Gmail-Konten kompromittiert, da russische Hacker MFA umgehen

In einer besorgniserregenden neuen Welle von Cyberangriffen wurde ein staatlich unterstützter Cyberbedrohungsakteur aus Russland dabei ertappt, das US-Außenministerium zu impersonieren, um unbefugten Zugriff auf Gmail-Konten zu erlangen, insbesondere auf die von gezielt ausgewählten prominenten Akademikern und Kritikern Russlands.

Laut Sicherheitsforschern der Google Threat Intelligence Group (GTIG) begannen die Angriffe mindestens im April und setzten sich bis Anfang Juni 2025 fort. Die Hacker, die unter dem Namen UNC6293 verfolgt werden und die mit der bekannten Gruppe APT29/ICECAP in Verbindung gebracht werden, setzten sorgfältig ausgeklügelte Social-Engineering-Taktiken ein, um Anmeldedaten von ihren Opfern zu extrahieren.

Hacker nutzten Täuschung, nicht Malware

Anstatt typische Malware oder offensichtliche Phishing-Links zu verwenden, wählten die Angreifer einen subtileren Ansatz. Stattdessen bauten sie über einen längeren Zeitraum Vertrauen zu ihren Zielen auf, indem sie personalisierte E-Mails und gefälschte Meeting-Einladungen versendeten. Um ihre Glaubwürdigkeit zu erhöhen, fälschten die Angreifer offiziell aussehende E-Mail-Adressen des US-Außenministeriums und fügten diese sogar in die CC-Liste ihrer Nachrichten ein.

Ein Beispiel, das von Keir Giles, einem prominenten britischen Forscher zu Russland, geteilt wurde, zeigt eine weitergeleitete Nachricht (siehe unten) mit einer scheinbar glaubwürdigen Adresse des Außenministeriums unter den Empfängern – eine Schlüsselstrategie, um Vertrauen zu gewinnen.

Sobald das Ziel antwortete, sendeten die Angreifer eine scheinbar harmlos aussehende PDF-Datei – individuell für jeden Empfänger angepasst und thematisch gestaltet, um wie offizielle Kommunikation des Außenministeriums auszusehen – mit gefälschten Anweisungen, die behaupteten, ihnen zu helfen, auf ein sicheres US-Regierungssystem zuzugreifen.

In Wirklichkeit führte das Dokument das Opfer dazu, ein sogenanntes anwendungsspezifisches Passwort (ASP) zu erstellen – einen einzigartigen 16-stelligen Code, der es Apps ermöglicht, auf Gmail-Konten zuzugreifen und die Zwei-Faktor-Authentifizierung zu umgehen.

Wesentlich war, dass das Opfer angewiesen wurde, diesen Code an den Angreifer zurückzusenden. Mit dem ASP konnten die Hacker unbemerkt in das E-Mail-Konto des Nutzers einloggen und langfristigen Zugriff erlangen, ohne reguläre Passwörter zu benötigen oder MFA (Multi-Faktor-Authentifizierung) Warnungen auszulösen.

„Die Angreifer richteten dann einen Mail-Client ein, um das ASP zu verwenden, wahrscheinlich mit dem Endziel, auf die E-Mail-Korrespondenz des Opfers zuzugreifen und diese zu lesen. Diese Methode ermöglicht es den Angreifern auch, dauerhaften Zugriff auf Konten zu haben“, schrieb GTIG in einem Blogbeitrag am Donnerstag.

Zwei Kampagnen, eine Strategie

** GTIG identifizierte zwei separate, aber verwandte Kampagnen:

Kampagne 1 verwendete ein Thema des US-Außenministeriums und schlug den ASP-Namen „ms.state.gov“ vor.

Kampagne 2 beinhaltete eine Mischung aus ukrainischem und Microsoft-Branding.

Beide Kampagnen verwendeten dieselben Wohnproxies (91.190.191.117) und virtuelle private Server (VPS) in der Infrastruktur, was es Ermittlern erleichterte, sie miteinander zu verknüpfen.

Ergriffene Maßnahmen

Google sagt, dass es bereits die Gmail-Konten, die durch diese Kampagnen kompromittiert wurden, wieder gesichert hat und aktiv daran arbeitet, zukünftige Angriffe dieser Art zu verhindern. Das Unternehmen erinnert die Nutzer daran, dass ASPs jederzeit erstellt und widerrufen werden können. Wenn ein ASP erstellt wird, sendet Google automatisch eine Benachrichtigung an das entsprechende Gmail-Konto des Nutzers, die Wiederherstellungs-E-Mail-Adresse und alle angemeldeten Geräte mit diesem Google-Konto, um zu bestätigen, dass die Aktion beabsichtigt war.

Für Hochrisikonutzer, wie Journalisten, Aktivisten und politische Analysten, bietet Google verbesserte Sicherheitsressourcen wie das Advanced Protection Program (APP), das stärkere Sicherheit bietet und die Möglichkeit, ASPs vollständig zu deaktivieren.

„Wir hoffen, dass ein verbessertes Verständnis der Taktiken und Techniken die Bedrohungserkennungskapazitäten verbessert und zu stärkeren Benutzerschutzmaßnahmen in der gesamten Branche führt“, schloss der Blogbeitrag.