Spuren nach Moskau: Wie eine Liste mit Zielen der berüchtigten Hacker-Gruppe APT28 den Kreml belastet

Veröffentlicht: Aktualisiert:
PUTIN
Spuren nach Moskau: Wie eine Liste mit Zielen der berüchtigten Hacker-Gruppe APT28 den Kreml belastet | Maxim Shemetov / Reuters
Drucken
  • Russische Hacker stehen im Verdacht, weltweit Feinde und politische Gegner des Kremls zu attackieren
  • Jetzt ist es der Nachrichtenagentur AP erstmals gelungen, eine Liste mit Zielen der berüchtigten Hacker-Gruppe APT28 zu sammeln
  • Die Spuren der Hacker führen laut Experten direkt zum Kreml

"Pass auf, dass nie Deine Ohren hervorstehen“ – diese Binsenweisheit des KGB bekommen Moskaus Geheimdienstler schon ganz früh in ihrer Ausbildung vermittelt.

Was ursprünglich für ein diskretes Abhören stand, bei dem das Opfer der Lauschangriffe keine Körperteile zu sehen bekommt, wurde zum Synonym für "saubere“ KGB- bzw. FSB-Arbeit, ohne Spuren zu hinterlassen.

Jetzt haben Moskaus Geheimdienste ein Problem: Ihre Ohren stehen hervor, und zwar weit – um es mit ihrem eigenem Sprachbild zu sagen.

Denn Russlands berüchtigte Hackergruppe APT28, auch "Fancy Bear“ genannt, hat Spuren hinterlassen, die für Moskau höchst heikel sind. Und hoch brisant für die USA.

APT28 soll Hillary Clintons E-Mails gestohlen haben

Amerikanische Journalisten konnten jetzt eine Liste mit 4700 Zielen von digitalen Angriffen finden, hinter denen die Hacker von APT28 stehen.

Die Gruppe hatte sich in der Vergangenheit unter anderem in die Computer der US-Demokraten eingehackt, um die E-Mails von Hillary Clinton zu stehlen. Und den der Abgeordneten Marieluise Beck (Grüne) im Bundestag.

Sicherheitsexperten und westliche Geheimdienste gehen schon lange davon aus, dass hinter APT28 die russische Regierung bzw. ihre Geheimdienste stecken. Doch gerichtsfest nachweisen ließ sich das bisher nicht. Vor allem, weil sich Spuren im Internet so leicht verwischen bzw. falsch legen lassen.

Mehr zum Thema: Putins Abteilung Cyber-Attacke: So arbeitet Russlands gefürchtete Hacker-Gruppe APT28

Doch jetzt hat sich das Indiziennetz zusammengezogen.

Denn die von AP, der 1848 gegründeten, größten Nachrichtenagentur der Welt, publizierte Untersuchung der Zielliste von APT28 belegt nach Ansicht namhafter Experten, dass "Fancy Bear“ für den Kreml arbeitet.

Die US-Justiz will nun sechs russische Hacker anklagen

Damit wäre auch bewiesen, dass Moskau die US-Wahl manipulierte. Amerikanische Sicherheitsdienste beteuern dies bereits seit langem.

Parallel zu dem AP-Bericht meldete die Agentur Reuters, die US-Justiz habe Beweise, dass sechs Offizielle der russischen Regierung am Hack der US-Demokraten beteiligt waren.

Die Ermittlungen seien so weit fortgeschritten, dass es nächstes Jahr zu einem Prozess kommen könne, so Reuters.

Die von AP veröffentlichten Ziele von APT28s Spähattacken lesen sich wie eine Wunschliste des Kremls: Sie reichen von Mitarbeitern des Clinton-Wahlkampfteams über Oppositionelle in Russland und Offiziellen in der Ukraine bis hin zu Personen in Syrien oder Georgien und US-Rüstungsfirmen.

Der AP-Bericht beruht auf Untersuchungen der Cybersecurity-Firma "Secureworks“, die 19.000 so genannten "bösartigen Links“ nachging, und Interviews mit mehr als 100 Opfern von Hackerangriffen führte.

