Blaues Newsletter-Icon auf einer Tastatur

BfV-Newsletter Nr. 2/2017 - Thema 4

Die russische Angriffskampagne APT 28 und die Nutzung sozialer Medien für False-Flag-Operationen im französischen Präsidentschaftswahlkampf

Arbeitsschwerpunkt der Spionageabwehr: Cyberangriffskampagne APT 28

Die Cyberangriffskampagne APT 28 (auch bekannt unter den Bezeichnungen Fancy Bear, Pawn Storm, Sednit, Sofacy, Tsar Team) stellt nach wie vor einen Arbeitsschwerpunkt der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) dar. Es handelt sich um eine langjährige, international angelegte Angriffsoperation mit weltweitem Opferkreis, deren Beginn mindestens bis ins Jahr 2004 zurückreicht. In Deutschland konnte Anfang Mai 2015 ein Cyberangriff auf das interne Kommunikationsnetzwerk des Deutschen Bundestages aufgedeckt werden, der diesem Angreifer zugerechnet wird. Auch der Mitte Juni 2016 bekannt gewordene erfolgreiche Cyberangriff mit anschließendem Datendiebstahl auf das Netzwerk des Democratic National Committee (DNC) in den Vereinigten Staaten wird von den zuständigen Abwehrdiensten der USA unter anderem APT 28 zugerechnet.

Bei der Angriffskampagne APT 28 vermuten BfV, weitere Nachrichtendienste und IT-Sicherheitsdienstleister eine Steuerung durch staatliche Stellen in Russland. Hierfür spricht insbesondere die bisherige „Opferauswahl“ beziehungsweise das dahinterstehende Aufklärungsinteresse. Neben Strukturen der NATO, OSZE sowie westlichen Verteidigungs- und Außenministerien waren auch kaukasische Behörden und russische Oppositionelle Opfer der Kampagne. Technische Parameter (z. B. Spracheinstellungen, Zugriffszeiten der Angreifer auf Opfersysteme) weisen ebenfalls auf einen russischen Ursprung hin.

Weltweit werden bei Angriffen dieser Cyberspionage-Kampagne immer wieder dieselben Server-Infrastrukturen und Schadsoftware-Komponenten verwendet. Diese stellen das Standardwerkzeug von APT 28 dar; sie sind in zahlreichen Publikationen von IT-Sicherheitsunternehmen ausführlich beschrieben worden.

Hauptangriffsvektor ist – wie auch beim Cyberangriff auf den Deutschen Bundestag 2015 – der Versand von Spear-Phishing-E-Mails, sowohl mit maliziösen Links als auch mit Schadanhang. Die Cyberangriffe gehen in der Regel mit einem professionellen Social Engineering einher und belegen eine hohe Sprachkompetenz des Angreifers.

Die in den letzten Monaten festgestellten Aktivitäten dieser Kampagne bergen zunehmend ein erhebliches Gefährdungspotenzial für politische Parteien und Politiker in Deutschland, Ziel eines nachrichtendienstlich gesteuerten Cyberangriffs zu werden. Dass die politische Elite in Deutschland im Fokus russischen Aufklärungsinteresses steht, war spätestens seit dem Cyberangriff auf den Deutschen Bundestag im Frühjahr 2015 evident. Im Mai und August 2016 waren schließlich erneut das Parlament sowie mehrere politische Parteien Ziel weiterer Cyberattacken. Zu Beginn des Jahres 2017 erfolgten zudem Spear-Phishing-Angriffe gegen parteinahe Stiftungen in Deutschland. Alle diese Angriffe werden APT 28 zugerechnet. Die Gefährdung durch solche Angriffe ist insbesondere mit Blick auf die am 24. September 2017 stattfindende Bundestagswahl von besonderer Bedeutung.

Vor dem Hintergrund der in den USA beobachteten russischen Aktivitäten und deren Folgen war es daher plausibel, dass Russland versuchen könnte, auch die in diesem Jahr in Europa anstehenden Wahlen im Vorfeld zu beeinflussen und für eigene politische Ziele zu instrumentalisieren.

