• Politik
  • Russischer Militärgeheimdienst GRU

Hackerangriff auf Chemiewaffengegner vom Parkplatz aus

Niederländischer Militärgeheimdienst präsentiert detaillierte Erkenntnisse / Strategiewechsel westlicher Staaten zu Aufdeckung und Anprangern von GRU-Aktivitäten

  • Moritz Wichmann
  • Lesedauer: 6 Min.
Die vier russischen Hacker und ein Mitarbeiter der russischen Botschaft bei der Einreise am 10. April auf dem Flughafen Schiphol in Amsterdam.
Die vier russischen Hacker und ein Mitarbeiter der russischen Botschaft bei der Einreise am 10. April auf dem Flughafen Schiphol in Amsterdam.

Einer der vier Männer war offenbar schlampig. Er hatte vergessen eine Taxi-Quittung entsorgen, für eine Fahrt von einer Straße nahe des russischen Militärgeheimdienstes GRU zum Moskauer Sheremetievo Flughafen, datiert auf den 10. April 2018. An diesem Tag flogen vier russische Männer nach Amsterdam. Fotos, die die niederländischen Behörden am Donnerstag veröffentlichten, sollen die Ankunft der vier Männer mit den schwarzen und beigen Jacken und Rollkoffern am Flughafen Schiphol zeigen, begleitet von einem russischen Botschaftsangehörigen. Mit Diplomatenpässen reisten die Geheimdienstmänner Alexey M., Oleg S., Evgenii S. und Aleksei M. zu ihrer Mission an: einen Hackerangriff auf die Organisation für das Verbot von Chemiewaffen OPCW mit Sitz in Den Haag.

Das zumindest sagt das niederländische Verteidigungsministerium. Bei einer Pressekonferenz präsentierten die Geheimdienstler die Erkenntnisse des »Militaire Inlichtingen- en Veiligheidsdienst«, inklusive Fotos der Diplomatenpässe der mutmaßlichen russischen Agenten – zwei davon mit fortlaufenden Nummern. Der niederländische Militärgeheimdienst beobachtete die Männer mit den Diplomatenpässen demnach und griff drei Tage später zu.

Da hatte die Gruppe einen Citroen auf dem Parkplatz des Marriot Hotels geparkt, so nahe wie möglich in Richtung des angrenzenden Gebäudes: Das Hauptquartier der OPCW. Das begann zu der Zeit seine Untersuchungen zum Fall Skripal und zu Giftgaseinsätzen im syrischen Duma. Die Verhaftung der Männer durch die niederländischen Behörden erfolgte demnach, als diese das Abhör-Spezialequipment in ihrem Mietwagen aktivieren wollten. Der stand gerade in Reichweite des Wlan-Netzwerkes der UN-Organisation.

»Sie nehmen die Niederlande ins Ziel, weil hier viele internationale Organisationen sitzen«, erklärte ein Vertreter des niederländischen Verteidigungsministeriums. Doch man wolle nicht zulassen, das deren Arbeit »gestört« werde. Aus Protest dagegen wurde der russische Botschafter in den Niederlanden einbestellt.

In der Vergangenheit hatte sich die Cyberabwehr westlicher Staaten eher bedeckt gehalten und nur allgemeine Anschuldigungen erhoben. Laut staatsnahen Sicherheitsexperten geschah dies, um den Stand der eigenen Ermittlungen nicht zu verraten, laut Kritikern, weil an den Vorwürfen nichts dran sei und mit vagen Andeutungen Stimmungsmache und Zitierkartelle betrieben würden. Nun scheint es einen Taktikwechsel gegeben zu haben, hin zur Präsentation umfangreicher Indizien und dem Versuch, einzelne Agenten oder Einheiten zu stören. »Wir werden ihre Methoden offenlegen, der GRU kann nur im Schatten erfolgreich arbeiten«, erklärte ein britischer Offizieller.

Im aktuellen Fall wurden deswegen im Zuge der Abwendung von der geheimen Spionjagd hin zu einer Prangertaktik die vier mutmaßlichen Agenten mit Namen genannt, Fotos ihrer Pässe veröffentlicht und Ermittlungsergebnisse detailliert präsentiert. Die Männer seien Teil der GRU Einheit 26165 – die sei identisch mit APT 28. Letzteres ist einer der Namen, die die Hackergruppe »Fancy Bear« benutzt. Sicherheitsexperten und westliche Geheimdienstler sehen diese als mindestens staatsnah, wenn nicht direkt aus der GRU gesteuert, es gibt zahlreiche Indizien, aber keine Beweise das sie aus Russland operiert.

Eine andere Gruppe »sandworm« habe im März das britische Außenministerium angegriffen, erklärten die Briten zudem am Donnerstag und veröffentlichten eine Liste von 12 Hackergruppen-Namen, hinter denen laut dem National Cyber Security Centre des britischen Geheimdienstes GCHQ der russische Militärgeheimdienst steht und zusätzlich eine achtseitige Dokumentation mit Indizien zu und Erkenntnissen über das Vorgehen von APT 28.

Am Donnerstagnachmittag erklärte auch das US-Justizministerium sieben weitere GRU-Agenten wegen Cyberangriffen auf Computernetzwerke, Identitätsdiebstahl und Geldwäsche anzuklagen, unter anderem wegen des Angriffs auf die US-Dopingbehörde und eine Kraftwerksfirma in Pennsylvania. Die Firma Westinghouse Electric Company hatte Kraftwerke in der Ukraine mit Sicherheitstechnik beliefert. »Wir sind nicht damit zufrieden, nur ihr Vorgehen aufzudecken, wir wollen sie verhaften, vor Gericht stellen und sie ins Gefängnis bringen«, erklärte Scott Bradley, US-Staatsanwalt im Bezirk Pennsylvania.

