Blaues Newsletter-Icon auf einer Tastatur

BfV-Newsletter Nr. 3/2016 - Thema 11

Cyberspionage als Mittel für Einflussoperationen

Am 14. Juni 2016 berichtete die amerikanische Tageszeitung Washington Post über einen erfolgreichen Cyberangriff auf das Netzwerk des Democratic National Committee (DNC), der Russland zuzurechnen sei. Eine mögliche Kompromittierung des Netzwerkes wurde bereits im April 2016 seitens des DNC festgestellt.

Um die Infektion zu beheben und den Vorfall aufzuklären, beauftragte das DNC das US-amerikanische IT-Sicherheitsunternehmen CrowdStrike. Aufgrund der politischen Brisanz des Vorfalls entschloss sich das DNC zu einer Veröffentlichung des Untersuchungsberichts.

Den Angreifern gelang die Exfiltration von internen E-Mails und Dokumenten des DNC. Unter anderem wurde laut Washington Post ein Dossier über den republikanischen Präsidentschaftskandidaten Donald Trump kopiert.

Die Analyse der kompromittierten Systeme durch CrowdStrike ergab Hinweise auf die russischen Angriffskampagnen APT 28 und APT 29.
APT 28 habe das Netzwerk erst im April 2016 infiltriert, während sich APT 29 bereits im Sommer 2015 Zugang zum System des DNC verschafft habe. CrowdStrike geht davon aus, dass diese beiden Gruppen unabhängig und unwissentlich voneinander agierten, da kein gemeinsames Handlungsmuster erkennbar sei und mitunter die gleichen Daten parallel exfiltriert worden seien.

Am 15. Juni 2016 bekannte sich ein angeblicher Hacker mit dem Pseudonym „Guccifer 2.0“ zu dem Angriff auf das DNC und veröffentlichte interne Dokumente (u. a. das Dossier über Donald Trump) aus dem Angriff auf einem an diesem Tag erstellten WordPress-Blog. Die Dokumente wurden zudem über verschiedene File-Sharing-Seiten verteilt.

„Guccifer 2.0“ beansprucht in seinem Posting die alleinige Urheberschaft für den Angriff und verspottet die Analysen von CrowdStrike. Das Posting ist in einem fehlerhaften Englisch und sehr emotionaler bis stellenweise vulgärer Sprache verfasst. Die persönlichen Motive für den angeblichen Hack werden durch die Behauptungen von „Guccifer 2.0“ nicht deutlich. So spricht er am Ende seines Postings von einer angeblichen „Verschwörung der Illuminaten“, ohne diese weiter zu erklären oder einen konkreten Zusammenhang zu dem Angriff auf das DNC herzustellen.

Zudem gibt „Guccifer 2.0“ an, einen Großteil der entwendeten Daten an Wikileaks übermittelt zu haben. Die Enthüllungsplattform werde die Dokumente bald veröffentlichen.

Angesichts der von „Guccifer 2.0“ aufgestellten Behauptungen entschloss sich CrowdStrike, die aus dem Angriff auf das DNC erhobenen technischen Parameter mit den beiden US-amerikanischen Konkurrenzunternehmen Mandiant und Fidelis zu teilen und diese noch einmal unabhängig analysieren zu lassen. Beide Unternehmen schlossen sich dem Untersuchungsergebnis von CrowdStrike an und ordneten die Infektion ebenfalls den Kampagnen APT 28 und APT 29 zu. Ein Sprecher von CrowdStrike selbst wertete die Aktivitäten von „Guccifer 2.0“ daraufhin als mögliche russische Desinformationskampagne.

Am 18. Juni 2016 veröffentlichte „Guccifer 2.0“ Dokumente mit Listen von Spendern an die Demokratische Partei sowie interne Finanzberichte der US-Demokraten.

Am 30. Juni gab „Guccifer 2.0“ unter dem WordPress-Posting („FAQ from Guccifer 2.0“) einige Informationen zu seiner Person preis. Er befinde sich derzeit in Osteuropa und sehe sich selbst in der Tradition bekannter Whistleblower wie Edward Snowden oder Julian Assange. Abermals zog er die durch CrowdStrike erfolgte Zuordnung des Angriffs auf das Netzwerk des DNC zu APT 28 und APT 29 ins Lächerliche.

