich werden zu lassen, aber in Kombination mit den bestehenden, russischen Inhalten auf der Website des Unternehmens deutet dies auf fortgesetzte Geschäftsbeziehungen in Russland hin.

RingCentral

Zwar haben wir bislang von RingCentral noch keine Stellungnahme zur Invasion gesehen, das Unternehmen scheint jedoch jegliche Hinweise auf Russland von seiner Website entfernt zu haben. Auch hat sich das Unternehmen von früheren russischen Verbindungen distanziert – u.a. hat dessen Co-Founder die US-Staatsbürgerschaft angenommen.

Dennoch bleiben einige Hinweise auf eine Zusammenarbeit bestehen. So hat Glassdoor noch am 1. März 2022 Bewertungen für das Moskauer Büro erhalten. Darüber hinaus weist RingCentral auf seinen Webseiten weiterhin darauf hin, dass auf persönliche Daten, die in den USA oder im Europäischen Wirtschaftsraum gespeichert sind, von Russland aus zugegriffen werden kann.

8×8

Im Großen und Ganzen dürften die Verbindungen zwischen 8×8 und Russland von vornherein minimal gewesen sein. Das Unternehmen unterhält keine Datenserver, Büros oder direkte Mitarbeiter in diesem Land. Auch wenn 8×8 sich nicht zu Russland oder seiner Invasion geäußert hat, so bestehen offensichtlich kaum Beziehungen, die sie aktiv trennen könnten.

Allein von der Ankündigung im letzten Jahr, Telefoniedienste auf Russland ausweiten zu wollen, scheint das Unternehmen sich bisher nicht distanziert zu haben.

Cisco

Cisco hat seine Beziehungen zu Russland ganz offen kommuniziert. Am 3. März 2022 verurteilte das Unternehmen die russische Invasion und kündigte formell an, alle Geschäftsaktivitäten in Russland einzustellen und seine ukrainischen Geschäftsbeziehungen zu intensivieren. Eine flüchtige Suche in den Stellenangeboten des Unternehmens untermauert diese Aussage, denn es erscheinen keine Einträge unter dem Filter „Russische Föderation“.

Obwohl Cisco ein Büro in Moskau unterhält und die russische Website des Unternehmens weiterhin aktiv ist, gibt es keine Anhaltspunkte dafür, dass diese Ressourcen weiterhin für den russischen Markt genutzt werden.

Google

Im Bereich Unified Communications betrachten wir Google vornehmlich als Entwickler von Meet. Aber das Angebot an Lösungen des Unternehmens ist natürlich weitreichender. Einer der wichtigsten Dienste des Unternehmens, Google Ads, wird ab dem 3. März 2022 in Russland ausgesetzt. Damit reagiert das Unternehmen auf die zunehmenden Forderungen der russischen Regierung nach einer Zensur der in Russland gezeigten Werbung.

Zuvor hatte Google bereits die vom russischen Staat gesponserten Nachrichtenquellen Russia Today und Sputnik aus seinem Mobile-App-Store entfernt. Es hat den Anschein, dass die Meet-Plattform in Russland weiterhin genutzt werden kann.

Mitel

Das in Kanada ansässige Unternehmen Mitel hat sich nicht zu den russischen Beziehungen geäußert, obwohl das Unternehmen seit 2011 in der Region tätig ist und eine Niederlassung in Moskau unterhält. Außerdem hat Mitel angekündigt, 2019 eine Roadshow mit einem Stopp in Russland zu veranstalten.

Das Unternehmen ist zwar im Telefonbereich auch in Russland tätig, verfügt aber nur in Großbritannien, Frankreich, Kanada und den Vereinigten Staaten über große Rechenzentren. Auch hier deutet jedoch nichts darauf hin, dass Mitel seine früheren Geschäftsbeziehungen zu Russland abgebrochen hat.

Wildix

Wildix hatte nur wenige Verbindungen mit Russland, aber das Unternehmen bemühte sich, selbst diese zu kappen. Dazu hat es die wenigen Konten, die sich in Russland befinden, aus seinem Cloud-PBX-System geschlossen. Zudem wurde jede Erwähnung Russlands von seiner Website entfernt.

