IT-Sicherheit
Hacker umgehen Googles MFA mit App-Passwörtern
Russische Hacker haben per Social-Engineering eine neue Methode entwickelt, um die Multi-Faktor-Authentifizierung (MFA) von Google zu umgehen.
Sicherheitsforscher von Google und The Citizen Lab haben eine sicherheitskritische Entwicklung entdeckt: Staatlich unterstützte russische Hacker nutzen App-Passwörter, um die Multi-Faktor-Authentifizierung (MFA) von Google-Konten zu umgehen. Bei den Zielen handelt es sich vorwiegend um prominente ...
Sicherheitsforscher von Google und The Citizen Lab haben eine sicherheitskritische Entwicklung entdeckt: Staatlich unterstützte russische Hacker nutzen App-Passwörter, um die Multi-Faktor-Authentifizierung (MFA) von Google-Konten zu umgehen. Bei den Zielen handelt es sich vorwiegend um prominente Akademiker und Kritiker Russlands.
App-Passwörter sind 16-stellige Sicherheitscodes, die Nutzer für ihr Google-Konto erstellen können, damit Drittanbieter-Apps auf das Konto zugreifen können, ohne dass ein zusätzlicher Authentifizierungsfaktor abgefragt wird. Obwohl Google in seiner Dokumentation aus Sicherheitsgründen von der Verwendung dieser Funktion abrät, wird sie dennoch angeboten.
Die Angriffe beginnen mit einer ausgeklügelten Phishing-Kampagne. Die Hacker geben sich als Mitarbeiter des US-Außenministeriums aus und senden zunächst eine harmlose E-Mail, die lediglich darauf abzielt, dass die Zielperson antwortet. Diese erste Kontaktaufnahme dient dem Aufbau von Vertrauen.
Nach der ersten Antwort folgt eine zweite E-Mail mit einem PDF-Anhang. Dieses Dokument enthält detaillierte Anweisungen für den Zugriff auf eine angebliche Cloud-Umgebung des US-Außenministeriums. Die Opfer werden aufgefordert, ein App-Passwort für ihr Google-Konto zu erstellen und den 16-stelligen Code an die Angreifer zu übermitteln.
Sobald die Hacker im Besitz des App-Passworts sind, richten sie einen E-Mail-Client ein, der ihnen unbemerkt Zugriff auf das Gmail-Konto des Opfers sowie den gesamten E-Mail-Verkehr ermöglicht. Da App-Passwörter die MFA umgehen, werden keine zusätzlichen Sicherheitsabfragen ausgelöst.
Google schreibt die beobachteten Angriffe einer Hackergruppe namens UNC6293 zu. Diese Gruppe wird mit APT29 in Verbindung gebracht – einer bekannten Hackergruppe, die unter verschiedenen Namen wie Midnight Blizzard, Nobelium und Cozy Bear operiert.
APT29 steht im Verdacht, mit dem russischen Auslandsgeheimdienst SVR zusammenzuarbeiten und war in der Vergangenheit für weitreichende Angriffe auf Microsoft und deutsche Politiker verantwortlich. Die Gruppe ist auch für den Hack des Demokratischen Nationalkomitees im Zusammenhang mit der US-Präsidentschaftswahl 2016 bekannt.
Die aktuellen Angriffe wurden von April bis Anfang Juni 2025 beobachtet und zielten gezielt auf Personen ab, die als Kritiker Russlands bekannt sind. Ein prominentes Opfer war der britische Russland-Experte Keir Giles, der nach der Kompromittierung seiner E-Mail-Konten seine Kontakte über soziale Medien warnte.
