APT28/Fancy Bear: Russische Staatshacker nutzen Office-Zero-Days und Phishing

APT28 – auch bekannt als Fancy Bear, Sofacy, Sednit oder Strontium – ist eine der berüchtigtsten staatlich unterstützten Hackergruppen der Welt. Dem russischen Militärgeheimdienst GRU zugeordnet, hat APT28 seit mindestens 2004 Regierungen, Militäreinrichtungen, internationale Organisationen und kritische Infrastruktur in über 40 Ländern angegriffen. Ihre bevorzugten Waffen: Spear-Phishing-E-Mails, Zero-Day-Schwachstellen in Microsoft Office und mehrstufige Malware, die sich tief in Windows-Systemen einnistet.

Der Vorfall

Die Liste der dokumentierten APT28-Angriffe liest sich wie ein Katalog der wichtigsten geopolitischen Konflikte der letzten zwei Jahrzehnte:

2015 – Deutscher Bundestag: Im Mai 2015 wurde bekannt, dass APT28 das gesamte Netzwerk des Deutschen Bundestags kompromittiert hatte. Die Angreifer hatten über Monate hinweg E-Mails abgefangen und Dokumente gestohlen. Der Schaden war so gravierend, dass das gesamte IT-System des Bundestags – über 20.000 Rechner – ausgetauscht werden musste. Die Kosten beliefen sich auf mehrere Millionen Euro.

2016 – Democratic National Committee (DNC): APT28 drang in die Server des Demokratischen Nationalkomitees der USA ein und stahl Tausende interner E-Mails, die anschließend über WikiLeaks veröffentlicht wurden. Der Angriff hatte direkten Einfluss auf den US-Präsidentschaftswahlkampf 2016.

2017 – Macron-Wahlkampf: Kurz vor der französischen Präsidentschaftswahl veröffentlichten die Angreifer 9 Gigabyte an gestohlenen E-Mails und Dokumenten aus dem Wahlkampfteam von Emmanuel Macron.

2018 – OPCW (Organisation für das Verbot chemischer Waffen): Vier GRU-Agenten wurden in den Niederlanden festgenommen, als sie versuchten, das WLAN-Netzwerk der OPCW in Den Haag zu hacken – während die Organisation den Giftgasangriff auf den ehemaligen Spion Sergei Skripal untersuchte.

2023-2024 – Outlook-Zero-Day: APT28 nutzte die Schwachstelle CVE-2023-23397 in Microsoft Outlook aktiv aus. Ein speziell präparierter Kalendertermin genügte, um den NTLM-Passwort-Hash des Opfers zu stehlen – ohne dass der Nutzer die E-Mail überhaupt öffnen musste.

In all diesen Fällen waren Windows-Arbeitsplätze die primären Angriffsziele. Die Angreifer nutzten die Rechner als Einstiegspunkte, um Zugangsdaten zu stehlen, sich im Netzwerk zu bewegen und Daten zu exfiltrieren.

Wie der Angriff funktionierte

APT28-Angriffe folgen einem hochprofessionellen mehrstufigen Muster:

Stufe 1 – Spear-Phishing oder Zero-Day-Exploit: Der Angriff beginnt fast immer mit einer gezielten Phishing-E-Mail. Diese ist nicht wie gewöhnlicher Spam – sie ist individuell auf das Opfer zugeschnitten. Die Angreifer recherchieren ihre Ziele intensiv und verwenden Informationen aus sozialen Netzwerken, Konferenzprogrammen oder öffentlichen Dokumenten. Die E-Mail enthält entweder einen Link zu einer gefälschten Login-Seite (Credential Phishing) oder ein manipuliertes Office-Dokument mit einem Zero-Day-Exploit.

Im Fall der Outlook-Schwachstelle CVE-2023-23397 genügte sogar der bloße Empfang einer E-Mail mit einem speziell präparierten Kalendereintrag. Outlook versuchte automatisch, eine Verbindung zu einem vom Angreifer kontrollierten Server aufzubauen – und übermittelte dabei den NTLM-Hash des Nutzers. Kein Klick erforderlich.

Stufe 2 – Der Dropper wird ausgeführt: Wenn das Opfer das manipulierte Office-Dokument öffnete, nutzte der eingebettete Exploit eine Schwachstelle in Word, Excel oder Outlook, um Code auszuführen. Dieser Code war ein kleiner Dropper, der sich in den TEMP-Ordner oder einen versteckten Systemordner schrieb. Der Dropper war oft nur wenige Kilobyte groß und enthielt selbst keinen erkennbaren Schadcode.

Stufe 3 – Der Payload wird nachgeladen: Der Dropper kontaktierte einen Command-and-Control-Server (C2) und lud den eigentlichen Payload herunter – typischerweise eine von APT28s maßgeschneiderten Backdoors: X-Agent (auch Sofacy genannt), Zebrocy oder Seduploader. Diese Backdoors ermöglichten Dateidownload und -upload, Screenshot-Aufnahmen, Keylogging, Passwort-Diebstahl und die Ausführung beliebiger Befehle.

Stufe 4 – Persistenz und laterale Bewegung: Die Backdoor richtete mehrere Persistenzmechanismen ein: Registry-Autostart-Einträge, geplante Tasks, WMI-Event-Abonnements und DLL-Hijacking. Gleichzeitig nutzte der Angreifer Tools wie Mimikatz und PsExec, um sich auf weitere Rechner im Netzwerk zu bewegen. Jeder kompromittierte Rechner wurde zum Sprungbrett für den nächsten.

Stufe 5 – Datenexfiltration: Über Wochen bis Monate sammelten die Angreifer E-Mails, Dokumente, Zugangsdaten und andere sensible Informationen. Die Daten wurden verschlüsselt und über die C2-Infrastruktur exfiltriert – oft getarnt als normaler HTTPS-Verkehr, um Netzwerküberwachung zu umgehen.

