Presseagentur will neue Belege für umfangreiche russische Hacker-Aktivitäten haben

Inhaltsverzeichnis

Eine digitale "Abschussliste", die die internationale Presseagentur The Associated Press (AP) erhalten haben will, soll Belege für Hackertätigkeit zugunsten der russischen Regierung in bislang ungeahntem Umfang liefern. Der Fund speist sich angeblich aus einer Datenbank mit 19.000 bösartigen Links, die sich im Besitz des Sicherheitsunternehmens Secureworks befindet, sowie aus Dutzenden fehlgeleiteter E-Mail-Nachrichten und aus Befragungen von über 100 Opfern von Datenangriffen. Secureworks soll an die Daten gekommen sein, nachdem eine als "Fancy Bear" bekannte Hackergruppe unfreiwillig Teile ihrer Phishing-Aktivitäten im Netz offengelegt hatte.

Die Liste deckt den Zeitraum zwischen März 2015 und Mai 2016 ab. Zu den Zielen habe demnach nicht nur der E-Mail-Verkehr der ukrainischen Regierung und russischer Oppositioneller gehört, sondern auch die Kommunikation von Unternehmen der Rüstungsindustrie, außerdem von prominenten US-Politikern. Die meisten Ausgespähten befanden sich in den USA, in Russland, der Ukraine, Georgien oder Syrien. Der Repräsentant des Vatikanstaats in Kiew soll ebenso von der Datenspionage betroffen gewesen sein wie die aufmüpfige Moskauer Punk-Band Pussy Riot. Die Hacker sollen versucht haben, die E-Mail-Accounts von 4.700 Gmail-Nutzern weltweit auszulesen.

Bewertung noch schwierig

Die von AP genannte Liste ist bislang nicht veröffentlicht worden – daher lässt sich zurzeit noch wenig Konkretes über das Ausmaß der daraus hervorgehenden Aktionen sagen. Ebenso ist es nicht möglich, eine klare Aussage über den Wert der von AP kolportierten Aussagen zu machen. Nur fünf externe Experten, darunter der Leiter des Conflict Studies Research Center im britischen Cambridge, Keir Giles, haben die AP-Entdeckung bislang prüfen können.

Giles spricht von einer Art "Wunschzettel eines jeden, der darauf aus wäre, russische Interessen zu fördern". Es gehe um genau diejenigen Personen, die Russland gern "ausspionieren, bloßstellen, verleumden oder zum Schweigen bringen" möchte. Wie es heißt, erlaubt die Liste es, eine direkte Linie von den Hackern zu den ausgespähten E-Mail-Inhalten zu ziehen, die gegen Ende des Präsidentschaftswahlkampfs in den USA großes Aufsehen verursachten. Das betreffe insbesondere die privaten Mails von John Podesta, der Hillary Clintons Wahlkampagne leitete.

Fancy Bear tritt aus dem Schatten

In den USA haben sich die Mitglieder von Fancy Bear um mindestens 573 Mail-Accounts von Spitzenleuten in der Diplomatie und im Sicherheitsbereich bemüht. Selbst John Kerry und der frühere NATO-Hauptbefehlshaber Colin Powell blieben nicht verschont. Ferner habe man altgedientes Geheimdienstpersonal, prominente Russlandkritiker und insbesondere Politiker der Demokraten ausspähen wollen. Über 130 Parteimitarbeiter, Wahlkampfleute und Unterstützer wurden zum Spionageziel gemacht, darunter etliche aus Clintons engerem Umkreis. Auch einige wenige Republikaner tauchen als Zielobjekte auf. Im Blickpunkt des Hacker-Interesses sollen ferner Unternehmen mit Rüstungsverträgen wie Boeing, Lockheed Martin und Raytheon gewesen sein.

Viele der Personen auf der Liste mussten tatsächlich erleben, dass ihre private E-Mail-Korrespondenz im Netz veröffentlicht wurde – darunter Podesta und Powell. AP zufolge sind sie alle Ziele der Aktivitäten von Fancy Bear gewesen; die meisten von ihnen wurden drei bis vier Monate vor dem Auftreten der Veröffentlichungen als Ziele benannt. Colin Powell sagte kürzlich zu AP: "Die haben die E-Mail von zwei Jahren." Obgleich er nicht gewusst habe, wer für den Datendiebstahl verantwortlich war, habe er immer eine russische Verbindung vermutet.

In der Ukraine sollen unter anderem Präsident Petro Poroschenko und sein Sohn auf der "Abschussliste" von Fancy Bear gestanden haben. Wie es heißt, hatte die Hackergruppe es dort auf mindestens 545 Accounts abgesehen. In Russland standen offenbar Oppositionelle und Dutzende von Journalisten im Zentrum des Interesses. Viele der genannten Ziele haben lediglich gemeinsam, dass sie das Interesse der russischen Regierung auf sich gezogen hatten: ein Umweltaktivist im entlegenen Murmansk, eine kleine Magazinredaktion in Armenien, eine Organisation für Erwachsenenbildung in Kasachstan. "Es ist schwer zu glauben, dass irgendein anderes Land an den Aktivitäten solcher Leute interessiert sein könnte", meint Michael Kofman vom Woodrow Wilson International Center in Washington, ein Experte für russische Militärangelegenheiten. Auch sein Name findet sich auf der Liste.

Verräterische Phishing-Spuren

Dass Fancy Bear in Diensten der russischen Regierung stand, wurde bereits vielfach vermutet. Bislang gab es aber keine Beweise, obwohl Forscher die Aktivitäten der Gruppe über ein Jahrzehnt lang beobachtet haben. Erst im Zuge der 2016er US-Präsidentschaftswahl sprachen amerikanische Geheimdienste öffentlich von Verbindungen der Gruppe zum Kreml. Angesichts des bisherigen Mangels an klaren Belegen wäre die Bedeutung der Secureworks-Datenbank umso größer, wenn sie tatsächlich eine zweifelsfreie Zuordnung erlaubte.

Besonders bemerkenswert ist dabei, dass dem Unternehmen dieser Fund wohl tatsächlich zufällig in die Hände fiel, als ein Forscher sich rückwärts von einem Server aus durchs Netz arbeitete, der mit einem der von Fancy Bear stammenden Schädlinge verbunden war. Er fand einen hochaktiven Bitly-Account, den die Gruppe nutzte, um massenweise Phishing-Botschaften durch Googles Spamfilter zu schleusen. Dabei vergaßen die Hacker, den Accound als "privat" zu spezifizieren. So konnte Secureworks ihnen schließlich monatelang über die Schulter schauen und Tausende von Detaildaten kopieren.

AP will die Daten erst kürzlich erhalten haben. Die Presseagentur sagt, sie habe 4.700 individuelle E-Mail-Adressen herausdestilliert und diese dann anhand von Stichproben mit anderen Phishing-Mails abgeglichen, die von anderen Sicherheitsunternehmen untersucht worden waren, etwa Trend Micro in Tokio und Eset in der Slowakischen Republik. Die von Secureworks aufgefangenen Daten ließen den Schluss zu, dass über 95 Prozent der bösartigen Links zu Tageszeiten erzeugt worden waren, die Moskauer Bürozeiten entsprechen: von Montag bis Freitag zwischen 9 Uhr morgens und 18 Uhr Ortszeit. (psz)