Wildix beschäftigt eine beträchtliche Anzahl ukrainischer Mitarbeiter. Daher war es dem Unternehmen angesichts der russischen Invasion ein Anliegen, so viele Mitarbeiter wie möglich aus dem Land zu evakuieren. Dies geschieht zusätzlich zu dem allgemeinen Bestreben, Kunden auf Cloud-basierte Telefonanlagen umzustellen, da diese Plattform mehr Sicherheit bietet, insbesondere gegen Cyberangriffe aus Russland.

Ausblick

Zum Redaktionsschluss dieses Artikels deutete alles darauf hin, dass Russland nicht beabsichtigt, sich aus der Ukraine zurückzuziehen. Das dürfte zugleich eine Intensivierung seiner bereits umfangreichen Hacking-Aktivitäten bedeuten. Solche Cyberangriffe beinhalteten in der Vergangenheit auch die Beschlagnahmung vertraulicher Dokumente und Ransomware. Daher ist es für Privatpersonen und Unternehmen umso wichtiger, sichere Online-Praktiken zu nutzen.

Sie sollten insbesondere prüfen, ob die von Ihnen genutzten Netzwerke und Kanäle in Bezug zu Russland stehen. In der Vergangenheit nutzten von Russland gesponserte Cyberkriminelle jeden Internetkanal, zu dem sie Zugang hatten, um ihre illegalen Operationen durchzuführen. Wenn die von Ihnen verwendeten Kanäle mit russischen Unternehmen in Verbindung stehen, erhöht sich deshalb für Sie auch das Risiko.

In Zukunft ist es für die Sicherheit (und das eigene Gewissen) von entscheidender Bedeutung, zu beurteilen, wer angesichts dieser Attacken noch immer Geschäfte mit Russland betreibt bzw. sich entschieden hat, alle Beziehungen zu dem Land zu kappen.

Phishing und andere Formen des Betrugs: Wie Sie sich vor Online-Betrug schützen können

Im Internet gibt es viele Formen des Betrugs. Von verdächtigen „Sonderangeboten“ bis hin zu Lizenzgebühren dubioser Herkunft – Betrügereien sind für Online-Nutzer so alltäglich, dass sich regelrecht in die Kultur des World Wide Webs eingebrannt haben.

Cyberangreifer sind im Internet allgegenwärtig. Sie trachten, danach das Vertrauen, die Angst oder einfach nur die Unwissenheit argloser User auszunutzen. Oft sind diese Akteure nicht deshalb erfolgreich, weil sie direkt die Systemsicherheit attackieren, sondern vielmehr weil sie Angst als Druckmittel einsetzen. Das sog. „Phishing“ ist eine ernsthafte Bedrohung im Bereich der Cybersicherheit.

„Phishing und andere Formen des Betrugs: Wie Sie sich vor Online-Betrug schützen können“ weiterlesen

Russische Cyberangriffe: Geheime Sicherheitsrisiken enthüllt

russia-based cyberattackers

Das fieberhafte Wettrüsten hat sich heute von immer gefährlicheren Bomben auf immer ausgefeiltere Techniken zur Überwindung digitaler Sicherheitsmaßnahmen verlagert. Ähnlich wie beim Thema Nuklearwaffen ist einer der größten Gegner in diesem Ring Russland. Dessen Bemühungen, elektronische Datenbanken zu infiltrieren, reichen von politischen Organisationen bis hin zu Kraftwerken – und erweisen sich dabei als ebenso effektiv wie schwer zu fassen.

Dennoch konnten staatliche Geheimdienste aus aller Welt viele dieser von Russland ausgehenden Bedrohungen aufspüren. Im Zuge dessen wurden sowohl die Identitäten dieser Gruppierungen als auch ihre gängigsten Vorgehensweisen bei Cyberattacken enttarnt.

Spätestens jetzt, da Russland die Welt auch mit konventionellen Waffen angreift, ist es für jeden digitalen Kommunikationsexperten wichtig zu verstehen, wie diese Akteure vorgehen. Zudem müssen sie wissen, welche Bedrohungen durch Cyberangriffe es überhaupt gibt, um sich wirksam davor zu schützen.

