Google Threat Analysis Group veröffentlichte einen Beitrag mit der Überschrift „Tracking cyber activity in Eastern Europe“. Darin beschreiben die Google-Experten, dass russische Hacker ganz gezielte Phishing-Attacken auf ein Nato-Kompetenzzentrum ausgeführt wurden. Die Gruppe COLDRIVER soll dafür verantwortlich sein.
Die Gruppe COLDRIVER, ein in Russland ansässiger Bedrohungsakteur, der manchmal auch als Calisto bezeichnet wird, hat Anmeldedaten-Phishing-Kampagnen gestartet, die auf mehrere in den USA ansässige NGOs und Denkfabriken, das Militär eines Balkanlandes und einen in der Ukraine ansässigen Rüstungskonzern abzielen. Die Gruppe wurde bereits vor Jahren von F-Secure-Experten (jetzt WithSecure) bei ihren Attacken beobachtet und registriert.
Spear-Phishing gegen NATO
Allerdings hat TAG zum ersten Mal COLDRIVER-Kampagnen beobachtet, die auf das Militär mehrerer osteuropäischer Länder sowie auf ein NATO-Kompetenzzentrum abzielten. Diese Kampagnen wurden über neu erstellte Gmail-Konten an Nicht-Google-Konten gesendet, daher ist die Erfolgsrate dieser Kampagnen unbekannt. Es wurden keine Gmail-Konten beobachtet, die während dieser Kampagnen erfolgreich kompromittiert wurden.
Laut Google wurden folgenden Phishing-Domänen mit COLDRIVER-Anmeldeinformationen beobachtet
- protect-link[.]online
- drive-share[.]live
- Schutzamt[.]live
- proton-viewer[.]com
Laut Nachrichtenagentur Reuters hat die Nato die Hackerattacke auf ihr Kompetenzzentrum bestätigt „Die Nato-Kompetenzzentren arbeiten mit der Allianz zusammen, sind aber nicht Teil der Nato selbst“, erklärte das Militärbündnis der Nachrichtenagentur Reuters. Weiter Details will die NATO aber zum Angriff nicht nennen. Man teilte aber mit: „Wir sehen täglich bösartige Cyber-Aktivitäten“.
Mehr bei Blog.google