Die Hinweise auf eine russische Urheberschaft der Phishing-Attacken auf die Messenger Signal und WhatsApp verdichten sich. Das Medienhaus Correctiv hat nun den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auf digitale Spuren gestoßen, die nach Russland führen.
Seit Monaten werden vorrangig Personen aus Politik, Militär und Journalismus gezielt mit einer Phishing-Attacke auf den Messengern Signal und WhatsApp angegriffen, wie netzpolitik.org im Januar berichtete. Anfang Februar warnten der deutsche Verfassungsschutz und das BSI vor dem Angriff und verwiesen auf „wahrscheinlich staatlich gesteuerte Cyberakteure“.
Nachdem niederländische Geheimdienste den Angriff Russland zugeschrieben hatten, veröffentlichte netzpolitik.org weitere Hinweise auf diese Spur, deren Muster sich zudem in Belarus und Armenien beobachten lässt. Am vergangenen Freitag haben nun auch das US-amerikanische FBI und die IT-Sicherheitsbehörde CISA die Attacke russischen „Cyberakteuren“, die mit russischen Geheimdiensten in Verbindung stünden, zugeschrieben.
Russisches Hosting und Phishing-Programm
Die Recherche von Correctiv untermauert nun diese Behauptung. So konnte Correctiv die laufende Angriffswelle in Deutschland mit früheren Kampagnen in der Ukraine und Moldau in Verbindung bringen. Zudem konnte Correctiv die Nutzung des russischen Hosting-Dienstleisters Aeza und den Einsatz eines russischen Phishing-Programms Defisher nachweisen. In Kombination mit dem politischen Zuschnitt spreche dies dafür, dass es sich um eine zusammenhängende politische Kampagne handle, die ihren Ursprung in Russland habe, folgern die Rechercheure.
Eine Auftraggeberschaft des russischen Staates kann dies nicht beweisen. Die eindeutige Attribution ist bei Hackerangriffen in der Regel sehr schwierig, da es viele Faktoren gibt, um die Herkunft eines Angriffs zu verschleiern oder falsche Fährten zu legen. Dazu kommen politische Interessen bei der Zuweisung der Urheberschaft und der Drahtzieher, die sich in einer militärischen Auseinandersetzung wie dem Angriffskrieg gegen die Ukraine noch verschärfen.
Wir sind communityfinanziert
Unterstütze auch Du unsere Arbeit mit einer Spende.
Wie kann man sich schützen?
„Diese Angriffe nutzen keine Schwachstelle in der Signal-Anwendung selbst aus. Signal ist nach wie vor eine der sichersten und am weitesten verbreiteten verschlüsselten Messaging-Apps“, sagte Donncha Ó Cearbhaill, Leiter des Security Lab bei Amnesty International im Januar gegenüber netzpolitik.org.
Von Signal selbst hieß es damals gegenüber netzpolitik.org: „Signal wird Sie niemals in irgendeiner Form über einen Zwei-Wege-Chat innerhalb der App kontaktieren.“ Zudem sollten die Nutzer:innen die Registrierungssperre aktivieren. Das geht unter „Einstellungen“ –> „Konto“ und dann den Schieberegler bei „Registrierungssperre“ aktivieren. Zudem sagt Signal: „Geben Sie Ihre Signal-PIN oder Registrierungssperre niemals an Dritte weiter.“
Wenn eine Nachricht eines bislang unbekannten Accounts mit dem beschriebenen oder einem ähnlichen Inhalt ankommt, sollte man die ankommende Nachricht „melden“ und dann „melden und blockieren“ klicken. In keinem Fall sollte man den Anweisungen folgen, weil Signal niemals Nutzer:innen auf einem solchen Weg kontaktieren würde.
Sollte in Chats die Nachricht auftauchen, dass sich die Sicherheitsnummer eines Kontakts geändert hat, bedeutet das häufig nur, dass dieser ein neues Handy hat. Dennoch sollte man immer in solchen Situationen auf einem anderen Kanal als dem Signal-Textchat bei dem betreffenden Kontakt nachfragen, warum sich dessen Sicherheitsnummer geändert hat.
Für die Überprüfung eignet sich in der Regel ein Telefonat oder noch besser ein Videotelefonat. Ratsam ist zudem, sich alle mit Signal verbundenen eigenen Geräte anzeigen zu lassen und nicht mehr benötigte zu löschen.
0 Ergänzungen