Am 22. Juli 2016, drei Tage vor dem Nominierungsparteitag der US-Demokraten, wurden über 19.000 interne E-Mails des DNC auf Wikileaks veröffentlicht. Die E-Mails belasteten die Parteiführung, da sich diese ausweislich des veröffentlichten Mailverkehrs schon vor der offiziellen Nominierung von Hillary Clinton als Präsidentschaftskandidatin gegen deren parteiinternen Konkurrenten Bernie Sanders eingesetzt hatte. Als Folge des Skandals erklärte die Parteivorsitzende Debbie Wasserman Schultz am 24. Juli 2016 ihren Rücktritt. Die geleakten E-Mails belasteten den Nominierungsparteitag in Philadelphia (USA) und vertieften die Gräben zwischen den Anhängern von Clinton und Sanders. Die Affäre hat dem Wahlkampf der Demokraten, der sich auf Hillary Clinton als nominierte Präsidentschaftskandidatin stützt, mindestens kurzfristig deutlichen politischen Schaden zugefügt.

Staatsnahe russische Medien bezweifeln eine Verwicklung russischer Nachrichtendienste in den Angriff auf das DNC. Medien wie die Fernsehsender Russia Today oder Sputnik News bekräftigten darüber hinaus die These einer alleinigen Täterschaft von „Guccifer 2.0“.

APT 28 und APT 29

APT 28 und APT 29 sind langjährige Cyberspionageoperationen mit internationalem Ausmaß, bei denen verschiedene Indizien auf eine Urheberschaft russischer Nachrichtendienste hinweisen. Insbesondere die Kampagne APT 28 stellt derzeit eine der aktivsten und aggressivsten russischen Angriffsoperationen im virtuellen Raum dar. Auch der schwerwiegende und weitreichende Cyberangriff auf das interne Netz des Deutschen Bundestages, der im Mai 2015 aufgedeckt wurde, wird diesem Angreifer zugerechnet.

Eine Infektion des Netzwerkes des DNC sowohl durch APT 28 als auch durch APT 29 wird aufgrund der voneinander unabhängigen Untersuchungen durch gleich drei renommierte IT-Sicherheitsunternehmen als sehr wahrscheinlich bewertet.

„Guccifer 2.0“ behauptet, als einzelner Hacker den Angriff verübt zu haben. Anders als er jedoch in seinem Blog angibt, können die zu den Angriffskampagnen APT 28/​29 bekannte Schadsoftware und die darin hardcodierten Rückmeldewege nur unter erheblichen Schwierigkeiten von einem einzelnen Hacker gegen den Willen der ursprünglichen Urheber übernommen werden. Vielmehr werden sie nach hiesigem Kenntnisstand bisher exklusiv von den ursprünglichen APT 28- und APT 29-Angreifern eingesetzt.

Analysen der Cyberabwehr des BfV zu veröffentlichten Parametern ergaben Überschneidungen zu bereits bekannter Infrastruktur von APT 28.

Mit Blick auf den Ressourcenaufwand und Belange der operativen Sicherheit ist ein zeitgleicher Angriff auf ein Netzwerk durch zwei Angriffskampagnen, die unterschiedlichen russischen Nachrichtendiensten zugeordnet werden, eigentlich nicht zielführend. Aufgrund der bestehenden Konkurrenzsituation zwischen den russischen Nachrichtendiensten erscheint dieses Szenario jedoch trotzdem plausibel.

Authentizität und Ursprung der geleakten Dokumente und E-Mails

Die geleakten Dokumente und E-Mails scheinen größtenteils authentisch zu sein und stammen wohl tatsächlich aus dem internen Netzwerk des DNC. Hierfür sprechen mehrere Umstände, insbesondere der Rücktritt von Wasserman Schultz, ein fehlendes Dementi und die Entschuldigung gegenüber den Anhängern von Bernie Sanders. Nicht auszuschließen ist jedoch, dass einzelne Dokumente gezielt vom Angreifer manipuliert wurden.

Hinweise auf eine „False Flag“-Operation „Guccifer 2.0“

Verschiedene IT-Sicherheitsunternehmen wiesen auf große Ungereimtheiten zur Person „Guccifer 2.0“ hin. Es bestehen inzwischen starke Zweifel an der Existenz eines unabhängigen Hackers „Guccifer 2.0“.

