Gefährliche E-Mails Kreml-Hacker greifen deutsche Parteien an
Roter Platz in Moskau
Foto: Natalia Kolesnikova / AFPDieser Artikel gehört zum Angebot von SPIEGEL+. Sie können ihn auch ohne Abonnement lesen, weil er Ihnen geschenkt wurde.
Die vom Kreml gesteuerte Hacker-Gruppierung »Cozy Bear« hat versucht, mehrere deutsche Parteien mit Schadsoftware anzugreifen. Das geht aus einer dem SPIEGEL vorliegenden Analyse der renommierten IT-Sicherheitsfirma Mandiant hervor, die zu Google gehört. Deutsche Sicherheitsbehörden haben wegen des Vorfalls ebenfalls bereits Warnungen verschickt. Im Visier der Angreifer waren nach SPIEGEL-Informationen unter anderem offenbar Mitglieder der CDU, Warnungen gingen an weitere deutsche Parteien.
Den Warnungen zufolge haben die Angreifer seit dem 26. Februar E-Mails mit schadhaften Anhängen verschickt. Die Nachrichten wurden im Namen der CDU versendet und waren als Einladung für ein Abendessen der Partei getarnt, das angeblich am 1. März um 19 Uhr stattfinden sollte. Auch das aktuelle CDU-Logo banden die Angreifer in die E-Mail ein.
So sah die betrügerische E-Mail aus
Foto: Mandiant»Um an der Veranstaltung teilzunehmen, füllen Sie bitte einen Fragebogen aus und senden Sie ihn in den nächsten Tagen per E-Mail«, hieß es in der deutschsprachigen Nachricht. Sogar das passende Outfit war angegeben: »Kleiderordnung: Business-Smart«.
Wer jedoch auf einen der Links in der E-Mail klickte, hätte seinen Rechner mit einer Schadsoftware infiziert.
Wer die E-Mail genau las, konnte jedoch stutzig werden, da sie teils ungelenke Formulierungen enthielt. »Wir freuen uns, Sie zu einem Abendessen der regionalen Repräsentanz des Teils einzuladen«, hieß es darin etwa kryptisch.
Die CDU bestätigte dem SPIEGEL, dass man bereits Hinweise auf den Vorfall erhalten habe. Den in der Mail genannten Anlass habe es nicht gegeben: »Am 1. März gab es kein offizielles Abendessen der CDU, die Veranstaltung war frei erfunden.«
Verfassungsschutz warnt vor Angriff
Nach SPIEGEL-Informationen beschäftigen sich sowohl das Bundesamt für Verfassungsschutz (BfV) als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits mit der Attacke. Gemeinsam verschickten sie eine Warnmeldung in Form eines sogenannten Sensibilisierungsschreibens. Darin heißt es, dass »die Kampagne auf die Etablierung von langfristigen Zugängen zu den Netzwerken der Ziele« aus sei. Es gehe darum, Daten zu stehlen.
Insbesondere angesichts der bevorstehenden Europawahl sei »von einem erhöhten Aufklärungsinteresse fremder Mächte auszugehen, welches sich auch und gerade in Cyberangriffen gegen den politischen Raum niederschlagen kann«.
-
Mutmaßlich aus Russland: Hackerangriff auf E-Mail-Konten der SPD-Zentrale
-
US-Softwarekonzern: Russische Gruppe hackt Microsoft
-
Zugriff auf Softwarecode: Microsoft kämpft mit russischen Hackern
-
»Putins Krieg im Netz«: Wie der Kreml das Internet als Waffe benutzt
-
Putins Cyberkrieger: Der Mann hinter der gefährlichsten Hackergruppe der Welt
Von Max Hoppenstedt, Hakan Tanriverdi, Marcel Rosenbach und Carina Huppertz
-
»Vulkan Files«: Der rätselhafte Agentenjäger im Internet
Bereits am Donnerstag hatte das BSI in einem separaten Schreiben vor »möglichen Hack-and-Leak-Operationen« im Wahljahr 2024 gewarnt. Diese stellten »eine ernsthafte Gefahr für demokratische Wahlen dar«, hieß es darin. Gemeint sind Hacking-Angriffe, bei denen Daten gestohlen werden und dann gezielt im Netz veröffentlicht werden. So war es jüngst etwa mit der Aufnahme eines Gesprächs über Taurus-Lieferungen geschehen, die über russische Propagandakanäle auf Telegram veröffentlicht wurde.
