Ein überraschender Cyberangriff auf einen Sicherheitsexperten
Als Donncha Ó Cearbhaill, Leiter des Security Lab von Amnesty International, Anfang des Jahres eine merkwürdige Nachricht in seinem Signal‑Posteingang entdeckte, hätte er kaum ahnen können, dass er damit den Einstieg in eine der bislang umfangreichsten Hacker‑Kampagnen seitens der russischen Regierung gefunden hatte. Die Meldung, die angeblich von einem fiktiven Signal‑Support‑Chatbot stammte, warnte vor einer vermeintlichen Datenpanne und forderte den Empfänger auf, einen Verifizierungscode einzugeben – dabei wurde ausdrücklich betont, diesen Code niemandem, nicht einmal Signal‑Mitarbeitern, zu verraten.
Wie die Phishing‑Nachricht aufgebaut war
Der Text war in perfektem Deutsch verfasst, enthielt offizielle Logos und wirkte auf den ersten Blick glaubwürdig. Ziel war es, das Opfer in die Irre zu führen, damit es den Code preisgibt und damit dem Angreifer den Zugang zum Konto ermöglicht. Ó Cearbhaill erkannte sofort den Trick, definierte ihn als „unwise“ und beschloss, die Gelegenheit für eine Gegenuntersuchung zu nutzen.
Ein massives Netzwerk von Opfern
Durch weitere Analysen stellte der Forscher fest, dass er nicht das einzige Ziel war. Laut seiner Angaben waren über 13.500 Signal‑Nutzer von derselben Kampagne betroffen – darunter Journalisten, Politiker und sogar eigene Kolleg*innen. Die Attacke nutzte das Prinzip der „Schneeball‑Hypothese“: Sobald ein Nutzer kompromittiert war, konnten die Hacker dessen Kontakte übernehmen und neue Opfer akquirieren. Dieser Schneeballeffekt erklärt, warum die Zahl der Betroffenen offenbar weiter steigt.
Technische Details – das Tool „ApocalypseZ“
Das Rückgrat der Operation ist ein automatisiertes Framework namens „ApocalypseZ“. Es ermöglicht das gleichzeitige Versenden von Phishing‑Nachrichten an Tausende von Empfängern mit minimalem menschlichen Aufwand. Die Codebasis und das Bedien‑Interface des Tools sind in russischer Sprache verfasst, wobei eingehende Chats der Opfer automatisch ins Russische übersetzt werden – ein starkes Indiz dafür, dass dieselbe staatliche Einheit hinter ähnlichen Angriffen in den USA, Großbritannien und den Niederlanden steckt. Auch die US‑Behörde CISA und das britische NCSC haben bereits vor dieser Art von russischer Spionage gewarnt.
Reaktionen, Konsequenzen und Ausblick
Signal selbst hat bereits vor Phishing‑Versuchen gewarnt und empfiehlt, keine unbekannten Verifizierungslinks zu klicken. Der Spiegel berichtete zudem über mehrere kompromittierte hochkarätige Politikerinnen und Politiker in Deutschland. Ó Cearbhaill betont, dass er aus Sicherheitsgründen nicht alle Schritte seiner Analyse preisgibt, jedoch weiterhin die Kampagne beobachtet. Er zeigt sich zuversichtlich, dass die Angreifer nach seinem Eingreifen zögern werden, weitere Versuche gegen ihn zu starten. Stattdessen fordert er zukünftige Nachrichten mit Zero‑Day‑Exploits, um Schwachstellen frühzeitig zu identifizieren und zu schließen.
