Heft 1/2018 - Netzteil

„Russische Hacker“

Abriss über ein weltweit Verwirrung stiftendes Phänomen

Herwig G. Höller

Die rechte Aktivistin Marija Katassonowa, die sich während des US-amerikanischen Wahlkampfs in Russland als glühende Anhängerin von Donald Trump positionierte, macht sich in einem Musikvideo über das Bild des allgegenwärtigen „russischen Hackers“ lustig
https://www.youtube.com/watch?v=qjkPJ_RTQUM

Mit Veröffentlichungen auf einer obskuren Internetseite am 14. Juni 2016 hatte alles begonnen, sukzessive Publikationen von Interna des Democratic National Committee (DNC) auf der Enthüllungsplattform Wikileaks setzten in Folge die Präsidentschaftskampagne der demokratischen Spitzenkandidatin Hillary Clinton gehörig unter Druck.
Die Seite der Erstveröffentlichung, DCleaks.com, war im April 2016 bei einem Internetprovider im rumänischen Craiova registriert worden, und auch ein selbst erklärter „einsamer Hacker“ namens „Guccifer 2.0“, der sich am 15. Juni 2016 auf wordpress.com in einem Bekennerschreiben erstmals zu Wort meldete, betonte sofort seine rumänische Herkunft. Nicht nur, dass sich das Pseudonym auf den seit Januar 2014 inhaftierten Rumänen Marcel Lazăr Lehel alias „Guccifer“ bezog, versuchte „Guccifer 2.0“, wenige Tage nach seinem Geständnis in einem Interview mit dem US-amerikanischen Online-Medium VICE Motherboard auch in der Sprache seiner vermeintlichen Heimat zu antworten.1 Rumänische Muttersprachler konnte er damit nicht überzeugen, und auch sein eigentümliches Englisch zeigte eher Interferenzen mit dem Russischen.2
Nahezu zeitgleich mit dem Bekanntwerden des Leaks hatte auch der im Auftrag der US-Demokraten agierende Dmitri Alperovitch von der US-Computersicherheitsfirma Crowdstrike seine Analyse veröffentlicht. Zwei seit längerer Zeit aktive russische Hackergruppen, Cozy Bear und Fancy Bear, hätten, ohne von den Versuchen der jeweils anderen Gruppe zu wissen, in die DNC-Server eingebrochen. „Beide Gegner beschäftigen sich zugunsten der Regierung der Russischen Föderation mit umfangreicher politischer sowie wirtschaftlicher Spionage, beide gelten als eng mit den effektiven Geheimdiensten der russischen Regierung verbunden“3, schrieb der Experte.
In Übereinstimmung mit späteren Erklärungen von US-Geheimdiensten4 betonte Alperovitch auch, dass Fancy Bear für die Datenabschöpfung verantwortlich sei und diese Gruppe in Verbindung mit der Hauptaufklärungsabteilung (GRU) des russischen Generalstabs5 stehe. Cozy Bear ordnete er dem russischen Inlandsgeheimdienst FSB oder dem russischen Auslandsgeheimdienst SWR zu – beide verstehen sich als Nachfolgeorganisationen des sowjetischen KGB.
Freilich, einen einhelligen Konsens über die Urheberschaft des DNC-Hacks gibt es nicht. Der Sprecher der Ukrainian Cyber Alliance und unabhängige Informationssicherheitsexperte Sean Townsend, der – wie in der Hackerbranche üblich – unter einem Pseudonym auftritt, kann sich zwar vorstellen, dass russische Militärs geholfen haben, insgesamt macht er jedoch den FSB verantwortlich. „Ich bin überzeugt, dass der FSB und von ihm bezahlte oder angeworbene kriminelle Hacker die Hauptrolle spielen“6, erklärte er und verwies auf einen seiner Ansicht nach7 fehlerhaften Bericht von Crowdstrike in Bezug auf angeblich von Fancy Bear gehackte ukrainische Artilleriesysteme.8 Der GRU habe sich mit dem Hacker-Underground stets schwergetan, während der FSB schon seit Ende der 1990er-Jahre Kontakte zu Hackern geknüpft habe, betonte der Ukrainer.
Ob ausgerechnet die Veröffentlichung teils peinlicher Wahlkampfinterna Hillary Clinton letztlich den Wahlsieg im November 2016 gekostet und Donald Trump zum US-Präsidenten gemacht hat oder ob andere Faktoren entscheidender waren, wird sich wohl nie mehr klären lassen. Unbestritten ist, dass sich „russische Hacker“ innerhalb von wenigen Wahlkampfwochen in ein bedrohliches Phänomen von globalem Ausmaß verwandelten und damit an westliche KGB-Klischees aus Zeiten des Kalten Kriegs erinnern. Eine tatsächliche oder auch bloß imaginierte Wirkungsmacht der „russischen Hacker“ ist dabei nicht von der weltpolitischen Großwetterlage zu trennen, wie sie sich seit der russischen Annexion der ukrainischen Halbinsel Krim im Frühjahr 2014 entwickelt.