Warum Virenscanner versagten

APT28 gehört zu den technisch fortschrittlichsten Bedrohungsakteuren der Welt. Ihre Werkzeuge sind speziell darauf ausgelegt, Sicherheitslösungen zu umgehen:

• Zero-Day-Exploits sind per Definition unbekannt. Wenn APT28 eine Schwachstelle in Microsoft Office nutzt, die dem Hersteller selbst noch nicht bekannt ist, gibt es keinen Patch und keine Signatur. Kein Virenscanner kann eine Bedrohung erkennen, die noch niemand kennt.
• Maßgeschneiderte Malware umgeht jede Signatur. X-Agent, Zebrocy und Seduploader werden für jeden Angriff individuell kompiliert und verschleiert. Jede Instanz hat einen einzigartigen Hash. Signatur-basierte Erkennung ist wirkungslos.
• Die Dropper sind extrem klein und unauffällig. Ein Dropper von 5 Kilobyte, der nur eine HTTPS-Verbindung aufbaut und eine Datei herunterlädt, unterscheidet sich funktional kaum von einem legitimen Update-Checker. Verhaltensbasierte Erkennung hat Schwierigkeiten, dies als bösartig einzustufen.
• Legitime Windows-Tools werden missbraucht. PowerShell, WMI, PsExec, geplante Tasks – APT28 nutzt die gleichen Werkzeuge wie jeder Systemadministrator. Das Blockieren dieser Tools ist in den meisten Umgebungen nicht praktikabel.
• NTLM-Hash-Diebstahl geschieht unsichtbar. Der Outlook-Exploit CVE-2023-23397 stahl den Passwort-Hash, ohne dass der Nutzer etwas tat. Kein Datei-Scan, keine Verhaltensanalyse und kein Sandbox-Test konnte diesen Angriff verhindern.

So hätte Deep Freeze geschützt

Deep Freeze kann einen staatlich unterstützten Angreifer wie APT28 nicht vollständig stoppen – aber es kann die Angriffskette auf Windows-Arbeitsplätzen an entscheidenden Stellen unterbrechen:

1. Dropper und Backdoors werden beim Neustart eliminiert. Der Dropper im TEMP-Ordner, die nachgeladene Backdoor (X-Agent, Zebrocy), die Tools für laterale Bewegung – alles wird beim Neustart der eingefrorenen Systempartition gelöscht. Die Angreifer verlieren ihren Fußabdruck auf dem Rechner.

1. Persistenzmechanismen werden rückgängig gemacht. Registry-Autostart-Einträge, geplante Tasks, WMI-Abonnements und DLL-Hijacking – all diese Persistenzmethoden basieren auf Änderungen an der Festplatte. Deep Freeze setzt diese Änderungen beim Neustart zurück. Die Backdoor kann beim nächsten Start nicht automatisch geladen werden.

1. Gestohlene Zugangsdaten haben eine kürzere Lebensdauer. Mimikatz und ähnliche Tools müssen auf dem Rechner installiert und ausgeführt werden, um Passwörter zu extrahieren. Auf einem eingefrorenen Rechner müssten die Angreifer Mimikatz in jeder Sitzung erneut einschleusen – was die Entdeckungswahrscheinlichkeit erhöht.

1. Die laterale Bewegung wird bei jedem Neustart unterbrochen. Wenn ein kompromittierter Rechner nach dem Neustart im Originalzustand ist, verlieren die Angreifer ihren Brückenkopf im Netzwerk. Sie müssten den Rechner erneut kompromittieren, um ihn als Sprungbrett zu nutzen.

1. Wochen- bis monatelange Spionage wird drastisch erschwert. APT28 braucht dauerhaften Zugang, um über lange Zeiträume Daten zu sammeln. Wenn jeder Windows-Arbeitsplatz täglich zurückgesetzt wird, müssen die Angreifer jeden Tag von vorne beginnen. Das kostet Zeit, erhöht das Risiko der Entdeckung und begrenzt die Menge der extrahierbaren Daten.

1. Der Outlook-Zero-Day hätte den NTLM-Hash gestohlen – das lässt sich auf Netzwerkebene verhindern, nicht durch Deep Freeze. Aber die nachfolgenden Schritte – Installation einer Backdoor, Persistenz, laterale Bewegung – wären durch Deep Freeze massiv behindert worden.

Die Lehre

• Staatliche Hacker spielen in einer anderen Liga. APT28 verfügt über Zero-Day-Exploits, maßgeschneiderte Malware und nahezu unbegrenzte Ressourcen. Kein einzelnes Sicherheitsprodukt kann diese Bedrohung vollständig abwehren.
• Die Angriffskette hat viele Glieder – und jedes unterbrochene Glied zählt. Deep Freeze kann den initialen Exploit nicht verhindern, aber es kann Persistenz, laterale Bewegung und langfristige Spionage dramatisch erschweren.
• Virenscanner sind gegen Zero-Day-Exploits machtlos. Per Definition ist ein Zero-Day unbekannt – und was unbekannt ist, kann nicht erkannt werden.
• Die eingefrorene Systempartition ist eine Verteidigungslinie, die Angreifer nicht erwarten. Die meisten APT-Kampagnen basieren auf der Annahme, dass kompromittierte Rechner kompromittiert bleiben. Deep Freeze durchbricht diese Annahme.
• Tiefenverteidigung ist der einzige Weg: Deep Freeze auf den Arbeitsplätzen, Netzwerksegmentierung, Multifaktor-Authentifizierung, E-Mail-Filterung und geschulte Mitarbeiter – nur zusammen bieten diese Maßnahmen einen wirksamen Schutz gegen staatliche Angreifer.