• Politik
  • Russischer Militärgeheimdienst GRU

Hackerangriff auf Chemiewaffengegner vom Parkplatz aus

Niederländischer Militärgeheimdienst präsentiert detaillierte Erkenntnisse / Strategiewechsel westlicher Staaten zu Aufdeckung und Anprangern von GRU-Aktivitäten

  • Moritz Wichmann
  • Lesedauer: 6 Min.
Die vier russischen Hacker und ein Mitarbeiter der russischen Botschaft bei der Einreise am 10. April auf dem Flughafen Schiphol in Amsterdam.
Die vier russischen Hacker und ein Mitarbeiter der russischen Botschaft bei der Einreise am 10. April auf dem Flughafen Schiphol in Amsterdam.

Einer der vier Männer war offenbar schlampig. Er hatte vergessen eine Taxi-Quittung entsorgen, für eine Fahrt von einer Straße nahe des russischen Militärgeheimdienstes GRU zum Moskauer Sheremetievo Flughafen, datiert auf den 10. April 2018. An diesem Tag flogen vier russische Männer nach Amsterdam. Fotos, die die niederländischen Behörden am Donnerstag veröffentlichten, sollen die Ankunft der vier Männer mit den schwarzen und beigen Jacken und Rollkoffern am Flughafen Schiphol zeigen, begleitet von einem russischen Botschaftsangehörigen. Mit Diplomatenpässen reisten die Geheimdienstmänner Alexey M., Oleg S., Evgenii S. und Aleksei M. zu ihrer Mission an: einen Hackerangriff auf die Organisation für das Verbot von Chemiewaffen OPCW mit Sitz in Den Haag.

Das zumindest sagt das niederländische Verteidigungsministerium. Bei einer Pressekonferenz präsentierten die Geheimdienstler die Erkenntnisse des »Militaire Inlichtingen- en Veiligheidsdienst«, inklusive Fotos der Diplomatenpässe der mutmaßlichen russischen Agenten – zwei davon mit fortlaufenden Nummern. Der niederländische Militärgeheimdienst beobachtete die Männer mit den Diplomatenpässen demnach und griff drei Tage später zu.

Da hatte die Gruppe einen Citroen auf dem Parkplatz des Marriot Hotels geparkt, so nahe wie möglich in Richtung des angrenzenden Gebäudes: Das Hauptquartier der OPCW. Das begann zu der Zeit seine Untersuchungen zum Fall Skripal und zu Giftgaseinsätzen im syrischen Duma. Die Verhaftung der Männer durch die niederländischen Behörden erfolgte demnach, als diese das Abhör-Spezialequipment in ihrem Mietwagen aktivieren wollten. Der stand gerade in Reichweite des Wlan-Netzwerkes der UN-Organisation.

»Sie nehmen die Niederlande ins Ziel, weil hier viele internationale Organisationen sitzen«, erklärte ein Vertreter des niederländischen Verteidigungsministeriums. Doch man wolle nicht zulassen, das deren Arbeit »gestört« werde. Aus Protest dagegen wurde der russische Botschafter in den Niederlanden einbestellt.

In der Vergangenheit hatte sich die Cyberabwehr westlicher Staaten eher bedeckt gehalten und nur allgemeine Anschuldigungen erhoben. Laut staatsnahen Sicherheitsexperten geschah dies, um den Stand der eigenen Ermittlungen nicht zu verraten, laut Kritikern, weil an den Vorwürfen nichts dran sei und mit vagen Andeutungen Stimmungsmache und Zitierkartelle betrieben würden. Nun scheint es einen Taktikwechsel gegeben zu haben, hin zur Präsentation umfangreicher Indizien und dem Versuch, einzelne Agenten oder Einheiten zu stören. »Wir werden ihre Methoden offenlegen, der GRU kann nur im Schatten erfolgreich arbeiten«, erklärte ein britischer Offizieller.