Die Genese einer bedingt auch russischen Hackeraffäre lässt sich bis in die Zeiten des Kalten Kriegs zurückverfolgen. Da die Sowjetunion erst im August 1990 mit dem Internet verbunden wurde und aufgrund westlicher Sanktionen Computer rar waren, fehlten im Land zunächst Know-how und Ressourcen, um in ausländische Computer einzudringen. Hilfe in der zweiten Hälfte der 1980er-Jahre kam aber aus der BRD: Eine Hannoveraner Hackergruppe verkaufte für insgesamt 90.000 Mark der sowjetischen Botschaft in Ostberlin Daten aus US-amerikanischen Großrechnern und wurde dafür im Februar 1990 zu Bewährungsstrafen verurteilt. Ein sowjetischer Außenministeriumssprecher bezeichnete im März 1989 Berichte über den Fall als völlig absurd und zeigte sich überzeugt, dass die ganze Affäre in völliger Verwirrung und Ungewissheit enden werde.9 27 Jahre später kommentierte das offizielle Russland den Democratic National Committee-Datendiebstahl in analoger Weise. Andererseits machten sich führende Kreml nahe Propagandisten über ein in US-Medien verbreitetes Bild von nahezu allmächtigen russischen Hackern lustig.10
Freilich war auch schon vor den US-Präsidentschaftswahlen wiederholt über russische Hacker berichtet worden, die inkriminierten Aktivitäten schienen jedoch meist entweder einen nachrichtendienstlichen oder wirtschaftskriminellen Hintergrund zu haben. Und es war keine Rede von im KGB-Jargon sogenannten „aktiwnye meroprijatija“ („aktiven Maßnahmen“), die den Lauf der Geschichte beeinflussen sollten.
Das bislang stärkste Interesse am Suchbegriff „Hacker“ gab es laut Google Trends in den letzten fünf Jahren konkret in zwei Wochen des Jahres 2014.11 So hatten Berichte, wonach laut FBI russische Hacker hinter einem im Sommer dieses Jahres erfolgten Datendiebstahl bei US-Finanzinstitutionen stehen könnten, Ende August 2014 für einen Spitzenwert gesorgt. Wenige Monate zuvor hatten Veröffentlichungen über virtuelle Eindringlinge beim US-amerikanischen E-Mail-Provider Yahoo für großes Interesse gesorgt.
Ende Februar 2017 erhob ein Staatsanwalt aus San Francisco in der Causa Yahoo Anklage: Drei russische Staatsbürger sollen Daten von 500 Millionen Yahoo-E-Mail-Konten gestohlen haben und sich Zugriff auf persönliche Mails von zumindest 6.500 BenutzerInnen verschafft haben.12 Bei den mutmaßlichen Tätern handelt es sich um den „kriminellen Hacker“ Aleksej Belan, der am 29. Dezember 2016 gleichzeitig mit einem russischen Hackerkollegen sowie weiteren GRU-Spitzenvertretern auf die US-Sanktionsliste gesetzt worden war, und um zwei FSB-Offiziere, Dmitri Dokutschajew und Igor Suschtschin.
Während Suschtschin in den Jahren zuvor wahrscheinlich verdeckt für den FSB im Sicherheitsdienst des russischen Oligarchen Michail Prochorow tätig gewesen war, hatte Dokutschajew bereits Schlagzeilen geschrieben: Dieser Offizier des Zentrums für Informationssicherheit des Föderalen Sicherheitsdiensts (ZIB FSB), sein unmittelbarer Vorgesetzter Oberst Sergej Michajlow sowie Ruslan Stojanow vom russischen Antivirensoftwarehersteller Kaspersky Lab und ein praktisch unbekannter Internetunternehmer namens Georgi Fomitschew waren im Dezember 2016 in Russland verhaftet worden (und befanden sich Ende 2017 aller Wahrscheinlichkeit nach immer noch in Untersuchungshaft): Militärstaatsanwälte werfen ihnen Landesverrat vor, der laut spärlichen Medienberichten mit dem Leaken geheimer Informationen an die USA zu tun haben soll.
In einer der umfangreichsten Publikationen zur Causa schrieb Swetlana Rejter am 5. Dezember 2017 im russischsprachigen Online-Medium The Bell, dass die vier Verdächtigen US-amerikanischen Geheimdiensten geholfen hätten, die Beteiligung russischer Hacker am DNC-Hack nachzuweisen.13 Die russische Journalistin verweist auf drei anonyme Bekannte von Michajlow & Co., die unter anderem die Hauptaufklärungsabteilung des russischen Generalstabs als Initiator des russischen Ermittlungsverfahrens gegen die FSB-Mitarbeiter vermuten. Rejter selbst geht wie die US-Behörden von einem Zusammenhang zwischen Fancy Bear und GRU aus, betont aber gleichzeitig, dass unklar sei, auf welcher faktischen Grundlage diese Zuordnung beruhe.
Dokutschajew selbst hatte sich laut Medienberichten unter dem Pseudonym „Forb“ Anfang der 2000er-Jahre selbst als Hacker betätigt und soll seit 2006 hauptamtlich für den FSB arbeiteten. 2005 veröffentlichte er in der russischen Fachzeitschrift Chaker ein Manifest mit dem Titel „Wie werde ich Hacker“: „Hacker sind in meinem Verständnis vielseitig entwickelte Menschen, die sich theoretisch mit Netzwerkfehlern gut auskennen und ihr Wissen auch erfolgreich in der Praxis anwenden. Abgesehen davon muss der Hacker programmieren können, sich gut in zumindest zwei Betriebssystem auskennen wie auch viele Kontakte sowie Einfluss auf andere Computereinbrecher haben.“14
