Cyberangriffe auf Rüstungsunternehmen – Defense Industrial Cyber Siege

Akteure mit Verbindungen zu Russland haben ihre Angriffe auf Verteidigungsunternehmen verstärkt, die die Ukraine mit Technologien für den Einsatz auf dem Schlachtfeld beliefern. Organisationen, die unbemannte Flugsysteme entwickeln, stehen unter besonderer Beobachtung, wobei Hacker sowohl Auftragnehmer als auch Militärpersonal kompromittieren. APT44, das der russischen GRU-Einheit 74455 zugeschrieben wird, hat versucht, Daten aus verschlüsselten Messaging-Anwendungen wie Telegram und Signal zu extrahieren, oft durch physischen Zugriff auf erbeutete Geräte. Die Gruppe setzte WAVESIGN ein, um Signal-Desktop-Daten zu exfiltrieren, und verwendete die Malware INFAMOUSCHISEL auf Android-Geräten, um Informationen aus ukrainischen Militäranwendungen zu sammeln.

TEMP.Vermin, das mit den Sicherheitsbehörden der Volksrepublik Luhansk in Verbindung steht, hat Köder rund um die Themen Drohnenproduktion und Anti-Drohnen-Abwehrsysteme eingesetzt, um Malware wie VERMONSTER und SPECTRUM zu verbreiten. Unterdessen haben pro-russische Hacktivisten-Gruppen wie NoName057(16) verteilte Denial-of-Service-Angriffe gegen Verteidigungsorganisationen durchgeführt, während Beregini und JokerDNR Dokumentenlecks operationen durchgeführt haben, die auf die ukrainische Militärverwaltung und die Koordination ausländischer Waffensysteme abzielten.

Die gezielte Ausrichtung auf Personal hat sich als zentrale Schwachstelle bei globalen Verteidigungsunternehmen herausgestellt. Nordkoreanische IT-Mitarbeiter haben den Sektor infiltriert, iranische Akteure haben Rekrutierungsportale gefälscht und Gegner haben direkt die persönlichen E-Mail-Konten von Auftragnehmern ins Visier genommen. Dieser Ansatz umgeht oft die Sicherheitsüberwachung von Unternehmen und schafft blinde Flecken in der Verteidigung von Organisationen.

Gruppen mit Verbindungen zu China sind für den größten Teil der staatlich geförderten Cyberspionage gegen Verteidigungsunternehmen verantwortlich. Kampagnen von Akteuren wie UNC3886 und UNC5221 zeigen eine verstärkte Konzentration auf Edge-Geräte und Netzwerkgeräte für den ersten Zugriff. Diese Eindringversuche dienen möglicherweise der Vorbereitung von Operationen oder dem Diebstahl von geistigem Eigentum im Zusammenhang mit Forschung und Entwicklung, im Gegensatz zu den taktischen Bedrohungen aus Russland, die sich auf das Schlachtfeld konzentrieren.

Die Sicherheit der Lieferkette stellt ein weiteres kritisches Problem dar. Seit 2020 ist die Fertigungsindustrie der am stärksten vertretene Sektor auf Websites, die Datenlecks durch Ransomware veröffentlichen. Zwar machen spezialisierte Verteidigungsunternehmen nur einen kleinen Teil dieser Aktivitäten aus, doch umfasst der Fertigungssektor insgesamt zahlreiche Unternehmen, die Dual-Use-Komponenten für Verteidigungsanwendungen liefern. Diese Gefährdung bedroht die Fähigkeit, die Komponentenproduktion in Kriegszeiten zu steigern, selbst wenn sich die Angriffe auf IT-Netzwerke beschränken.

Die Aktivitäten pro-iranischer Hacktivisten haben sich seit Beginn des Konflikts zwischen Israel und der Hamas im Oktober 2023 verstärkt. Gruppen wie Handala Hack, Cyber Toufan und die Cyber Isnaad Front haben sich von disruptiven Angriffen zu ausgeklügelten Hack-and-Leak-Kampagnen und Angriffen auf die Lieferkette verlagert. Diese Operationen zielen auf israelische Rüstungsunternehmen, Logistikdienstleister und Technologieunternehmen ab, um Schaltpläne, Personaldaten und Verträge offenzulegen. Die „RedWanted”-Kampagne von Handala hat sich durch Doxxing und Einschüchterungstaktiken speziell gegen Angehörige der israelischen Streitkräfte und Mitarbeiter des Verteidigungssektors gerichtet.