Im aktuellen Fall wurden deswegen im Zuge der Abwendung von der geheimen Spionjagd hin zu einer Prangertaktik die vier mutmaßlichen Agenten mit Namen genannt, Fotos ihrer Pässe veröffentlicht und Ermittlungsergebnisse detailliert präsentiert. Die Männer seien Teil der GRU Einheit 26165 – die sei identisch mit APT 28. Letzteres ist einer der Namen, die die Hackergruppe »Fancy Bear« benutzt. Sicherheitsexperten und westliche Geheimdienstler sehen diese als mindestens staatsnah, wenn nicht direkt aus der GRU gesteuert, es gibt zahlreiche Indizien, aber keine Beweise das sie aus Russland operiert.

Eine andere Gruppe »sandworm« habe im März das britische Außenministerium angegriffen, erklärten die Briten zudem am Donnerstag und veröffentlichten eine Liste von 12 Hackergruppen-Namen, hinter denen laut dem National Cyber Security Centre des britischen Geheimdienstes GCHQ der russische Militärgeheimdienst steht und zusätzlich eine achtseitige Dokumentation mit Indizien zu und Erkenntnissen über das Vorgehen von APT 28.

Am Donnerstagnachmittag erklärte auch das US-Justizministerium sieben weitere GRU-Agenten wegen Cyberangriffen auf Computernetzwerke, Identitätsdiebstahl und Geldwäsche anzuklagen, unter anderem wegen des Angriffs auf die US-Dopingbehörde und eine Kraftwerksfirma in Pennsylvania. Die Firma Westinghouse Electric Company hatte Kraftwerke in der Ukraine mit Sicherheitstechnik beliefert. »Wir sind nicht damit zufrieden, nur ihr Vorgehen aufzudecken, wir wollen sie verhaften, vor Gericht stellen und sie ins Gefängnis bringen«, erklärte Scott Bradley, US-Staatsanwalt im Bezirk Pennsylvania.

Schon im Juli hatten die FBI-Ermittler um Robert Mueller 12 mutmaßliche GRU-Agenten wegen des Hackens der Demokraten vor der US-Wahl 2016 angeklagt. Kanada, Australien, die EU und die NATO schlossen sich am Donnerstag dem koordinierten westlichen Vorgehen gegen den GRU an und machten Russland offiziell für diverse Cyberangriffe, etwa auf den Bundestag 2015, auf einen britischen TV Sender sowie einen Flughafen in der Ukraine, verantwortlich und verurteilten diese. Auch die Bundesregierung schloss sich dem am Freitagmittag an. Man gehe mit »an Sicherheit grenzender Wahrscheinlichkeit« davon aus, dass hinter APT28 der russische Militärgeheimdienst GRU stecke, erklärte Regierungssprecher Steffen Seibert. Nach Großbritannien, den Niederlanden, Estland und Dänemark erklärten sich am Donnerstag auch die USA bereit, der NATO nationale Fähigkeiten zur Verfügung zu stellen.

Das russische Außenministerium erklärte, die Briten hätten keine Beweise für ihre Anschuldigungen. »Hier wird einfach alles vermischt: GRU, Cyperspione und Kremlhacker. Das ist einfach eine Parfümmischung aus der Hölle«, sagte Außenamtssprecherin Maria Sacharowa in einer Anspielung auf die Angaben britischer Ermittler, wonach das Nowitschok-Gift von Salibury in einer Duft-Probe transportiert worden sei.

»Die Gegenreaktion der USA, von Großbritannien und den Niederlanden ist Teil der neuen Strategie koordinierter Zurechnung von Cyberangriffen«, sagt Sven Herpig. Er forscht für die Stiftung Neue Verantwortung zu Cyber-Sicherheit und hat vorher für das Bundesamt für Informationstechnik gearbeitet. Die Ausweisung von Diplomaten, wie sie auch im Fall der vier Russen erfolgte, sei »derzeit als Vergeltung beliebt«, beobachtet Herpig.