So variiert das Englisch in den Postings von „Guccifer 2.0“ teils erheblich im Niveau. Dies könnte darauf hindeuten, dass hinter dem Pseudonym „Guccifer 2.0“ nicht eine Person, sondern eine Personengruppe steht. Einem Mitarbeiter des Wissenschaftsportals Motherboard Vice soll es gelungen sein, mit einer Person hinter „Guccifer 2.0“ per Chat in Kontakt zu treten. In diesem Gespräch soll der angebliche Hacker angegeben haben, Rumäne zu sein. Als er aber aufgefordert wurde, in Rumänisch zu antworten, gelang ihm dies nur mit erheblichen sprachlichen Fehlern.

Auch die unglaubwürdigen Aussagen des vermeintlichen Hackers zu informationstechnischen Themen sprechen dafür, dass der angeblich einzelne Hacker „Guccifer 2.0“ lediglich ein Konstrukt zur Ablenkung der Öffentlichkeit von der tatsächlichen Urheberschaft des Angriffs ist. So spricht dieser beispielsweise von „trojan-like viruses“. Trojaner und Viren sind jedoch unterschiedliche Typen von Schadsoftware. Eine Person mit vertieftem IT-Sachverstand, noch dazu ein Hacker, würde diese Termini sehr wahrscheinlich nicht auf diese Weise verwenden.

Zudem gab „Guccifer 2.0“ an, er sei über eine zuvor noch unbekannte Schwachstelle, einen sogenannten Zero-Day-Exploit, der vom DNC genutzten Software „NGP VAN VoteBuilder“ eingedrungen. Diese Sicherheitslücke habe er selbst mit öffentlich verfügbaren Tools über ein sogenanntes Reverse Engineering – also die Aufbereitung und Zerlegung von Software zur Schwachstellenanalyse – aufgeklärt. Laut den Experten von Threat Connect – einem US-amerikanischen IT-Sicherheitsunternehmen – wird dieses Vorgehen aber als unmöglich eingeschätzt, da diese Art von Software nicht über die genannten Tools in der geschilderten Weise auf Sicherheitslücken geprüft werden kann.

Die Fehler und Ungenauigkeiten von „Guccifer 2.0“ bei der Beschreibung von IT-Sachverhalten deuten darauf hin, dass zumindest in der Kommunikation mit der Öffentlichkeit oder Journalisten keine versierten Hacker direkt beteiligt sind. Vielmehr scheint es sich um eine oder mehrere Person(en) zu handeln, der/​denen zwar die grundsätzlichen Fachtermini und Abläufe des „Hackings“ geläufig sind, die aber selbst keine Cyberangriffe durchführen beziehungsweise durchführen könnten.

Bezüge von „Guccifer 2.0“ zu Russland

Eine Analyse von Thomas Rid, Professor für Sicherheitsstudien am Londoner King’s College, für das Wissenschaftsportal Motherboard Vice ergab Hinweise auf einen Russlandbezug von „Guccifer 2.0“: Einige der geleakten Dokumente sind mit russischen Spracheinstellungen modifiziert worden. Aus den Metadaten konnte der Bearbeiter des Dokuments mit der kyrillischen Kennung „Феликс Эдмундович“ („Felix Edmundovich“) identifiziert werden. Dies ist wahrscheinlich ein Verweis auf den Gründer der sowjetischen Geheimpolizei Tscheka, Felix Edmundovich Dzerzhinsky. Nachdem dies in der Öffentlichkeit bekannt wurde, änderten die Urheber die Metadaten entsprechend.

Fazit

Die Veröffentlichung der entwendeten internen E-Mails des DNC kurz vor dem Nominierungsparteitag der Demokraten und der damit verbundene politische Schaden für den Wahlkampf der demokratischen Präsidentschaftskandidatin Hillary Clinton deuten auf ein politisches Motiv der Angreifer hin.

Aus verschiedenen Medienberichten lässt sich eine Präferenz der russischen Regierung hinsichtlich einer Präsidentschaft des republikanischen Spitzenkandidaten Donald Trump entnehmen. Eine gezielte Sabotage des Wahlkampfes von Hillary Clinton zugunsten Donald Trumps erscheint deshalb möglich. Es bestehen somit Indizien für eine Cyber-Einfluss-Operation russischer Nachrichtendienste.

Indizien sprechen dafür, dass es sich bei „Guccifer 2.0“ um eine „False Flag“-Operation beziehungsweise um ein „Denial and Deception“-Manöver (etwa: „Leugnung und Täuschung“) des russischen Nachrichtendienstes handeln könnte. „False Flag“-Operationen sind Teil der russischen hybriden Bedrohung und konnten in der Vergangenheit insbesondere bei APT 28 beobachtet werden.

