Spionage gegen Regierungseinrichtungen und kritische Infrastruktur

Sicherheitsforscher von Unit 42 (Palo Alto Networks) veröffentlichten einen ausführlichen Bericht zu der Spionage-Kampagne, die unter dem Namen Shadow Campaigns läuft. Demnach führen die Angreifenden sehr stark personalisierte Spear-Phishing-Angriffe auf ausgewählte Funktionsträger durch, um einen Erstzugang auf die IT-System zu erschleichen.

Durch geeignete technische Maßnahmen verschleierten die Kriminellen ihre Anwesenheit in den IT-Systemen, breiteten sich dort aus und richteten eine langfristige Persistenz ein. Ihr Ziel sei, jahrelang einen kontinuierlichen Datenabfluss unbemerkt zu sichern. Laut Unit 42 seien bislang Einrichtungen in 37 Ländern Opfer einer Kompromittierung geworden. Die Angreifenden hätten Ende des Jahres 2025 ihre Spionage-Aktivitäten deutlich intensiviert.

Shadow Campaigns wird dem Akteurs-Cluster TGR-STA-1030 (alias UNC6619) zugeordnet. Aufgrund der Zielauswahl im Regierungssektor und der komplexen eingesetzten Infrastruktur ist davon auszugehen, dass der Akteur mit hoher Wahrscheinlichkeit staatlich gesteuert oder staatlich unterstützt wird.

Das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW) weist in seinem Webauftritt auf diese Erkenntnisse von Unit 42 hin und verweist auf ihren ausführlichen Bericht (siehe Links unten).

Beachten Sie die Empfehlungen des LfV BW und von Unit 42. Insbesondere sollten mögliche Spionage-Ziele mit den Kompromittierungsindikatoren (IoC: Indicator of Compromise) regelmäßig prüfen, ob ihre IT-Systeme betroffen sind. Grundsätzlich kann aber jede Einrichtung diese IoCs nutzen.