Ukrainische Cybersicherheitsbeamte haben bestätigt, dass mehrere lokale Regierungsbehörden Ziel einer langjährigen Cyber-Spionagekampagne geworden sind, die einer russischen, staatlich unterstützten Hackergruppe zugeschrieben wird. **Taras Dzyuba**, Leiter der Abteilung für Informationskommunikation beim **Staatlichen Dienst für spezielle Kommunikations- und Informationssicherheit der Ukraine (SSSCIP)**, teilte Recorded Future News mit, dass die Behörden über die Angriffe informiert seien, die laut westlichen Forschern E-Mail-Konten ukrainischer Staatsanwälte und Ermittler kompromittiert hätten. Anfang dieser Woche berichtete Reuters, dass mit Russland verbundene Hacker in den letzten Monaten über 170 E-Mail-Konten von Staatsanwälten und Ermittlern in der gesamten Ukraine eingedrungen seien. Laut Dzyuba scheint die von Reuters beschriebene Aktivität Teil einer breiteren Kampagne zu sein, die die ukrainischen Behörden seit 2023 verfolgen. Das ukrainische Computer-Notfallreaktionsteam (**CERT-UA**) hat drei Angriffswellen identifiziert, die wahrscheinlich Teil derselben Kampagne sind. ### Ausnutzung von Roundcube-Schwachstellen Die Einbrüche nutzten Schwachstellen in der Open-Source-Webmail-Plattform **Roundcube** aus, die es Angreifern ermöglichen, bösartigen Code auszuführen, wenn ein Opfer einfach eine E-Mail in seinem Posteingang öffnet – ohne auf Links klicken oder Anhänge herunterladen zu müssen. Dies unterstreicht die kritische Notwendigkeit von Patching und Schwachstellenmanagement, selbst bei weit verbreiteten Open-Source-Lösungen. Dzyuba sagte, dass einige Informationen, die angeblich während dieser Angriffe von mehreren ukrainischen staatlichen Behörden gestohlen wurden, Anfang März online veröffentlicht wurden, fügte jedoch hinzu, dass das geleakte Material wahrscheinlich keine vertraulichen Daten enthielt. Er sagte, Russland könnte diese Cybervorfälle als Grundlage für Desinformationskampagnen nutzen, die darauf abzielen, ukrainische Institutionen zu diskreditieren. ### Zuschreibung an APT28 Forscher von Ctrl-Alt-Intel schrieben die Kampagne der Hackergruppe **APT28** zu – auch bekannt als **Fancy Bear**, **BlueDelta** oder **Forest Blizzard** –, von der westliche Regierungen und Cybersicherheitsfirmen weithin glauben, dass sie mit der russischen Militärgeheimdienstagentur **GRU** verbunden ist. Dzyuba bestätigte, dass alle Anzeichen auf diese Gruppe hindeuten. CERT-UA hat zuvor mehrere APT28-Angriffe gemeldet, bei denen Roundcube-Schwachstellen ausgenutzt wurden. Laut einem Bericht von Ctrl-Alt-Intel waren die meisten Opfer der jüngsten Kampagne in der Ukraine, obwohl einige kompromittierte Konten mit benachbarten NATO-Ländern und dem Balkan verbunden waren, darunter Rumänien, Bulgarien, Griechenland und Serbien. ### Angesprochene Institutionen Zu den angeblich betroffenen ukrainischen Institutionen gehörten die **Spezialisierte Anti-Korruptions-Staatsanwaltschaft (SAP)** und die **Agentur für die Verwaltung und Rückgewinnung von Vermögenswerten (ARMA)**, die Vermögenswerte überwacht, die von Kriminellen und russischen Kollaborateuren beschlagnahmt wurden. Die amtierende Leiterin von ARMA, **Yaroslava Maksymenko**, bestätigte am Donnerstag, dass die Mitarbeiter der Agentur Ziel eines russischen Cyberangriffs waren, sagte aber, dass die Hacker keinen Zugriff auf ihre internen Systeme erlangt hätten. „Die Überprüfung ergab, dass kein Zugriff auf interne Informationssysteme erlangt wurde und kein Datenleck aus Datenbanken oder staatlichen Informationsressourcen erfolgte“, sagte Maksymenko in einer Erklärung gegenüber der Nachrichtenagentur Interfax-Ukraine. Die SAP teilte Anfang dieser Woche mit, dass sie eine Überprüfung eingeleitet habe, nachdem Berichte über russische Hacker, die Dutzende von E-Mail-Konten ukrainischer Strafverfolgungsbeamter, einschließlich derer der Agentur, kompromittiert hatten, veröffentlicht wurden. Bisher haben Ermittler keine Beweise dafür gefunden, dass Daten aus SAP-Systemen gestohlen wurden, obwohl die Überprüfung noch andauert.