Gerade dieser soziale Aspekt dürfte in der späteren Karriere Dokutschajews von Bedeutung gewesen sein. Medienberichte brachten ihn auch mit der nach der russischen Übersetzung der Alice im Wunderland-Figur Humpty Dumpty benannten Gruppe Schaltaj-Boltaj in Verbindung, deren Mitglieder wenige Wochen vor dem FSB-Offizier verhaftet worden waren. Die Gruppe hatte zwischen 2013 und 2016 private E-Mails russischer Bürokraten und Propagandisten teils zum Verkauf angeboten, teils auch veröffentlicht.
Insbesondere verdankt die russische Öffentlichkeit Schaltaj-Boltaj Einblicke in die Funktionsweise der politisch einflussreichen Kreml-Administration. Die Gruppe legte aber auch Interna über den Petersburger Unternehmer Jewgeni Prigoschin offen, der hinter den im Internet kommentierenden „Trollen von Olgino“ vermutet wird und mit koordinierten Aktivitäten in sozialen Netzwerken versucht haben soll, die öffentliche Meinung in Russland und während der US-Präsidentschaftskampagne auch in den USA zu beeinflussen. Russische Medien sahen diesen Unternehmer wiederholt in einem Naheverhältnis zum GRU.
Irek Murtasin spekulierte am 27. Januar 2017 in der russischen Nowaja Gaseta, dass Dokutschajew von der einflussreichen Kontrollabteilung des FSB verdächtigt würde, mit Mitgliedern von Schaltaj-Boltaj in Kontakt gestanden und sich häufig auch an ihrer „Arbeit“ beteiligt zu haben.15 Swetlana Rejter schrieb hingegen im Dezember 2017 auf The Bell, dass Dokutschajew an der Aufklärung des Kriminalfalls Schaltaj-Boltaj beteiligt gewesen sei und in der Untersuchungshaft sogar als Zeuge der Anklage ausgesagt habe – im Juli 2017 wurden drei Mitglieder der Gruppe in nicht öffentlichen Prozessen zu zwei- bzw. dreijährigen Haftstrafen verurteilt. Ausgehend von der Doppelfunktion des FSB als Geheimdienst und Ermittlungsbehörde ist nicht auszuschließen, dass beide Behauptungen in Bezug auf Dokutschajew stimmen.
Alle bislang bekannten Mosaiksteinchen widersprechen jedenfalls manchen im Westen kultivierten Klischees, die Russland mächtiger und seine Möglichkeiten größer erscheinen lassen, als sie es tatsächlich sind. Naheliegend ist zwar eine staatliche Instrumentalisierung von nur bedingt kontrollierbaren nicht staatlichen Hackern. Das wiederholte Auftauchen derselben Personen in unterschiedlichen Fällen lässt zudem auf eine beschränkte Anzahl von Akteuren schließen. Klar ist aber auch, dass staatliche Akteure in Russland immer denselben Befehlen folgen und mitunter auch heftige Konflikte unter ihnen zu beobachten sind.
„Ich sehe hinter dieser Reihe von Skandalen keine zielgerichtete und organisierte Aktivität, vielmehr erinnert das an Eigeninitiativen von unten, die dann von oben abgesegnet werden. Einen ‚schlauen Plan‘ gibt es dabei nicht“,16 meinte etwa der Ukrainer Townsend. Der DNC-Hack von 2016 reproduzierte jedenfalls jene Mechanismen, die seit 2008 massiv gegen politische Akteure in Russland verwendet wurden: „Guccifer 2.0“ übertrug das lokale Know-how lediglich auf ein internationales Level.
Womöglich ist dieser Fall jedoch erst der Anfang: Zuletzt gab es internationale Spekulationen über einen Russlandbezug der Hackergruppe The Shadow Brokers (TSB), welche die äußerst effiziente Schadsoftware der Equation Group (EG) öffentlich machte. Hinter EG wird seinerseits eine Kooperation des US-amerikanischen Geheimdiensts NSA, des britischen GCHQ und israelischen Partnern vermutet. Der russische Journalist Sergej Dobrynin brachte Ende November 2017 im russischsprachigen Dienst des US-amerikanischen Mediums Radio Liberty die These vor, dass die Quellcodes von NSA-Schadsoftware über den russischen Antivirensoftwarehersteller Kaspersky Lab an The Shadow Brockers gelangt sein könnten.17 Bei Kaspersky Lab, das laut New York Times 2014 seinerseits Opfer eines israelischen Hackangriffs geworden sein soll,18 dementiert man diesen Verdacht kategorisch. Nachdem in den USA Behörden bereits im September 2017 untersagt worden war, Kaspersky-Software zu verwenden, warnte im Dezember 2017 auch die zuständige GCHQ-Unterabteilung britische Behörden vor der Software des russischen Konzerns.