Snake

Bei dem bekannten Hackerkollektiv Snake nimmt man an, dass es wohl schon seit 2004 aktiv ist. Die Gruppierung wird vom deutschen Bundesamt für Verfassungsschutz (BfV) als “Heiliger Gral der Spionage” bezeichnet und erhält die höchstmögliche Einstufung auf dem Advanced-Persistent-Threat-(APT)-Index.

Der erste von Snake durchgeführte Angriff fand im Dezember 2017 statt, als eine Malware das deutsche Außenministerium infizierte und deren Computer dazu brachte, gefälschte Websites zu kontaktieren. Auf diese Weise konnte Snake Daten von den Servern des Ministeriums sammeln und auf geheime Dokumente zugreifen.

Die Ermittler hatten jedoch das Glück, dass die Angreifer zwei Benutzernamen in den gehackten Datenbanken hinterließen: „Vlad“ und „Urik“. Trotz ihrer Unbestimmtheit reichten diese Namen aus, um die Angriffe auf das russische Unternehmen Center-Inform zurückzuführen. Da Center-Inform bekanntermaßen Verbindungen zum russischen Inlandsgeheimdienst FSB (Federal Security Service) unterhält, sind Geheimdienste auf der ganzen Welt einhellig zu dem Schluss gekommen, dass Snake als eine vom russischen Staat gesponserte Hackerverbindung operiert.

Sowohl das deutsche BfV als auch der kanadische Nachrichtendienst CSE beschreiben die von Snake erstellte Malware als „genial“ im Design. Dieses „Lob“ bezieht sich primär darauf, wie effektiv die Malware bei der Durchführung von Cyberangriffen ist: Sobald sie einen Computer infiziert hat, kann der Hacker ohne großen Aufwand oder Fachwissen die Malware zur illegalen Datenerfassung nutzen.

Das ist natürlich nur dann der Fall, wenn ein Gerät zuvor infiziert wurde. Doch wie andere Beispiele zeigen: Die Erstinfektion erfolgt nicht immer durch ein gewaltsames Eindringen in das System.

Fancy Bear

All jene, die die amerikanische Politik im Jahr 2016 aufmerksam verfolgt haben, dürften den Name ‘Fancy Bear’ bereits kennen. Fancy Bear, auch APT28 oder Sofacy genannt, rückte in den Fokus der Öffentlichkeit, als der Hack mit den Cyberangriffen auf die Präsidentschaftskampagne von Hillary Clinton, das Democratic National Committee und das Democratic Congressional Campaign Committee im Jahr 2016 in Verbindung gebracht wurde. Allerdings wird die Gruppe auch für weitere Angriffe zwischen 2014 und 2018 auf hochrangige Einrichtungen verantwortlich gemacht, darunter die Welt-Anti-Doping-Agentur, die Organisation für das Verbot chemischer Waffen und das Schweizer Chemielabor Spiez.

Die Angriffsziele von Fancy Bear sind allerdings nicht auf die Vereinigten Staaten und Westeuropa beschränkt – und auch nicht auf Organisationen. Zu den weiteren bekannten Opfern der Cyberangriffe der Hackergruppe gehören Journalisten aus Russland, der Ukraine und Moldawien, die sich kritisch über Wladimir Putin geäußert haben. Zwischen 2014 und 2016, während der russischen Angriffe auf die Ukraine und die Krim, trafen mit Fancy Bear in Verbindung gebrachte Cyberangriffe auch ukrainische Artillerieeinheiten und setzten diese außer Gefecht.

Da die vermuteten Absichten der Gruppierung größtenteils sich mit Interessen des russischen Staates decken, scheint es naheliegend, dass Fancy Bear Verbindungen zum Kreml unterhält. Die Untersuchungen des Cybersecurity-Unternehmens CrowdStrike, des britischen Foreign and Commonwealth Office und des US Special Counsel weisen eindeutig auf eine Verstrickungen zwischen Fancy Bear, der russischen Regierung und dem russischen Geheimdienst GRU hin.