"Die Liste liefert die bisher detailliertesten forensischen Beweise für eine enge Verbindung zwischen den Hackern und der russischen Regierung“, so das Fazit der renommierten Nachrichtenagentur.

Außenminister, Genereäle und NATO-Kommandierende im Visier

Die Hackerangriffe von APT28 zogen sich über Jahre hin, und zielten auf insgesamt 4.700 Gmail-Nutzer aus der ganzen Welt.

Die AP schreibt: "Die Liste verriet eine direkte Verbindung zwischen den Hackern und den Leaks, die in der Endphase des Präsidentschaftswahlkamps so große Wellen schlugen - insbesondere jene privaten Mails von Clintons Wahlkampf-Chef John Podesta.“

Am Montag hatte ein früherer Mitarbeiter von Trumps Wahlkampf-Team, George Papadopoulos, gestanden, dass er im Januar vergangenen Jahres informiert worden sei, es gebe “Dreck” über Clinton, darunter auch "tausende Mails.“

Insgesamt nahm APT28 in den USA 573 Mailboxen bei Gmail ins Visier. Darunter die von hochrangigen Politikern und Sicherheitsbeamten: Etwa des damaligen Außenministers John Kerry, des Ex-Außenministers Colin Powell, des damaligen NATO-Oberkommandierenden, General Philip Breedlove, und seines Nachfolgers, General Wesley Clark.

Ebenfalls auf der Liste: Mitarbeiter von US-Rüstungsfirmen wie Boeing, Raytheon und Lockheed Martin, wichtige Personen aus dem Bereich der Sicherheitsdienste, prominente Russland-Experten und Demokraten: Mehr als 130 Parteimitarbeiter, Wahlkämpfer und Unterstützer, darunter wie erwähnt Podesta und Clintons innerer Kreis.

Viele von ihnen fanden später ihre private E-Mail-Korrespondenz öffentlich im Netz als Leaks wieder.

Russische und ukrainische Oppositionelle als Opfer der Hacker

In der Ukraine versuchte APT28 mindestens 545 Accounts zu knacken. Darunter auch die von Präsident Petro Poroschenko, seinem Sohn Alexei, sowie einem Dutzend amtierender und früherer Minister und zwei Dutzend Abgeordneten.

Auf der Zielliste war auch Serhij Leschtschenko. Der Kiewer Oppositions-Abgeordnete war maßgeblich an der Enthüllung der Schwarzgeld-Affäre um Donald Trumps damaligen Wahlkampf-Chef Paul Manafort beteiligt. Dieser bekam illegal Millionen Dollar aus dunklen Kanälen mit Verbindungen nach Moskau.

Mehr zum Thema: "Moskauer Blutspur" in Kiew? Eine Mordserie erschüttert die Ukraine

Manafort wurde am Montag wegen Verdachts der Geldwäsche und der Verschwörung gegen die USA angeklagt.

Anders als in der Ukraine konzentrierte sich APT28 in Russland nicht auf Offizielle, sondern auf Regierungsgegner und Journalisten. Mit auf der Zielliste: Putin-Intimfeind Michail Chodorkowskij, der zehn Jahre im Gefängnis saß, Pussy-Riot-Mitglied Maria Aljochina sowie der Hoffnungsträger der Opposition Alexej Nawalnij und seine Mitarbeiter.

Secureworks kam APT28 durch Zufall auf die Spur

Secureworks kam den Angriffen durch Zufall auf die Spur, als ein Mitarbeiter der Firma die digitalen Spuren eines Servers verfolgte, auf dem sich Verbindungen zu Schadstoff-Software von APT28 fanden.

Der Mitarbeiter kam so einem hyperaktiven "Bitly-Konto“ auf die Spur, das die russischen Hacker benutzten, um tausende bösartige Links an den Spam-Filtern von Google vorbei zu schleusen. Da APT28 offenbar vergaß, die Kontoeinstellungen auf "privat“ zu setzen, konnte Secureworks die nächsten Monate der Gruppe digital über die Schulter blicken und die Details der Tausenden von E-Mails, die "Fancy Bear“ im Visier hatte, kopieren.