Das passierte auch mit den vier GRU-Agenten, sie wurden von den Niederlanden nicht verhaftet, wie es die USA wollen, sondern nach Moskau abgeschoben. Sie hatten bei ihrer Verhaftung angegeben, in den Niederlanden Urlaub zu machen. Laut niederländischem Militärgeheimdienst führten sie mehr als 20.000 Euro und 20.000 US-Dollar in bar bei sich - und elf Handys und Smartphones. Die Sim-Karte eines der Mobiltelefone wurde laut den Untersuchungen der Ermittler am Vortag in der Nähe des GRU-Hauptquartiers in Moskau aktiviert. Auf den Geräten und den Laptops der Gruppe fanden die Ermittler Hinweise auf weitere internationale Spionageaktivitäten und das was Experten »close access hacking« nennen – das Hacken nicht über das Internet, etwa aus Moskau, sondern das direkte physische Eindringen in Netzwerke vor Ort.

Die Spuren führen offenbar nach Malaysia und Attacken auf die dortige Polizei und Staatsanwaltschaft und deren Untersuchung von Flug MH-17. 2016 war offenbar einer der Laptops der Gruppe in ein Wlan Netzwerk eines Hotels in Lausanne eingeloggt, in dem eine Konferenz der Weltantidopingagentur WADA stattfand, bei der es Hackerangriffe auf Teilnehmer gab. Auch in Brasilien war die Gruppe oder zumindest Teile von ihr offenbar aktiv und stahl dort offenbar erfolgreich mit einem »close access hack« die Login-Daten eines WADA-Offiziellen und erbeutete so Dokumente zu Doping-Untersuchungen amerikanischer Athleten, die anschließend gezielt an die Presse »geleakt« wurden.

Offenbar wollten die vier GRU-Männer nach ihrem Hack am 13. April in die Schweiz weiterreisen. Bei der Festnahme fanden die niederländischen Geheimdienstler auch Zugtickets nach Basel, Ausdrucke von Google Maps von russischen Konsulaten in Bern und Genf. Online hatten die Männer offenbar nach dem Spiez-Labor nahe Bern gesucht. Die auf chemische Kampfstoffe spezialisierte Schweizer Einrichtung untersuchte zu dieser Zeit das Nervengift, das den russischen Ex-Geheimdienstler Sergej Skripal in Großbritannien vergiftet hatte.

Das »nd« bleibt. Dank Ihnen.

Die nd.Genossenschaft gehört unseren Leser*innen und Autor*innen. Mit der Genossenschaft garantieren wir die Unabhängigkeit unserer Redaktion und versuchen, allen unsere Texte zugänglich zu machen – auch wenn sie kein Geld haben, unsere Arbeit mitzufinanzieren.

Wir haben aus Überzeugung keine harte Paywall auf der Website. Das heißt aber auch, dass wir alle, die einen Beitrag leisten können, immer wieder darum bitten müssen, unseren Journalismus von links mitzufinanzieren. Das kostet Nerven, und zwar nicht nur unseren Leser*innen, auch unseren Autor*innen wird das ab und zu zu viel.

Dennoch: Nur zusammen können wir linke Standpunkte verteidigen!

Mit Ihrer Unterstützung können wir weiterhin:


→ Unabhängige und kritische Berichterstattung bieten.
→ Themen abdecken, die anderswo übersehen werden.
→ Eine Plattform für vielfältige und marginalisierte Stimmen schaffen.
→ Gegen Falschinformationen und Hassrede anschreiben.
→ Gesellschaftliche Debatten von links begleiten und vertiefen.

Seien Sie ein Teil der solidarischen Finanzierung und unterstützen Sie das »nd« mit einem Beitrag Ihrer Wahl. Gemeinsam können wir eine Medienlandschaft schaffen, die unabhängig, kritisch und zugänglich für alle ist.