Bei diesen Bedrohungsvektoren lassen sich gemeinsame Muster erkennen. Staatliche Akteure und Hacktivisten zeigen besonderes Interesse an autonomen Fahrzeugen und Drohnen, was die wachsende Bedeutung dieser Plattformen in der modernen Kriegsführung widerspiegelt. Die Akteure konzentrieren sich zunehmend auf einzelne Endpunkte und Personen und setzen dabei Techniken ein, die darauf abzielen, Endpunkt-Erkennungs- und Reaktionswerkzeuge zu umgehen. Dieser Trend zur „Umgehung der Erkennung”, der erstmals im Mandiant M-Trends 2024-Bericht hervorgehoben wurde, entwickelt sich weiter und schafft ein umkämpftes Umfeld, das traditionelle Erkennungsstrategien vor Herausforderungen stellt.

Die Konvergenz dieser Bedrohungen erfordert, dass Unternehmen über reaktive Sicherheitsmaßnahmen hinausgehen. Unternehmen im Verteidigungssektor müssen Intelligence-Trends in die proaktive Bedrohungssuche integrieren und widerstandsfähige Architekturen entwickeln. Sicherheitsexperten und politische Entscheidungsträger stehen vor der Herausforderung, kreativ zu denken, um Gegnern entgegenzuwirken, die Lücken in der Sichtbarkeit ausnutzen, Personal außerhalb traditioneller Überwachungsbereiche ins Visier nehmen und die Vernetzung moderner Lieferketten zu ihrem Vorteil nutzen. Die Systeme zum Schutz der nationalen Sicherheit dürfen nicht kompromittiert werden, bevor sie den operativen Einsatz erreichen.

Russia-nexus actors have intensified targeting of defense entities supplying Ukraine with battlefield technologies. Organizations developing unmanned aircraft systems face particular scrutiny, with hackers compromising both contractors and military personnel. APT44, attributed to Russia’s GRU Unit 74455, has attempted to extract data from encrypted messaging applications like Telegram and Signal, often through physical access to captured devices. The group deployed WAVESIGN to exfiltrate Signal Desktop data and used INFAMOUSCHISEL malware on Android devices to collect information from Ukrainian military applications.

TEMP.Vermin, linked to the Luhansk People’s Republic security agencies, has used lures themed around drone production and anti-drone defense systems to deploy malware including VERMONSTER and SPECTRUM. Meanwhile, pro-Russia hacktivist groups like NoName057(16) have conducted distributed denial-of-service attacks against defense organizations, while Beregini and JokerDNR have engaged in document leak operations targeting Ukrainian military administration and foreign weapons systems coordination.

Personnel targeting has emerged as a central vulnerability across global defense firms. North Korean IT workers have infiltrated the sector, Iranian actors have spoofed recruitment portals, and adversaries have directly targeted contractors‘ personal email accounts. This approach often evades enterprise security visibility, creating blind spots in organizational defenses.

China-nexus groups represent the highest volume of state-sponsored cyber espionage against defense entities. Campaigns from actors like UNC3886 and UNC5221 demonstrate an increased focus on targeting edge devices and network appliances for initial access. These intrusions potentially support preparatory operations or intellectual property theft related to research and development, contrasting with the tactical battlefield focus of Russia-nexus threats.

Supply chain security presents another critical concern. Manufacturing has been the most represented sector on ransomware data leak sites since 2020. While dedicated defense organizations account for a small fraction of this activity, the broader manufacturing sector includes numerous companies providing dual-use components for defense applications. This exposure threatens the ability to surge component production during wartime, even when intrusions remain confined to IT networks.

Pro-Iran hacktivist activity has intensified following the October 2023 onset of the Israel-Hamas conflict. Groups like Handala Hack, Cyber Toufan, and the Cyber Isnaad Front have shifted from disruptive attacks to sophisticated hack-and-leak campaigns and supply chain compromises. These operations target Israeli defense manufacturers, logistics providers, and technology firms to expose schematics, personnel data, and contracts. Handala’s „RedWanted“ campaign has specifically targeted Israeli armed forces personnel and defense sector employees through doxxing and intimidation tactics.

Common patterns emerge across these threat vectors. State sponsors and hacktivists demonstrate particular interest in autonomous vehicles and drones, reflecting these platforms‘ growing role in modern warfare. Actors increasingly focus on single endpoints and individuals, employing techniques designed to evade endpoint detection and response tools. This „evasion of detection“ trend, first highlighted in the Mandiant M-Trends 2024 report, continues to evolve, creating a contested environment that challenges traditional detection strategies.

The convergence of these threats demands that organizations move beyond reactive security postures. Defense sector entities must integrate intelligence trends into proactive threat hunting and develop resilient architectures. Security practitioners and policymakers alike face the challenge of thinking creatively to counter adversaries who exploit gaps in visibility, target personnel outside traditional monitoring spaces, and leverage the interconnected nature of modern supply chains. The systems protecting national security cannot afford to be compromised before reaching operational deployment.