Die Zusammensetzung der Ziel-Liste lasse keine Zweifel an der russischen Regierung als Auftraggeber von APT28, zitiert AP Michael Kofman, einen Experten für russische Militärangelegenheiten am Woodrow Wilson International Center in Washington, der selbst Opfer der Hackerangriffe war: „Es ist nicht ersichtlich, dass ein anderes Land Interesse an diesen Aktivitäten haben könnte.“

Für alle anderen Länder außer Russland wäre das Hacken all dieser Ziele "eine kolossale Zeitverschwendung“ gewesen.
Es handle sich um eine "Wunschliste“, von Personen, "die Russland gerne ausspionieren, in Schwierigkeiten bringen, diskreditieren oder zum Schweigen bringen würde“, so Keir Giles, Direktor des Conflict Studies Research Center im britischen Cambridge und auch selbst eines der Opfer.

APT28 arbeitet zu Moskauer Bürozeiten

“Viele der Ziele haben nichts gemeinsam, außer dass sie sich auf dem Radarschirm des Kremls befinden”, schreibt AP. Etwa ein Umweltschützer in der russischen Provinzstadt Murmansk, ein kleines politisches Journal in Armenien, der Vertreter des Vatikans in Kiew oder eine Erwachsenenbildungs-Organisation in Kasachstan.

Die Daten von Secureworks zeugten auch, dass 95 Prozent der bösartigen Links just während der üblichen Büro-Öffnungszeiten in Moskau generiert wurden – zwischen 9 und 18 Uhr Ortszeit.

Auch die Zeitrahmen passen zusammen: Laut den Secureworks-Daten gab es aggressive Attacken von APT28 auf die Demokraten vom April 2016 – genau zu dem Zeitpunkt, zu dem deren Computer laut der Sicherheitsfirma Crowdstrike gehackt wurden.

Selbst wenn nur ein Teil der Hackerangriffe erfolgreich gewesen wäre, wären dabei Datenmenge erbeutet worden, die Terrabytes betragen, so AP: "Damit dieser Berg an Briefen, in Englisch, Ukrainisch, Russisch, Georgisch, Arabisch und vielen anderen Sprachen für Hacker irgendeinen Sinn macht, hätten sie ein bedeutendes Team an Analysten und Dolmetschern gebraucht.“

Ein AP-Team aus sechs Journalisten habe acht Wochen benötigt, um die Datenmengen auch nur grob zu identifizieren und zu sortieren.

APT28 arbeitet zu Moskauer Bürozeiten

Die Arbeit von AP vermittle nun zumindest ansatzweise ein Gefühl dafür, wie viel Manpower für diese ganze Aktion benötigt wurde, so Thomas Rid, Professor für Strategische Studien an der Johns Hopkins University’s School of Advanced International Studies in Washington.

Bislang, schreibt AP, hätten die US-Sicherheitsdienste nur wenig brauchbare Beweise vorgelegt für die Kontakte von APT28 zur russischen Regierung, und selbst die weniger öffentlichkeitsscheuen Cybersecurity-Firmen hätten normalerweise nur Zusammenfassungen ihrer Daten öffentlich gemacht.

"Das macht die Secureworks Database zu seinem Schlüssel-Beweisstück für die Öffentlichkeit”, so das Fazit von AP: “Was umso bemerkenswerter ist, als es sich um das Resultat eines Flüchtigkeitsfehlers handelt.”

Leserumfrage: Wie fandet ihr uns heute?

2017-03-08-1488965563-6721107-iStock482232067.jpg

Mehr zum Thema: Propaganda, Lügen, Machtkämpfe: So sichert sich Wladimir Putin seinen Einfluss
Die Majestätsbeleidigung: Eine persönliche Begegnung mit Putin zeigt, was in Russland schief läuft
Diese 14 Dinge kann jeder Deutsche tun, um Wladimir Putin zu stoppen
Psychoterror, Medienattacken und Morddrohungen: Das gefährliche Leben der Putin-Kritiker
Putins Fight Club: Wie der Kreml in Europa Kämpfer für einen geheimen Krieg rekrutiert
Die 10 Propagandamythen des russischen Präsidenten Wladimir Putin

(jg)

Korrektur anregen