»Ghostwriter«-Kampagne Steckt Belarus hinter Hackingversuch gegen deutsche Abgeordnete?

Vor der Bundestagswahl erhielten zahlreiche Parlamentarier Phishingmails. Die Bundesregierung beschuldigte Russlands Geheimdienst GRU – doch die IT-Sicherheitsfirma Mandiant kommt zu einem anderen Schluss.
Wer steckt hinter den Phishingmails an deutsche Abgeordnete? Mandiant spricht von »kürzlich erlangten technischen Beweisen« (Symbolbild)

Wer steckt hinter den Phishingmails an deutsche Abgeordnete? Mandiant spricht von »kürzlich erlangten technischen Beweisen« (Symbolbild)

Foto: Kacper Pempel / REUTERS

Es war eine ungewöhnlich deutliche Aussage des Auswärtigen Amts: Im September, wenige Wochen vor der Bundestagswahl, machte das Ministerium explizit den russischen Militärgeheimdienst GRU für eine Hackerkampagne gegen deutsche Abgeordnete verantwortlich. Unbekannte hatten versucht, sich mit Phishingmails Zugang zu privaten E-Mail-Konten von Bundestags- und Landtagsabgeordneten zu verschaffen.

»Die Bundesregierung fordert die russische Regierung mit allem Nachdruck auf, diese unzulässigen Cyberaktivitäten mit sofortiger Wirkung einzustellen«, sagte eine Sprecherin damals. Der Generalbundesanwalt begann mit Ermittlungen, etwas später stellten sich die EU-Mitgliedstaaten ausdrücklich hinter die Bundesregierung. Bemerkenswert war der Vorgang, weil es grundsätzlich schwierig ist, derartige Hackingversuche so eindeutig jemandem zuzuschreiben. Die deutschen Behörden dürften also belastbare Beweise gehabt haben.

Umso erstaunlicher, dass die amerikanische IT-Sicherheitsfirma Mandiant die Hintermänner jetzt woanders verortet: in Belarus.

»Technische Beweise aus sensiblen Quellen«

Mandiant, das im Sommer noch Teil des Unternehmens FireEye war, hatte die Hacking- und Desinformationskampagne im Jahr 2020 entdeckt  und »Ghostwriter« genannt. Damals schrieben die Experten selbst noch, »Ghostwriter« liege »auf einer Linie mit russischen Sicherheitsinteressen«. Die Kampagne sollte demnach vor allem Anti-Nato-Erzählungen verbreiten, vornehmlich in Litauen, Lettland und Polen. Dazu hackten die Täter unter anderem seriöse Websites und luden dort erfundene Inhalte hoch. In Polen kaperten sie aber auch den Twitteraccount eines führenden Politikers der regierenden Konservativen und posteten dort Fotos einer Parteifreundin in Unterwäsche – deren Account oder Handy sie offenbar ebenfalls gehackt hatten.

Im April dieses Jahres kamen die Sicherheitsexperten von Mandiant einen Schritt weiter. »Kürzlich erlangte technische Beweise« ließen den Schluss zu, schrieb die Firma , dass »zumindest hinter einigen Teilen der Ghostwriter-Aktivitäten« eine Gruppe mit der Bezeichnung UNC1151 stecke – »eine mutmaßlich staatlich unterstützte Spionagegruppe«. Welcher Staat, blieb unklar.

Was die deutschen Behörden zu dem Schluss brachte, es müsse Russland sein, ist nicht öffentlich bekannt. Warum Mandiant nun auf Belarus tippt, allerdings auch nur in Ansätzen. In einem am Dienstag veröffentlichten Blogpost , den der SPIEGEL vorab zu sehen bekam, bleibt die US-Firma an einer wichtigen Stelle vage. Sie schreibt: »Technische Beweise aus sensiblen Quellen legen nahe, dass sich die UNC1151-Akteure wahrscheinlich in Minsk befinden.« Mehrere Quellen verbänden die Aktivität der Gruppe mit Personen in Belarus, weitere technische Belege legten zudem eine Verbindung von UNC1151 zum belarussischen Militär nahe. Diese Beweise habe Mandiant direkt einholen können, sie seien aber auch von externer Seite bestätigt worden.

Nur welche Beweise das sein sollen, verrät Mandiant nicht, auch nicht auf Nachfrage. Benjamin Read, Leiter der Cyberspionage-Analyse des Unternehmens, sagte dem SPIEGEL lediglich, sie passten zu dem, was die politische Analyse ergeben habe. Jeder möge daraus seine eigenen Schlüsse ziehen. Immerhin: Am Dienstagabend twitterte Shane Huntley , der Chef von Googles Threat Analysis Group, sein Team habe passende Beobachtungen gemacht. Genauer wurde allerdings auch er nicht.

Dass Nachrichtendienste ihre Methoden zur Informationsgewinnung nicht offenlegen, ist nachvollziehbar, schließlich soll niemand Hinweise zur Spionageabwehr erhalten. Dass in diesem Fall aber auch ein IT-Sicherheitsunternehmen derart nebulös bleibt, lässt einerseits auf außergewöhnliche, möglicherweise unbedingt zu schützende Quellen und Methoden schließen. Andererseits muss man den angeblichen Beweisen von Mandiant nun unbesehen glauben oder es lassen.

Was die politische Ebene angeht, gibt sich Mandiant offener. Eine ganze Reihe von Indizien spreche für die Belarus-These, darunter diese: Die meisten Ziele der »Ghostwriter«-Kampagne – zu denen auch belarussische Oppositionelle und Journalisten gehörten – hätten angespannte Beziehungen zur Regierung in Minsk. Die meisten Länder, in denen die »Ghostwriter«-Kampagne« registriert wurde, seien unmittelbare Nachbarstaaten von Belarus. Es gebe keine staatlichen Ziele innerhalb des Landes, allerdings auch nicht innerhalb Russlands. Das Staatsfernsehen in Belarus würde außerdem auffallend oft die Narrative übernehmen, die aus der Desinformationskampagne bekannt sind, mitunter greife es dabei auch auf Quellen zurück, die zum Umfeld von »Ghostwriter« gezählt werden.

Deutsche Behörden geben sich unbeeindruckt

Nicht alles, was über die Kampagne bekannt ist, passt perfekt in dieses Bild. Die Phishingversuche gegen deutsche Politikerinnen und Politiker zum Beispiel. »Wir haben die Versuche, an Zugangsdaten deutscher Parlamentarier zu gelangen, gesehen. Aber anders als etwa in Polen haben wir in Deutschland keine offene information operation beobachtet«, räumt Read ein, keine Verbreitung manipulativer Inhalte. Dennoch sei man überzeugt, dass UNC1151 auch hinter den Hackingversuchen in Deutschland steckt.

Er legt zudem auch Wert auf die Feststellung, dass er »eine russische Beteiligung nicht ausschließen« könne. Es sei »plausibel«, dass beide Staaten involviert sind. Aber man wolle erreichen, dass die eigenen Erkenntnisse Teil der Debatte werden.

Die Bundesregierung hat die Analyse »zur Kenntnis genommen«, an ihrer eigenen Einschätzung ändert sich aber offenbar nichts. Sie hält weiterhin Russland für den Hauptverantwortlichen der Hackerangriffe. Diese Zuordnung, so heißt es aus der Regierung, »schließt die mögliche Beteiligung weiterer Akteure an der Kampagne ausdrücklich nicht aus«.

Hinweis: Der Link zum Mandiant-Blog und der Verweis auf den Tweet von Googles Shane Huntley wurden ergänzt.

Die Wiedergabe wurde unterbrochen.