Russland und China sind im Krieg Partner. Doch in der IT spioniert man sich gegenseitig aus. Die Hackergruppe APT31 spielt dabei eine Rolle.
APT31 arbeitet seit Jahren mit Methoden, die sich gut im Alltag verstecken lassen. Kein großer Aufwand, sie hinterlassen dabei keine sichtbaren Spuren. Stattdessen nutzt die chinesische Gruppe Strukturen, die ohnehin überall vorhanden sind. Die Cloud ist dafür das perfekte Versteck. Verbindungen zu Yandex oder anderen bekannten Diensten wirken in vielen Netzwerken wie Routine. Genau deshalb eignen sie sich, um illegale Aktivitäten zu verschieben, ohne sie unnötig sichtbar zu machen. APT31 ist auch bekannt unter den Namen Bronze Vinewood, Judgement Panda, Red keres, TA412, Violet Typhoon oder Zirconium.
Ein Angriff, der sich unauffällig ins Bild einfügt
Der aktuelle Fall betrifft russische IT-Dienstleister, die in staatliche Systeme eingebunden sind und somit eine Position innehaben, die für solche Zugriffe interessant ist. Der Einstieg erfolgte über eine einfache E-Mail mit einem RAR-Archiv. Die beiliegende LNK-Datei wirkte unauffällig, startete jedoch einen Loader, der sich über das DLL-Side-Loading ins System eingenistet hat.
Die Schadkomponenten tarnen sich als alltägliche Prozesse. Selbst geplante Tasks wirken wie Update-Routinen, die normalerweise niemand hinterfragt. Die Kommunikation über die Yandex Cloud verschwindet im üblichen Datenverkehr. Untersuchungen zeigen, dass einige der betroffenen Umgebungen bereits Ende 2022 kompromittiert waren, lange bevor die Aktivität auffiel.
Die Methoden von APT31 sind erprobt und weit verbreitet
Seit Jahren nutzt APT31 ein Set aus gut funktionierenden Bausteinen. Das sind LNK-Dateien, Office-Dokumente mit Makros und Side-Loading über legitime Anwendungen. Auch die Nutzung von Cloud-Diensten ist ein fester Bestandteil dieser Kampagnen. Yandex Disk und Yandex Cloud werden regelmäßig als C2-Infrastruktur und als Kanal für den Datenabfluss genutzt. Dabei wirkt der Traffic wie eine ganz normale Synchronisation.
Auch in Industrienetzen tauchen ähnliche Muster auf. Selbst stark segmentierte Systeme bieten keinen vollständigen Schutz, wenn Integratoren oder Dienstleister als Brücke dienen. So lassen sich Bereiche erreichen, die eigentlich isoliert sein sollten.
Russland & China sind Partner, doch jeder spioniert jeden aus
Russland fördert seit Jahren heimische Dienste und verkauft dies als digitale Souveränität. Online-Dienste wie Yandex Cloud erfüllen die Anforderungen des Datenschutzgesetzes 152-FZ und sind im staatlichen Software-Register gelistet. Ausländische Plattformen sollen aus Behördennetzen verschwinden. Dadurch entsteht eine einheitliche IT-Landschaft, die zwar politisch gewollt, technisch jedoch anfällig ist. Ein einziger Einstiegspunkt reicht aus, um weit in behördennahe Strukturen vorzudringen.
Mehrere Hochschulen und staatliche Einrichtungen, darunter die Higher School of Economics und die Präsidialakademie RANEPA, nutzen die Yandex-Cloud bereits produktiv. Je stärker diese Online-Dienste im öffentlichen Sektor verankert sind, desto attraktiver werden sie für Gruppen wie APT31.
Die politische Nähe zwischen Russland und China ändert daran wenig. Operative Ziele folgen ihrer eigenen Logik. Während Russland im Krieg Ressourcen verlagert, entsteht ein Umfeld, in dem verdeckte Zugriffe länger ungestört bleiben können. Für APT31 ist ein russischer Cloud-Dienst daher keineswegs ein Hindernis, sondern sogar ein Vorteil.
Die Cloud als Security-Layer
Durch die Nutzung legitimer Dienste spart die Gruppe Infrastruktur ein. Die Verbindungen wirken vertraut, da sie in vielen Netzen ähnlich sind. Administratoren kennen den Traffic aus dem Alltag. Die Tarnung entsteht so fast von selbst. Die Cloud der russischen IT-Dienstleister liefert das Grundrauschen, in dem sich APT31 problemlos verstecken kann.
APT31 – ein Fazit ohne Überraschungen.
Die aus China stammende Gruppierung APT31 zeigt erneut, wie sehr moderne Spionage auf unauffälligen Abläufen basiert. Es geht nicht um spektakuläre Angriffe, sondern um ruhige Zugriffe, die lange bestehen bleiben. Im geopolitischen Kontext überrascht es wenig, dass dabei russische Dienstleister ins Visier geraten. Sie sitzen an kritischen Schnittstellen, über die man mit überschaubarem Risiko tief in behördennahe Infrastrukturen eindringen kann. Das wäre natürlich nicht nur für China von Interesse.
Diese Methode ist unspektakulär, aber sie wirkt zuverlässig. Wer die Cloud nicht nur als Dienst, sondern auch als Tarnschicht nutzt, kann das Entdeckungsrisiko erheblich senken. Genau das macht APT31 – und genau deshalb werden solche Zugriffe künftig eher zunehmen.