Veröffentlichung ausgespähter Dokumente des Wahlkampfteams von Emmanuel Macron und der Bewegung „En Marche!“ („MacronLeaks“)

Bereits im April 2017 berichteten mehrere Medien und IT-Sicherheitsunternehmen über Cyberangriffe auf das Wahlkampfteam des französischen Präsidentschaftskandidaten Emmanuel Macron und seine Bewegung „En Marche!“. Die Attacken wurden vom IT-Sicherheitsunternehmen Trend Micro der russischen Angriffskampagne APT 28 zugerechnet. Ein Sprecher der französischen IT-Sicherheitsbehörde Agence nationale de la sécurité des systèmes d‘information (ANSSI) erklärte, die genutzten Angriffsmethoden entsprächen denen von APT 28.

Am Mittwoch, dem 3. Mai 2017, wurden einige wenige Dokumente eines erbeuteten Datensatzes online gestellt, die jedoch keine große Beachtung erfuhren. Am folgenden Freitag – unmittelbar vor der Stichwahl um die französische Präsidentschaft – wurden Links zu den ausgespähten Dokumenten von „En Marche!“ in einer Größenordnung von circa neun Gigabyte auf der Plattform „Pastebin“ veröffentlicht. Die Dokumente waren zuvor auf das Portal „Internet Archive“ hochgeladen worden.

Erste Hinweise auf den Leak tauchten kurz darauf auf der anonymen, englischsprachigen Austauschplattform „4chan“ im Unterforum „/pol“ (für politische Diskussionen) auf, die wiederum mit der Plattform „Reddit“ verknüpft ist. Größere Aufmerksamkeit erfuhren die so veröffentlichten Dokumente jedoch erst durch Twitter. Dabei nahm der Account von Jack Posobiec, einem bekannten „Alt-Right“-Aktivisten aus den USA, eine Vorreiterrolle ein. Sein Tweet vom Abend des 5. Mai 2017 mit Hinweis auf die geleakten Dokumente enthielt erstmals den Hashtag #MacronLeaks und verbreitete sich in der englischsprachigen Netzgemeinde besonders schnell unter anderem mithilfe von potenziellen Bot-Accounts. Ungefähr 90 Minuten später wies auch WikiLeaks auf seinem Twitter-Account auf die Veröffentlichung hin.

In Frankreich selbst wurden die Informationen mit Bezug auf den Posobiec-Hashtag #MacronLeaks über die Accounts @Messsmer und @AudreyPatriote sofort weiterverbreitet. Diese Accounts gehörten zu den stärksten Multiplikatoren für die Verbreitung von wahlkampfunterstützenden Informationen zu Marine Le Pen, der Gegenkandidatin von Macron. Die Tweets der beiden Accounts wurden über Bots weiterverbreitet. Beide Accounts waren zuvor bereits dadurch aufgefallen, dass sie Nachrichten der französischen RT- und Sputnik-Niederlassungen verbreiteten.

Am 5. Mai 2017 teilte die Pressestelle von „En Marche!“ kurz vor Mitternacht mit, man sei Ziel eines Angriffs geworden. Die geleakten Dokumente – es handelte sich um E-Mails, Rechnungen und Verträge – seien überwiegend authentisch, einige Dateien jedoch zum Zwecke der Desinformation und Verunsicherung der Wählerschaft gefälscht worden. Nach den gesetzlichen Vorgaben in Frankreich sind am Vortag der Wahl und am Wahltag selbst jegliche Formen der Parteiwerbung sowie politische Äußerungen verboten. Demzufolge konnten sich weder Macron – über die kurze Pressemitteilung hinaus – noch seine politische Konkurrenz zu den Vorfällen äußern. Auch die französischen Medien griffen entsprechend die Thematik nicht weiter auf.