Ob die Empfänger der aktuellen gefälschten E-Mails mit CDU-Logo auf den schädlichen Link geklickt haben, war zunächst nicht bekannt. Der IT-Sicherheitsforscher John Hultquist, Chefanalyst bei Mandiant, sagte dem SPIEGEL, dass er in Zukunft weitere vergleichbare Angriffe aus Russland erwarte: »Das ist nicht das Problem einer einzelnen Partei«, so Hultquist, der die Kampagne analysiert hat. Die Wahlsaison in Europa habe zudem gerade erst begonnen.
Strategiewechsel der Hacker?
Die IT-Experten von Mandiant sprachen in ihrer Untersuchung des Vorfalls zudem von einem auffälligen Strategiewechsel bei »Cozy Bear«. Bisher hätten die Hacker vor allem Regierungsstellen sowie internationale Botschaften angegriffen. Eine Operation gegen Parteien beobachte man zum ersten Mal, heißt es im Mandiant-Bericht.
»Cozy Bear« hatte in der Vergangenheit unter anderem gezielt Forschungseinrichtungen ausgespäht, die Coronaimpfstoffe entwickelten. Experten machen die Gruppe, die auch unter dem Namen APT29 bekannt ist, zudem für Attacken auf die Server der demokratischen Partei vor der US-Wahl 2016 sowie auf westliche Ministerien und Botschaften in unterschiedlichen Ländern verantwortlich. Zuletzt hatte sie im Januar international für Aufsehen gesorgt, als bekannt wurde, dass es ihnen gelungen war, in die E-Mail-Konten wichtiger Microsoft-Mitarbeiter vorzudringen.
Besonders akuter Informationsbedarf
Gesteuert wird die Gruppe laut übereinstimmenden Experteneinschätzungen vom russischen Auslandsnachrichtendienst SWR. »Cozy Bear« lässt sich dabei auch von Hacking-Dienstleistern in Russland unterstützen. So half ein Angestellter des Spionagezulieferers »NTC Vulkan« der Truppe dabei, geheime Informationen aus fremden Behördennetzwerken zu stehlen und mindestens drei westliche Regierungsvertreter zu hacken. Das enthüllte der SPIEGEL im Zuge der »Vulkan Files«-Recherchen über die russische Spionage-Industrie.
»Der SWR hatte schon immer die Aufgabe, Russland dabei zu helfen, die westliche Politik zu verstehen und vorherzusagen«, so John Hultquist, der schon lange die Aktivitäten russischer Staatshacker beobachtet. »Der Bedarf an diesen Informationen ist angesichts des Krieges in der Ukraine und der bevorstehenden Wahlen besonders akut.«
Laut der Analyse der IT-Sicherheitsexperten von Mandiant verwendeten die Angreifer eine neue Schadsoftware mit dem Namen Wineloader. Diese beobachteten die Analysten nach eigenen Angaben erstmals bei Attacken etwa in Indien, Litauen, Tschechien und Deutschland Ende Januar dieses Jahres. Die Schadsoftware sei eine neue Variante von Trojanern, die »Cozy Bear« bereits in der Vergangenheit benutzt hatte.
Ihren Namen hat die Schadsoftware von den Analysten erhalten, da sie bereits Einladungen für Weinproben verschickt hatte. »Veranstaltungen zu benutzen, scheint für die Hacker gut zu funktionieren«, sagt Hultquist.
