Das IT-Sicherheitsunternehmen EclecticIQ berichtet in einem Blogbeitrag über einen mutmaßlichen Cyberspionageangriff der russischen APT-Gruppe Turla. Hinweise darauf ergaben sich aus der Analyse einer Datei, die von einem Nutzer auf die Malware-Sharing-Plattform VirusTotal hochgeladen wurde. Die Geolokalisierungsdaten des Nutzers deuten dabei auf eine Betroffenheit in Albanien hin.
Die Datei mit dem Namen "Firewall_Bllok_IP.txt.txt" wurde im Klartext hochgeladen und enthält eine Reihe von IP-Adressen, die von Malware-Sharing-Plattformen als bösartig eingestuft werden. Unter anderem ist darin die IP-Adresse 91.193.18[.]120 aufgelistet, die aus einem IT-Sicherheitsbericht zur Angriffskampagne „TinyTurla“ von Cisco Talos als C2-Server der APT-Gruppe Turla bekannt ist. Die Cyberabwehr hat hierzu im März dieses Jahres einen Sicherheitshinweis veröffentlicht.
Bisher richteten sich die Angriffe vor allem gegen osteuropäische Staaten, die die Ukraine seit Beginn des Krieges unterstützen. Der Cyberabwehr des Landesamtes für Verfassungsschutz sind bislang keine derartigen Angriffe auf Ziele in Deutschland bekannt. Aufgrund der anhaltenden Unterstützung der Ukraine kann jedoch nicht ausgeschlossen werden, dass auch deutsche Ziele ins Visier der Angreifer geraten.
Indicators of Compromise (IoCs) zu dieser Angriffskampagne können über die Cloud der Cyberabwehr heruntergeladen werden. Es wird empfohlen, die eigenen Systeme und Netzwerke anhand der IoCs auf eine mögliche Betroffenheit zu überprüfen.