APT28: Russlands Cyber-Spionage Powerhouse
APT28, auch bekannt als Fancy Bear oder Sofacy, ist eine vom russischen Staat unterstützte Hackergruppe, die dem GRU, dem militärischen Geheimdienst Russlands, zugerechnet wird (1 3 6). Die Gruppe ist seit mindestens 2004 aktiv und zielt auf Regierungen der NATO, militärische Institutionen sowie kritische Infrastrukturen ab (1 3 8 10).
APT28 ist bekannt für den Einsatz von Zero-Day-Exploits, Spear-Phishing und maßgeschneiderter Schadsoftware. Sie führt hochrangige Cyberspionage durch, um sensible Informationen zu stehlen und politische Systeme zu destabilisieren (1 6 8). Die Operationen der Gruppe sind eng an russische strategische Interessen gekoppelt, was APT28 zu einem der ausdauerndsten und gefährlichsten Akteure im Cyberraum macht (1 3 6 10).
MITRE ATT&CK Übersicht
APT28’s Angriffstechniken
Persistence Techniken von APT28
Privilege Escalation: Vom Benutzer zum SYSTEM
Sobald APT28 erstmaligen Zugriff auf ein System erlangt und sich dauerhaft eingenistet hat, folgt der nächste kritische Schritt: die Privilegienerweiterung. Ziel ist es, höhere Rechte zu erlangen – idealerweise SYSTEM- oder Administratorrechte – um sich frei im Netzwerk zu bewegen, Sicherheitsmechanismen zu deaktivieren und erweiterte Aktionen uneingeschränkt auszuführen.
📌 Warum Fehlkonfigurationen entscheidend sind
APT28 nutzt häufig Fehlkonfigurationen in Systemen aus, da diese Schwachstellen bei der Härtung oft übersehen werden. Falsch gesetzte Berechtigungen bei Diensten, Registry-Einträgen oder Binärdateien ermöglichen es Angreifern, sich unbemerkt höhere Rechte zu verschaffen – ohne Alarm auszulösen.
⚙️ Technik 1: Nicht zitierte Dienstpfade (Unquoted Service Paths)
Ein nicht in Anführungszeichen gesetzter Dienstpfad in Windows ist ein klassischer Konfigurationsfehler, der ausgenutzt werden kann. Beispiel:
Wenn dieser Pfad nicht in Anführungszeichen steht, kann Windows versuchen, stattdessen folgende Programme auszuführen:
➡️ Platziert ein Angreifer eine bösartige Datei namens My.exe an einer dieser Stellen, kann sie – abhängig vom Kontext des Dienstes – mit SYSTEM-Rechten ausgeführt werden.
⚙️ Technik 2: Schwache Dienstberechtigungen
Hat ein Dienst zu großzügige Zugriffsrechte, kann ein Angreifer:
Den Pfad zur Dienst-Binärdatei ändern
Den Dienst beliebig starten oder stoppen
Die legitime Binärdatei durch eine eigene Schadsoftware ersetzen
🔍 Beispiel: Eskalation über WeeklyTask
Schwachstelle erkennen:
Ergebnis: WeeklyTask ist veränderbar.
Berechtigungen prüfen:
Ergebnis: „Authenticated Users“ dürfen ChangeConfig, Start und Stop ausführen.
Binärpfad des Dienstes ändern:
Dienst neu starten:
✔️ Jetzt wird die manipulierte Teams.exe mit erhöhten Rechten ausgeführt.
⚙️ Technik 3: Zugriffstoken-Manipulation (T1134.001)
APT28 nutzt außerdem die Manipulation von Zugriffstoken, um sich als privilegierter Benutzer auszugeben. Unter Windows läuft jeder Prozess mit einem Sicherheitstoken, das bestimmt, auf was er zugreifen darf.
Durch Duplizieren oder Diebstahl solcher Tokens aus SYSTEM-Prozessen kann ein Angreifer:
Neue Prozesse mit erhöhten Rechten erzeugen
Die Benutzerkontensteuerung (UAC) umgehen
Administratorrechte erlangen, ohne Alarme auszulösen
🧩 Token-Manipulations-Ablauf:
SeDebugPrivilegeaktivierenSYSTEM-Prozess öffnen und Token extrahieren
Token duplizieren
Neuen Prozess mit diesem Token starten
🔐 Ergebnis: Der neue Prozess des Angreifers läuft mit SYSTEM-Rechten – nahezu ohne forensische Spuren zu hinterlassen.