Was Fancy Bear in der Riege der Cyberangreifern auszeichnet, ist die Methodik. Die Gruppe beschafft sich Daten in der Regel nicht durch gewaltsames Eindringen, sondern durch Social Engineering: Websites werden erstellt, die Benutzer zur Eingabe vertraulicher Daten verleiten sollen. Viele der Kampagnen resultieren aus gefälschten Mitteilungen, die die Empfänger zur Angabe von Zugangsdaten nötigen (auch bekannt als „Phishing“ oder „Spear Phishing“, wenn es um eine wichtige Person bzw. Konto geht). Sobald die Zielpersonen auf die Websites klicken oder ihre Anmeldedaten eingeben, infiziert Fancy Bear das Endgerät mit einer Schadsoftware, die illegal Daten von dem Gerät selbst und dem eingebundenen Netzwerk sammelt.

Fancy Bear ist äußerst effektiv und sogar in der Lage, mehrere Hacking-Kampagnen gleichzeitig auszuführen. Fancy Bear ist jedoch bei Weitem nicht die einzige mit Russland verbundene Gruppe, die solche Techniken einsetzt.

Cozy Bear

Eine andere, mit Russland in Verbindung gebrachte Gruppierung, die dafür bekannt ist, Phishing intensiv zu nutzen, ist Cozy Bear, auch APT29 oder The Dukes genannt. Cozy Bear ist seit mindestens 2008 aktiv. Es wird vermutet, dass sie mit dem russischen Auslandsgeheimdienst (SVR) kollaborieren und Regierungsnetzwerke in ganz Europa, insbesondere in den NATO-Mitgliedstaaten, angreifen. Weitere Ziele der Gruppe sind Thinktanks und Berichten zufolge das Demokratische Nationalkomitee in den USA.

Die folgenreichste Cyberattacke von Cozy Bear erfolgte 2020 mit massiven Datenschutzverletzungen bei SolarWinds. SolarWinds, ein Technologieunternehmen in den Vereinigten Staaten, wurde von Mitgliedern von Cozy Bear heimlich infiltriert, um Daten sammelnde Malware in das Hauptsystem des Unternehmens einzuschleusen. Dieser Hack fand sich bald bei Tausenden weiteren Opfern, da SolarWinds den Schadcode unwissentlich über ein Patch-Update verbreitete und so die Schwachstelle an wichtige Kunden weitergab, darunter Microsoft, Intel und das US-Verteidigungsministerium.

Wie Fancy Bear verwendet auch Cozy Bear in erster Linie Spear-Phishing, um in Systeme einzudringen. In riesigen Kampagnen werden Zugangsdaten von wichtigen Personen in Zielunternehmen abgefragt. Die Gruppe ist für ihre Beharrlichkeit bekannt, auch dann neue Angriffe auf etablierte Ziele zu starten, wenn der Zugang gesperrt wurde.

Sandworm

Während die Gruppe zumeist unter dem Namen der Dune-Kreatur bekannt ist, wird sie in manchen Kreisen auch Voodoo Bear genannt. Aber egal welchen Namen man der Hackergruppe gibt, Sandworm gehört zu den berüchtigtsten Cyberangreifern, die mit Russland in Verbindung gebracht werden.

Die mit dem GRU in Verbindung gebrachte Gruppierung führte mit ihren NotPetya-Malware-Angriffen, die 2017 gleichzeitig Frankreich, Deutschland, Italien, Polen, Großbritannien, die Vereinigten Staaten und vor allem die Ukraine betrafen, die umfangreichste Cyberattacke der Geschichte durch. Die Opfer erlitten einen Schaden von insgesamt 10 Mrd. US-Dollar.

In jüngerer Zeit entwickelte Sandworm eine Malware namens Cyclops Blink, die von bösartigen Agenten auf Netzwerkgeräten des IT-Sicherheitsanbieters Watchguard platziert wurde. Nach Angaben von US-Geheimdiensten ist Cyclops Blink wahrscheinlich ein Nachfolger von Sandworms eigenem Programm VPNFilter. VPNFilter infizierte Jahre zuvor Netzwerk-Router und verbreitete sich auf einer halben Million Rechner, um diese in ein globales Bot-Netz zu verwandeln, das von Sandworm und damit vom GRU kontrolliert wurde.

