Verräterische Schriftzeichen

Von Justus Bender

http://plus.faz.net/evr-editions/2017-05-08/aJa9a2gycFSf5T1UttOVMz7?GEPC=s3

 

Warum die Wahrscheinlichkeit hoch ist, dass die Kampagne Emmanuel Macrons im Internet von Russen angegriffen wurde

 

FRANKFURT, 7. Mai. Eine pannenfreie Operation scheint es für die Hacker nicht gewesen zu sein. Zwar konnten sie zehntausende E-Mails und Dokumente der Mitarbeiter Emmanuel Macrons stehlen – ihre Tarnung aber flog schon am 24. April auf. Der Mitarbeiter einer japanischen Sicherheitsfirma hatte im Internet gefälschte Anmeldeseiten der Macron-Kampagne entdeckt und sie der Hackergruppe Advanced Persistent Threat 28 (APT 28) zuordnen können. Die Nachricht dieser Entdeckung ging um die Welt – und der Datendiebstahl endete schlagartig. Die zweite Panne könnte bei der Verbreitung des Diebesguts passiert sein. Am Freitagabend veröffentlichte ein anonymer Nutzer namens HHjLZq4T in dem Netzwerk 4Chan mehrere Internet-Links zu den erbeuteten Dokumenten und schrieb: „Dies wurde mir heute zugeleitet, also gebe ich es euch, dem Volk.“

 

Dieser Zeitpunkt schien fragwürdig. Einerseits lag er nur dreieinhalb Stunden vor jener Frist, von der an es französischen Politikern verboten ist, Wahlkampf zu betreiben oder auf Vorwürfe zu antworten. Es konnte also eine Überrumpelungstaktik vermutet werden. Andererseits legen Äußerungen von HHjLZq4T und von Mitarbeitern der Enthüllungsplattform Wikileaks einen anderen Verdacht nahe. Als HHjLZq4T im Forum aufgefordert wurde, die Macron-Dateien auch an Wikileaks weiterzugeben, schrieb er: „Es wurde eingereicht, aber die Zeit drängt. Wikileaks benötigt viel Zeit für die Verifizierung und Veröffentlichung.“ Das bei der amerikanischen Präsidentenwahl erprobte Zusammenspiel von APT 28 und Wikileaks hatte offenbar nicht funktioniert. Eine größere Wirkung hätten die Hacker erreicht, wenn sie ihre Beute schon im April an Wikileaks gesendet hätten. Warum sie das nicht getan haben, bleibt unklar.

 

Die Mitarbeiter von Wikileaks wirkten am Freitag jedenfalls auch verwundert über den Zeitpunkt. „Wer profitiert?“, fragten sie in dem Netzwerk Twitter. Die „angebliche Deponierung“ der Daten komme „zu spät“, um die Wahl zu beeinflussen, werde aber „sicherlich die Feindseligkeit gegenüber Russland und die Ausgaben für Geheimdienste befördern“. Mit der „angeblichen Deponierung“ schien die Behauptung von HHjLZq4T gemeint, das Material sei an Wikileaks gesandt worden. Offenbar war es dort aber nie angekommen, andernfalls wäre bei Wikileaks wohl nicht von einer „angeblichen“ Deponierung die Rede gewesen.

 

Die Sorge der Wikileaks-Mitarbeiter um den Leumund Russlands erwies sich im Rückblick als berechtigt. Am Samstag mussten sie zugeben, dass die erbeuteten Daten vor ihrer Veröffentlichung von Computern mit kyrillischen Zeichensätzen bearbeitet worden waren – von Menschen also, die eine slawische Sprache sprechen. „Unklar“ sei, spekulierten die Wikileaks-Mitarbeiter, ob dies „durch Absicht, Inkompetenz oder slawische Mitarbeiter“, etwa Macrons, passiert sei. Einige Stunden später wurden die Indizien jedoch erdrückender. Da teilten die Wikileaks-Mitarbeiter mit, dass eine der gestohlenen Dateien am 27. März von einem Mann namens Roschka Georgij Petrowitsch bearbeitet worden war. Sowohl Wikileaks als auch die Zeitung „New York Times“ bezeichneten Petrowitsch am Wochenende als Mitarbeiter der russischen Sicherheitsfirma Eureka. Im Archiv des russischen Verlages Lenizdat findet sich ein Artikel aus dem Jahr 2003, laut dem Eureka damals vom russischen Inlandsgeheimdienst FSB mit der Sicherung staatlicher Geheimnisse beauftragt worden war. Der Verdacht, hier seien Personen aus dem Umfeld russischer Geheimdienste am Werk gewesen, wurde immer dringender.

 

Feike Hacquebord kann das nicht überrascht haben. Er ist der niederländische Analytiker der Firma Trend Micro, der die Täter im April enttarnt hatte. Seit 2014 beobachtet Hacquebord die Gruppe APT 28 und kennt ihre Handschrift. Die Gruppe nutzt immer die gleichen Sicherheitslücken aus, zwei zum Beispiel, die in Sicherheitskreisen CVE-2015-7645 und CVE-2015-4902 heißen. Sie verwenden auch immer die gleichen Schadprogramme, die Sednit heißen, XAgent oder Sedreco. In der Kombination ähneln diese Eigenschaften einem Fingerabdruck. Die Hacker registrieren auch immer auf die gleiche Weise gefälschte Anmeldeseiten im Internet, zum Beispiel von E-Mail-Anbietern oder politischen Organisationen. Dann schicken sie ihren Opfern gefälschte E-Mails, in denen ein Grund genannt wird, warum diese sich neu anmelden sollen. Fallen die Opfer auf die Täuschung herein, klicken sie auf einen Link in der E-Mail, der sie zu der täuschend echten Anmeldeseite führt. Geben sie dort ihr Passwort ein, lesen die Hacker mit. Im Fall der Macron-Kampagne hieß die gefälschte Internetseite onedrive-en-marche.fr und glich dem Original der Wahlkampfseite Macrons bis in Details. Diese Seite hatte Hacquebord im März auf typischerweise auch von APT 28 genutzten Servern gefunden, zusammen mit gefälschten Anmeldeseiten für die parteinahen Stiftungen von CDU und SPD in Deutschland, die offenbar ebenfalls angegriffen werden sollten.

 

Hacquebords Liste der Taten von APT 28 ist lang, etwa der Hackerangriff auf den Bundestag im Frühjahr 2015 oder der Angriff auf die Kampagne Hillary Clintons im Frühjahr 2016. Auch andere Regierungen von Nato-Staaten, russische Dissidenten, ukrainische Aktivisten, Journalisten und Regierungsvertreter wurden von APT 28 schon angegriffen. Mehr will Hacquebord zu der These, wer hinter APT 28 steckt, nicht sagen. Als Firmenvertreter wolle er nicht über „staatliche Akteure“ sprechen. Die amerikanische Sicherheitsfirma Secure Works, die im Jahr 2016 anhand der von APT 28 in Lock-E-Mails verwendeten Internet-Links eine gleichlautende Liste von Angriffszielen rekonstruiert hatte, scheint weniger Hemmungen zu haben. Angesichts der Frage, wer ein Interesse an der Ausspähung solcher Ziele haben könnte, schrieben ihre Analysten: „die russische Regierung“.