 

 

[1] https://motherboard.vice.com/en_us/article/yp3bbv/dnc-hacker-guccifer-20-full-interview-transcript
[2] http://multaverba.blogspot.ru/2016/07/guccifer-20-russian-not-romanian.html
[3] https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
[4] https://www.dni.gov/files/documents/ICA_2017_01.pdf
[5] Offiziell seit 2010 Hauptabteilung des Generalstaats der russischen Streitkräfte und daher mittlerweile eigentlich „GU“. Die traditionelle Bezeichnung des Militärgeheimdiensts (Hauptaufklärungsabteilung) und die Abkürzung „GRU“ werden jedoch in Medien weiterhin verwendet.
[6] Sean Townsend, Chat mit dem Autor, 4. und 5. Dezember 2017.
[7] https://blog.informnapalm.org/fancy-fail/
[8 https://www.crowdstrike.com/wp-content/brochures/FancyBearTracksUkrainianArtillery.pdf
[9] „Spionagefall belastet Beziehungen zwischen den Supermächten“, Austria Presse Agentur, 10. März 1989.
[10] TV-Sender „5“ (St. Petersburg): „Auf der Suche nach russischen Hackern“, Wochenüberblick vom 8. bis 15. Januar 2017; http://www.5-tv.ru/glavnoe/broadcasts/509360/634/; TV-Sender „Rossija 1“ (Moskau): „Sonntagabend mit Wladimir Solowjow“, 26. Februar 2017; https://www.youtube.com/watch?v=0ZBv1AF2-9o.
[11] https://trends.google.com/trends/explore?date=today%205-y&q=hacker
[12] https://www.justice.gov/opa/pr/us-charges-russian-fsb-officers-and-their-criminal-conspirators-hacking-yahoo-and-millions
[13] https://thebell.io/kak-amerika-uznala-o-russkih-hakerah/
[14] Dmitri Dokutschajew alias Forb, „Wie werde ich Hacker“, in: Chaker Nr. 77 (2015), S. 65–68.
[15] https://www.novayagazeta.ru/articles/2017/01/27/71314-mayor-forb-i-est-shaltay-boltay
[16] Sean Townsend, Chat mit dem Autor, 4. Dezember 2017.
[17] https://www.svoboda.org/a/28862408.html
[18] https://www.nytimes.com/2017/10/10/technology/kaspersky-lab-israel-russia-hacking.html