Eine aktive Beeinflussung des Wahlkampfes in einer westlichen Demokratie durch vorangegangene technische Aufklärung und den anschließenden Einsatz der daraus erlangten Erkenntnisse zur Beeinflussung der öffentlichen Meinung würde neben der reinen Spionageaktivität auch eine neue Dimension staatlicher Cyberaktivitäten bedeuten. Auffällig in diesem Fall ist die offensive, auf englischsprachige Adressaten gerichtete Medienberichterstattung wie sie auf Russia Today erfolgte.

Die Möglichkeit besteht, dass sensible Dokumente aus dem Angriff auf das DNC von den Angreifern noch zurückgehalten werden und diese – gezielt kurz vor der Präsidentschaftswahl – lanciert werden mit der Absicht, das Wahlergebnis zugunsten des Angreifers zu beeinflussen.

Mögliche Auswirkungen auf Deutschland

Angesichts der bedeutenden Position der Bundesrepublik innerhalb der Europäischen Union und insbesondere der deutschen Vermittlerrolle bei der Beilegung des Ukraine-Konflikts sind insbesondere die deutsche Politik, Verwaltung und die Bundeswehr einer hohen Gefahr durch Cyberangriffe russischer Nachrichtendienste ausgesetzt. Der Angriff auf den Deutschen Bundestag im Rahmen der Angriffskampagne APT 28 macht deutlich, dass politische Entscheidungsträger im Blickfeld der Angreifer stehen.

Verstärkt wird dieser Eindruck durch den Spear-Phishing-Angriff auf die CDU im Mai dieses Jahres, mit dem versucht wurde, an Logindaten von Parteimitgliedern zu kommen, um deren E-Mailkonten auszuspähen. Auch der in mehreren Wellen im August erfolgte Cyberangriff auf Mitglieder des Bundestags sowie auf verschiedene Parteien, mit dem ebenfalls das Ziel verfolgt wurde, auf die Mailinhalte der Betroffenen Zugriff zu erhalten, schürt diese Befürchtungen.

Vor diesem Hintergrund und mit Blick auf die bevorstehende Bundestagswahl 2017 könnten deshalb auch deutsche Parteien oder Politiker in den Fokus von Einfluss-Operationen russischer Cyberspionagekampagnen geraten sein.

Zurück zum Inhaltsverzeichnis des BfV-Newsletters Nr. 3/2016

Herausgeber: Bundesamt für Verfassungsschutz
Stand: Oktober 2016

Druckansicht

Gebäude 2

Hinweistelefon islamistischer Terrorismus 0221/792-3366

Hinweistelefon islamistischer Terrorismus 0221/792-3366
  • Gemeinsam stark für unsere Sicherheit Details
  • Güvenliğimiz İçin Hep Beraber Daha Güçlüyüz Ayrıntılar
  • لندافع سويا وبصورة قوية عن أمننا وسلامتنا التفاصيل

Publikationen

Verfassungsschutz­bericht 2018

Verfassungsschutz­bericht 2018

Stand: September 2019
Weitere Informationen Download
Verfassungsschutz­bericht 2017

Verfassungsschutz­bericht 2017

Stand: September 2019
Weitere Informationen Download
Verfassungsschutzbericht 2016

Verfassungsschutzbericht 2016

Stand: September 2019
Weitere Informationen Download
Verfassungsschutz­bericht 2018, Fakten und Tendenzen (Kurz­zusammen­fassung)

Verfassungsschutz­bericht 2018, Fakten und Tendenzen (Kurz­zusammen­fassung)

Stand: Juni 2019
Weitere Informationen Download
Verfassungsschutzbericht Brandenburg 2018 – Pressefassung

Verfassungsschutzbericht Brandenburg 2018 – Pressefassung

Stand: Juni 2019
Weitere Informationen
Verfassungsschutz­bericht Rheinland-Pfalz 2018

Verfassungsschutz­bericht Rheinland-Pfalz 2018

Stand: Juni 2019
Weitere Informationen
Verfassungsschutzbericht Hessen 2018

Verfassungsschutzbericht Hessen 2018

Stand: September 2019
Weitere Informationen
Verfassungsschutzbericht Nordrhein-Westfalen 2018

Verfassungsschutzbericht Nordrhein-Westfalen 2018

Stand: Juni 2019
Weitere Informationen
Antisemitismus im Islamismus

Antisemitismus im Islamismus

Stand: Juni 2019
Weitere Informationen Download