Schon im Juli hatten die FBI-Ermittler um Robert Mueller 12 mutmaßliche GRU-Agenten wegen des Hackens der Demokraten vor der US-Wahl 2016 angeklagt. Kanada, Australien, die EU und die NATO schlossen sich am Donnerstag dem koordinierten westlichen Vorgehen gegen den GRU an und machten Russland offiziell für diverse Cyberangriffe, etwa auf den Bundestag 2015, auf einen britischen TV Sender sowie einen Flughafen in der Ukraine, verantwortlich und verurteilten diese. Auch die Bundesregierung schloss sich dem am Freitagmittag an. Man gehe mit »an Sicherheit grenzender Wahrscheinlichkeit« davon aus, dass hinter APT28 der russische Militärgeheimdienst GRU stecke, erklärte Regierungssprecher Steffen Seibert. Nach Großbritannien, den Niederlanden, Estland und Dänemark erklärten sich am Donnerstag auch die USA bereit, der NATO nationale Fähigkeiten zur Verfügung zu stellen.

Das russische Außenministerium erklärte, die Briten hätten keine Beweise für ihre Anschuldigungen. »Hier wird einfach alles vermischt: GRU, Cyperspione und Kremlhacker. Das ist einfach eine Parfümmischung aus der Hölle«, sagte Außenamtssprecherin Maria Sacharowa in einer Anspielung auf die Angaben britischer Ermittler, wonach das Nowitschok-Gift von Salibury in einer Duft-Probe transportiert worden sei.

»Die Gegenreaktion der USA, von Großbritannien und den Niederlanden ist Teil der neuen Strategie koordinierter Zurechnung von Cyberangriffen«, sagt Sven Herpig. Er forscht für die Stiftung Neue Verantwortung zu Cyber-Sicherheit und hat vorher für das Bundesamt für Informationstechnik gearbeitet. Die Ausweisung von Diplomaten, wie sie auch im Fall der vier Russen erfolgte, sei »derzeit als Vergeltung beliebt«, beobachtet Herpig.

Das passierte auch mit den vier GRU-Agenten, sie wurden von den Niederlanden nicht verhaftet, wie es die USA wollen, sondern nach Moskau abgeschoben. Sie hatten bei ihrer Verhaftung angegeben, in den Niederlanden Urlaub zu machen. Laut niederländischem Militärgeheimdienst führten sie mehr als 20.000 Euro und 20.000 US-Dollar in bar bei sich - und elf Handys und Smartphones. Die Sim-Karte eines der Mobiltelefone wurde laut den Untersuchungen der Ermittler am Vortag in der Nähe des GRU-Hauptquartiers in Moskau aktiviert. Auf den Geräten und den Laptops der Gruppe fanden die Ermittler Hinweise auf weitere internationale Spionageaktivitäten und das was Experten »close access hacking« nennen – das Hacken nicht über das Internet, etwa aus Moskau, sondern das direkte physische Eindringen in Netzwerke vor Ort.

Die Spuren führen offenbar nach Malaysia und Attacken auf die dortige Polizei und Staatsanwaltschaft und deren Untersuchung von Flug MH-17. 2016 war offenbar einer der Laptops der Gruppe in ein Wlan Netzwerk eines Hotels in Lausanne eingeloggt, in dem eine Konferenz der Weltantidopingagentur WADA stattfand, bei der es Hackerangriffe auf Teilnehmer gab. Auch in Brasilien war die Gruppe oder zumindest Teile von ihr offenbar aktiv und stahl dort offenbar erfolgreich mit einem »close access hack« die Login-Daten eines WADA-Offiziellen und erbeutete so Dokumente zu Doping-Untersuchungen amerikanischer Athleten, die anschließend gezielt an die Presse »geleakt« wurden.

Offenbar wollten die vier GRU-Männer nach ihrem Hack am 13. April in die Schweiz weiterreisen. Bei der Festnahme fanden die niederländischen Geheimdienstler auch Zugtickets nach Basel, Ausdrucke von Google Maps von russischen Konsulaten in Bern und Genf. Online hatten die Männer offenbar nach dem Spiez-Labor nahe Bern gesucht. Die auf chemische Kampfstoffe spezialisierte Schweizer Einrichtung untersuchte zu dieser Zeit das Nervengift, das den russischen Ex-Geheimdienstler Sergej Skripal in Großbritannien vergiftet hatte.

Werde Mitglied der nd.Genossenschaft!
Seit dem 1. Januar 2022 wird das »nd« als unabhängige linke Zeitung herausgeben, welche der Belegschaft und den Leser*innen gehört. Sei dabei und unterstütze als Genossenschaftsmitglied Medienvielfalt und sichtbare linke Positionen. Jetzt die Beitrittserklärung ausfüllen.
Mehr Infos auf www.dasnd.de/genossenschaft

Linken, unabhängigen Journalismus stärken!

Mehr und mehr Menschen lesen digital und sehr gern kostenfrei. Wir stehen mit unserem freiwilligen Bezahlmodell dafür ein, dass uns auch diejenigen lesen können, deren Einkommen für ein Abonnement nicht ausreicht. Damit wir weiterhin Journalismus mit dem Anspruch machen können, marginalisierte Stimmen zu Wort kommen zu lassen, Themen zu recherchieren, die in den großen bürgerlichen Medien nicht vor- oder zu kurz kommen, und aktuelle Themen aus linker Perspektive zu beleuchten, brauchen wir eure Unterstützung.

Hilf mit bei einer solidarischen Finanzierung und unterstütze das »nd« mit einem Beitrag deiner Wahl.

Unterstützen über:
  • PayPal