GRU steckt hinter den Cyberangriffen auf NATO und EU

Das Bundesamt für Verfassungsschutz (BfV) hat auf der Social-Media-Plattform X eine Warnung vor der als UNC2589 bekannten Gruppe herausgegeben.



Ein gemeinsamer, internationaler Kraftakt



Die Warnung ist das Ergebnis einer koordinierten Untersuchung namens Operation Toy Soldier. Cybersicherheits- und Nachrichtendienste aus den USA, den Niederlanden, der Tschechischen Republik, Deutschland, Estland, Lettland, der Ukraine, Kanada, Australien und dem Vereinigten Königreich arbeiteten hierbei zusammen.



Ziel war es, herauszufinden, wer hinter den koordinieren Angriffen auf kritische Infrastrukturen von NATO-Mitgliedern, der Europäischen Union sowie mittelamerikanischer und asiatischer Staaten steckt.



Viele Decknamen für eine Gruppe



Den Behörden gelang es schließlich, die Hackergruppe UNC2589 ausfindig zu machen und sie dem russischen Generalstab der Hauptverwaltung für Aufklärung (GRU) zuzuordnen. Konkret handelt es sich um Einheit 29155.



UNC2589 operiert unter einer Vielzahl von Codenamen, darunter Cadet Blizzard, Ember Bear, FROZENVISTA, Nodaria, Ruinous Ursa und UAC-0056.



Ein Geflüster von Spionage und Sabotage



In der Warnung des BfV heißt es, dass die Gruppe Spionage- und Sabotageaktivitäten durchführt. Dabei würden die Angreifer häufigWebsites verunstalten und gestohlene Informationen veröffentlichen.



Konkret wirft Berlin der Gruppe vor, eine Reihe von Cyberangriffen auf die regierenden Sozialdemokraten durchgeführt zu haben. Auch Unternehmen aus den Bereichen Logistik, Verteidigung, Luft- und Raumfahrt und IT sollen hiervon betroffen gewesen sein.



Erste größere Bekanntheit erlangte die Einheit im Januar 2022, als sie die Schadsoftware WhisperGate (auch bekannt als PAYWIPE) gegen mehrere ukrainische Organisationen einsetzte. Dies geschah noch vor dem Einmarsch Russlands in die Ukraine.



Die Unbekannten enttarnt



Im Juni 2024 wurde dann ein 22-jähriger russischer Staatsbürger namens Amin Timovich Stigal in den USA im Zusammenhang mit WhisperGate angeklagt. Ihm wird vorgeworfen, eine Rolle bei der Inszenierung zerstörerischer Cyberangriffe auf die Ukraine unter Verwendung dieser Schadsoftware gespielt zu haben.



Das US-Justizministerium hat inzwischen fünf Offiziere der Einheit 29155 des Eindringens in Computer und des Überweisungsbetrugs gegen Ziele in der Ukraine, den USA und 25 anderen NATO-Ländern angeklagt.



Stigal gehört nicht zu den Offizieren, aber zu den bekannten Cyberkriminellen und anderen zivilen Helfern, derer sich die Gruppe bedient.



Prämien für Informationen zu den Hackern



Das „Rewards for Justice“-Programm des US-Außenministeriums hat eine Belohnung von bis zu 10 Millionen Dollar für Hinweise auf den Aufenthaltsort aller Beschuldigten oder ihrer Operationszentren ausgesetzt.



International wird die GRU-Einheit, zu der UNC2589 gehört, beschuldigt, an der Vergiftung des ehemaligen russischen Doppelagenten Sergej Skripal und seiner Tochter Julia in Großbritannien im Jahr 2018 beteiligt gewesen zu sein.