Die WKÖ soll laut einer Gruppe von Threat and Detection Researcher (TDR) – Sekoia.io – das Interesse der russischen Hackergruppe Turla geweckt haben. Das geht dem Bericht “Update über Cyber-Aktivitäten in Osteuropa” hervor, der von der Threat Analysis Group (TAG) von Google Anfang Mai veröffentlicht wurde. Dabei sollen neben der WKÖ auch weitere Organisationen, wie das Baltische Verteidigungskolleg (Baltidefcol) und die E-Learning-Plattform der NATO – Joint Advanced Distributed Learning (JDAL) – zu den Opfern des Turla-Angriffs zählen. 

In ihrer Analyse schreiben die Forscher:innen, dass diese Cyber-Angriffe keine bösartigen seien und potentiell nur zur Generierung von Informationen gedient haben. Umso merkwürdiger finden sie es, dass die WKÖ Ziel dieses potentiellen Angriffs war, da sie in ihrer Analyse Österreich als diplomatische Brücke zwischen dem Westen und Russland beschreiben. 

Kampagne der russischen Hacker-Gruppe Turla auf Sicherheitslücken ausgerichtet

Die russischen Hacker sollen die kriminelle Methode “Typosquatting” verwendet haben. So nennt man das Verfahren, das Besucher:innen statt auf die gewünschte Seite – womöglich durch Tippfehler – auf eine falsche, unerwünschte Seite führen. Am Beispiel der WKÖ sei das wkoinfo.webredirect[.]org gewesen, das die offizielle Website der WKÖ mit Typosquats versah. Somit wurden Subdomains erstellt und Besucher:innen auf die falsche Website geführt. Die Phishing-basierte Kampagne von Turla sei darauf ausgerichtet, Sicherheitslücken zu finden. 

Das funktioniert so: Auf den drei entdeckten bösartigen Domains wurde dasselbe Word-Dokument „War Bulletin April 27, 19:00 CET“ gefunden, das auf den ersten Blick legitim erscheint und keine Makros eingebettet hat, jedoch eine PNG-Datei mit der Bezeichnung “logo.png.” enthält. Öffnet eine Besucher:in diese Datei, werde diese von einem externen Server geladen. Turla soll somit versuchen, über Textverarbeitungsprogramme herauszufinden, welche Version die User:in nützt, um somit mit der geeigneten Malware die Sicherheitslücken zu durchdringen. 

Beratende Funktion der WKÖ als mögliche Motivation für russischen Cyber-Angriff

Die Antwort rund um die Frage, warum die russischen Hacker die WKÖ angegriffen haben, können die Forscher:innen der Sekoia.io nicht beantworten, nennen aber die beratende Funktion der Wirtschaftskammer in Österreich als einen potentiellen Beweggrund.  “Die Wirtschaftskammer Österreich hat eine erweiterte Funktion im Vergleich zu anderen Wirtschaftskammern in anderen Ländern”, schreiben die Expert:innen in ihrer Analyse. 

“Die österreichische Regierung ist per Gesetz verpflichtet, die Kammern bei Gesetzesvorhaben und wichtigen Regelungen, einschließlich Wirtschaftssanktionen, zu konsultieren. Diese Beteiligung an Entscheidungs- und Verwaltungsverfahren könnte der Grund für die russischen Spionage-Operationen durch die Phishing-Kampagne von Turla sein, insbesondere in einem europäischen Land, das als diplomatische Brücke zwischen dem Westen und Russland gilt”, erklärt das Sekoia.io-Team weiter. 

Österreichs Neutralität, Überwachung durch Moskau und Co

Obwohl Österreich Sanktionen gegen russisches Öl und Gas sowie die Waffenlieferung an die Ukraine abgelehnt hat, könne der russische Cyber-Angriff durch die unklare Stellung Österreichs motiviert worden sein. Denn obwohl Österreich auf seinen neutralen Status verweist, wird öffentlich kommuniziert, dass das Land der Berge Kiew unterstützt. “Jede Änderung der österreichischen Position könnte sich daher auf die westliche Einigung angesichts der russischen Invasion in der Ukraine auswirken und eine genaue Überwachung durch Moskau veranlassen”, so die Forscher:innen.