War WikiLeaks eigenen Aussagen zufolge zunächst von der Authentizität des „Datendumps“ (Speicherauszugs) überzeugt, rückte die Enthüllungsplattform nach der Aufdeckung einiger verdächtiger Hinweise (kyrillische Schriftzeichen in Metadaten, mögliche Bearbeitung der diskreditierenden Dokumente durch russische Akteure) im weiteren Verlauf davon ab. So fanden sich in den Metadaten der Dokumente Hinweise auf eine russische Urheberschaft. Beispielsweise wurden Dokumente kurz zuvor durch einen Bearbeiter mit dem Namen „Georgy Petrovich Roschka“ modifiziert. Dieser Name ist auch in einem Who-is-who-Mitarbeiterverzeichnis des russischen Sicherheitsunternehmens EUREKA enthalten. EUREKA steht als Dienstleister im Zusammenhang mit verschiedenen Projekten der russischen Regierung. Darüber hinaus fanden sich in den Formatvorgaben von Office-Dokumenten russische Begriffe, die auf eine Bearbeitung mit einer russischsprachigen Office-Version schließen lassen.

Zudem fanden sich nach Aussagen des IT-Sicherheitsunternehmens Flashpoint in den geleakten E-Mails Phishing-Links, die auf Domains verweisen, welche APT 28 zugeordnet werden.

WikiLeaks spielte schon bei der mutmaßlich russischen Einflussnahme auf die US-Wahlen („DNC-Hack“) eine entscheidende Rolle als mittelbares Werkzeug für politische Einflussnahme. Dies wiederholte sich nun in Bezug auf die französischen Präsidentschaftswahlen, da erst der Verweis auf die Veröffentlichung über den Twitter-Account von WikiLeaks zur massenhaften Verbreitung beitrug. Befeuert wurde dies zusätzlich durch die zunächst erfolgte pauschale Aussage, die veröffentlichten Dokumente seien authentisch.

Zum jetzigen Zeitpunkt kann nicht beurteilt werden, welche der Dokumente gefälscht und welche echt sind. Darüber hinaus ist unklar, ob und inwieweit der Dokumenten-Leak im Zusammenhang zu den vorangegangenen mutmaßlichen APT-28-Angriffen auf die Bewegung „En Marche!“ steht und staatlichen Stellen in Russland zuzurechnen ist. Allerdings finden sich insbesondere in den Metadaten der modifizierten Dokumente des Leaks einige Hinweise, die auf eine Verfälschung ihrer Inhalte durch russische Akteure schließen lassen. Auch die in den E-Mails gefundenen möglichen Phishing-Domains sprechen für einen Zusammenhang zwischen den APT-28-Angriffen und dem Leak. Ferner lässt die Veröffentlichung der Daten ein politisches Interesse an einer Diskreditierung des europafreundlichen und russlandkritischen Präsidentschaftskandidaten Macron zugunsten seiner antieuropäischen und nationalistischen Konkurrentin Le Pen erkennen. Ihr hatten sowohl die russische Führung als insbesondere auch der Sender RT ein öffentliches Forum für ihren Wahlkampf geboten: Le Pen wurde im Wahlkampf sogar im Kreml empfangen.

Der Verbreitungsweg der Dokumente (zunächst über US-amerikanische „Alt-right“-Plattformen beziehungsweise -Twitter-Accounts, von denen der Tweet durch WikiLeaks aufgenommen wurde, bevor er sich schließlich über Le Pen nahestehende Multiplikator-Accounts in der französischsprachigen Netzlandschaft ausbreitete) deutet auf eine intelligente False-Flag-Operation hin. Dieser Modus Operandi – Cyberangriffe unter „falscher Flagge“ – ist von der APT-28-Kampagne bereits bekannt.

Ebenso bemerkenswert ist der Zeitpunkt der Veröffentlichungen. Die Akteure scheinen die nationalen Gesetze Frankreichs und die damit verbundene Nachrichtensperre gezielt ausgenutzt zu haben: Weder konnten die vom Leak betroffenen Personen, insbesondere der Präsidentschaftskandidat Macron, zu den Veröffentlichungen und den indirekt damit verbundenen Anschuldigungen Stellung nehmen, noch war es dem Wähler möglich, sich mit den Informationen und den damit in Verbindung stehenden Vorwürfen auseinanderzusetzen beziehungsweise sich eine Meinung basierend auf Fakten zu bilden. So bestand die Gefahr, dass sich Wahlberechtigte zugunsten der Gegenkandidatin durch Emotionen leiten ließen, da ein Teil der Wählerschaft bis zum Wahltag unentschlossen war und keinen der beiden Kandidaten favorisierte.