Aber was war das eigentliche Ziel von VPNFilter oder von Cyclops Blink? Besorgniserregend ist: Wir wissen es nicht genau. So wahrscheinlich es ist, dass Sandworm diese Malware zu Überwachungszwecken eingesetzt hat, so denkbar ist es auch, dass sie eine digitale Infrastruktur für verdeckte, aus Russland stammende Kommunikation einrichten. Es könnte ebenso als Grundbaustein für eine massive Störung der betroffenen Netzwerke dienen. Es sei daran erinnert, dass Sandworm im Jahr 2015 in der Lage war, große Teile des ukrainischen Stromnetzes lahmzulegen.

Die gute Nachricht ist, dass Watchguard im Fall von Cyclops Blink die von Sandworm genutzte Sicherheitslücke erfolgreich patchen konnte und dass Benutzer die Malware beseitigen können, indem sie ihren Computer löschen und die Software neu installieren. Dennoch zeigt das Beispiel, dass persönliche Hardware unwissentlich zu einem Werkzeug für Cyberangriffe umfunktioniert werden kann.

Bewährte Praktiken & Erkenntnisse

So undurchsichtig und unaufhaltsam diese Hackergruppen auch sein mögen, ihre Methoden garantieren keinen Erfolg. Sie können sich mit einer Kombination aus bewährten Sicherheitspraktiken und intelligent entwickelter Software wirksam gegen Cyberangriffe schützen, auch wenn versierte Cyberkriminelle im Internet lauern.

Zu diesen bewährten Praktiken gehört vorrangig, dass Sie sich gegen Phishing-Versuche wappnen. Das bedeutet, dass Sie nicht auf verdächtige Links klicken, nicht auf Spam-E-Mails oder auf Nachrichten mit Ihren Anmeldedaten oder Informationen zur Wiederherstellung Ihres Kontos antworten. Wenn Sie sich von zwielichtigen Websites und Dateien fernhalten, schützen Sie sich schon ziemlich gut. Aber Sie sollten auch in Betracht ziehen, zentrale Konten mit einer Zwei-Faktor-Authentifizierung oder Single Sign-On zu sichern.

In Bezug auf die Systeminfrastruktur bietet der Umzug von lokaler Hardware in die Cloud auch einen deutlich verbesserten Online-Schutz. Bedenken Sie, wie oft Cyberangreifer Malware und Exploits in der Hardware einschleusen, um ihre Angriffe auszuführen: Ist ein System in der Cloud, wird dieses Risiko weitgehend gemindert. Dies liegt zum einen daran, dass Schwachstellen gepatcht werden, sobald der entsprechende Hotfix steht, zum anderen gibt es aber auch keine traditionelle „Hardware“ mehr, die infiziert werden könnte.

Grundsätzlich gilt natürlich, dass es sich immer noch lohnt, Systeme zu verwenden, die intelligente Sicherheitsprotokolle einsetzen. Was die digitale Kommunikation anbelangt, so zeichnet sich Wildix durch eine Systemarchitektur aus, die Benutzer vor Infiltration und Abhören schützen und von Haus aus vollkommen sicher ist – ohne VPN, SBC oder andere Zusatzkomponenten. Mehr über die Sicherheitsmaßnahmen von Wildix erfahren Sie in unserem kostenlosen Whitepaper.

Wie auch immer Sie sich entscheiden: Sicherheit war noch nie so wichtig wie heute. Während Russland die Ukraine angreift, wird es wohl auch weiterhin Cyberangriffe starten und dabei auch ausländische Hardware in seine Bemühungen einbeziehen. Was Sie konkret dem entgegensetzen können, ist zu verstehen, wie die gängigsten Methoden russischer Cyberangriffe aussehen und Ihre Endgeräte entsprechend zu schützen.

Wenn Sie weitere Tipps zum Thema Cybersecurity, Cyberangriffe und digitale Sicherheit erhalten möchten, abonnieren Sie unser kostenloses Magazin!