Ghostwriter: Belarus soll hinter Cyberattacken in Deutschland und der EU stecken
Erst Deutschland, dann die EU hatten Russland beschuldigt, hinter den Attacken von "Ghostwriter" zu stecken. Mandiant zeigt nun aber auf einen anderen Staat.
(Bild: PORTRAIT IMAGES ASIA BY NONWARIT/Shutterstock.com)
Nachdem Deutschland und die Europäische Union Russland im Herbst böswillige Cyberangriffe auf demokratische Institutionen vorgeworfen hat, gibt es nun Hinweise darauf, dass ein anderer Staat hinter den Aktivitäten stecken könnte. Die IT-Sicherheitsfirma Mandiant ist überzeugt, dass die im Westen als "Ghostwriter" bekannten Angreifer technische Hilfe von einer Gruppe namens "UNC1151" bekommt, die man nun mit großer Sicherheit der Regierung in Belarus zuordne. Das erklärte die US-Firma in einem Blogeintrag, der vor allem anhand der Zielpersonen jede Menge Indizien zusammenträgt, aber bei den technischen Beweisen vage bleibt. Direkte Beiträge aus Russland zu den Angriffen könne man nicht ausschließen, man habe dafür aber keine Beweise.
Sorge vor Wahlbeeinflussung
Vorwürfe gegen "Ghostwriter" waren in Deutschland in den Wochen vor der Bundestagswahl laut geworden. Der Bundesregierung zufolge hatte sie mit Phishing-Angriffen versucht, an "persönliche Anmeldedaten insbesondere von Bundestags- und Landtagsabgeordneten" zu gelangen. Im Erfolgsfall hätten mit erbeuteten Dokumenten Desinformationskampagnen in Verbindung mit der Bundestagswahl vorbereitet werden sollen, so der Vorwurf. Wie das aussehen kann, war vor allem im Vorfeld der US-Präsidentschaftswahlen 2016 deutlich geworden. Allein "Ghostwriter" wurde in Deutschland eine dreistellige Anzahl von Attacken zugeschrieben und mit dem Näherrücken der Wahl seien die immer intensiver geworden, hatte es geheißen. Auch der Generalbundesanwalt ermittelt.
Mandiant wiederum beobachtet nach eigener Aussage seit 2017 die auf "UNC1151" getaufte Gruppe, im April hatte die Firma erklärt, dass die mindestens einen Teil der Kampagne von "Ghostwriter" technisch ausführt. War damals aber nur die Rede davon, dass ein ungenannter Staat dahinterstecke, wird Mandiant nun konkreter. Die Zielstaaten hätten alle belastete Beziehungen zu Belarus und die spezifische Zusammenstellung passe weniger zu Russland. So sei Estland nicht betroffen, als baltischer NATO-Staat ein beliebtes Ziel für Russland, aber kein Nachbar von Belarus. Außerdem seien Individuen mit Verbindungen zu Belarus, darunter anderem aus der dortigen Opposition Ziel von Angriffen geworden. Attacken nach der umstrittenen Wahl von 2020 würden zum Vorgehen des belarussischen Staats passen. Darüber hinaus habe man technische Informationen, die die Verantwortlichen in Minsk verorten würden, genauer wird Mandiant hier nicht.
Die Ausführungen von Mandiant zeigen, wie schwer die sogenannte Attribuierung von Cyberangriffen ist. Gleichzeitig geben sich die Experten in ihrem Schluss äußerst selbstbewusst: Mit hoher Sicherheit würden die Angriffe aus Belarus ausgeführt, mit mittlerer Sicherheit gehe man von einer Beteiligung des Militärs in Europas letzter Diktatur aus. Angesichts der nur unkonkreten Ausführungen zu den technischen Details lässt sich das gegenwärtig nicht überprüfen. Gegenüber dem Spiegel hat die Bundesregierung jedenfalls erklärt, dass trotz der vorgelegten Details an der russischen Hauptverantwortung für die Aktivitäten von "Ghostwriter" festgehalten werde. Damit schließe man "die mögliche Beteiligung weiterer Akteure an der Kampagne ausdrücklich nicht aus".
(mho)