Insgesamt scheint die Operation „MacronLeaks“ allerdings wenig erfolgreich gewesen zu sein. Als Gründe dafür kommen vor allem in Frage: der sehr nahe am Wahltermin liegende Zeitpunkt der Veröffentlichungen, die Verbreitung durch rechtspopulistische Multiplikatoren in den USA und Frankreich, ein früher „Gegenwind“ in sozialen Medien sowie die Hinweise auf eine mögliche Manipulation der Daten.

Der Einfluss, den eine manipulative Verbreitung von Nachrichten innerhalb sozialer Medien auf die Meinungsbildung der Öffentlichkeit haben kann, zeigt sich dagegen drastisch im US-amerikanischen Präsidentschaftswahlkampf. Indizien sprechen auch hier für eine staatliche Steuerung aus Russland; insoweit war der Versuch einer Beeinflussung des französischen Wahlkampfes durch vermutlich russische Cyberakteure ein nicht unerwartetes Szenario.

Zur Abwehr von Versuchen staatlicher Akteure, über klassische und webbasierte Medien auf die Innenpolitik eines Landes politischen Einfluss zu nehmen – gerade im Vorfeld der deutschen Bundestagswahl –, setzt das BfV neben der Aufklärung von Cyberangriffen und Angriffsversuchen auch auf Sensibilisierungsmaßnahmen gegenüber Politik, Medien und Öffentlichkeit, um das Bewusstsein für das Gefährdungspotenzial solcher Aktivitäten zu schärfen und mögliche Schäden zu minimieren.

Zurück zum Inhaltsverzeichnis des BfV-Newsletters Nr. 2/2017

Herausgeber: Bundesamt für Verfassungsschutz
Stand: Juni 2017

Druckansicht

Gebäude 2

Hinweistelefon gegen Extremismus und Terrorismus 0221/792-6000

Hinweistelefon gegen Extremismus und Terrorismus 0221/792-6000
  • Gemeinsam stark für unsere Sicherheit Details
  • Güvenliğimiz İçin Hep Beraber Daha Güçlüyüz Ayrıntılar
  • لندافع سويا وبصورة قوية عن أمننا وسلامتنا التفاصيل

Publikationen

Verfassungsschutzbericht Brandenburg 2019 – Pressefassung

Verfassungsschutzbericht Brandenburg 2019 – Pressefassung

Stand: September 2020
Weitere Informationen
Verfassungs­schutz­bericht Bremen 2019

Verfassungs­schutz­bericht Bremen 2019

Stand: Juli 2020
Weitere Informationen
Verfassungsschutz­bericht 2019, Fakten und Tendenzen (Kurz­zusammen­fassung)

Verfassungsschutz­bericht 2019, Fakten und Tendenzen (Kurz­zusammen­fassung)

Stand: Juli 2020
Weitere Informationen Download PDF-Datei
Verfassungsschutz­bericht 2019

Verfassungsschutz­bericht 2019

Stand: Juli 2020
Weitere Informationen Download PDF-Datei
Verfassungsschutz­bericht Rheinland-Pfalz 2019

Verfassungsschutz­bericht Rheinland-Pfalz 2019

Stand: Mai 2020
Weitere Informationen
Verfassungsschutz­bericht Berlin 2019

Verfassungsschutz­bericht Berlin 2019

Stand: Mai 2020
Weitere Informationen
Verfassungs­schutz­bericht Sachsen-Anhalt 2019 – Pressefassung

Verfassungs­schutz­bericht Sachsen-Anhalt 2019 – Pressefassung

Stand: Juli 2020
Weitere Informationen
Verfassungsschutzbericht Nordrhein-Westfalen 2019

Verfassungsschutzbericht Nordrhein-Westfalen 2019

Stand: Juni 2020
Weitere Informationen