US-Bericht über russischen Hackerangriff Operation "Grizzly Steppe"

Wegen Hackingvorwürfen weist Amerika russische Diplomaten aus. Ein neuer Bericht von FBI und Heimatschutzministerium soll die Sanktionen gegen Moskau rechtfertigen. Was in dem Report steht - und was nicht.
Schaubild aus dem neuen Bericht

Schaubild aus dem neuen Bericht

Foto: NCCIC

Der Bericht ist knapp gehalten: 13 Seiten im PDF-Format und zwei Schaubilder sollen beweisen, dass die russischen Geheimdienste hinter den Hackerangriffen rund um die US-Wahl stecken - und nebenbei noch erklären, wie Betroffene die Schadsoftware in ihren Systemen entdecken und wie man sich vor ihr schützen kann.

Den Report haben das FBI und die Cyberabteilung des amerikanischen Heimatschutzministeriums am Donnerstagabend veröffentlicht. Er dient als Rechtfertigung für die gerade gegen Moskau verhängten scharfen Sanktionen.

Demnach hätten "Russlands zivile und militärische Geheimdienste" Netzwerke und Endgeräte im Zusammenhang mit der US-Wahl infiltrieren wollen. Der Weg dahin: viele Behörden, Parteien und Organsationen angreifen. Das FBI nennt die groß angelegte Cyberattacke "Grizzly Steppe" - in Anspielung auf die beteiligten Hackergruppen "Fancy Bear" und "Cozy Bear". Ein Grizzly ist ein in Nordamerika lebender Braunbär, das Wort "steppe" bezeichnet auch im Englischen eine weite Graslandschaft.

Viele Indizien, keine handfesten Beweise

Der Bericht liefert allerdings keine handfesten Beweise für den Vorwurf, dass die Angriffe vom russischen Militärgeheimdienst GRU, dem Inlandsgeheimdienst FSB oder dem Kreml direkt angeordnet wurden. Er trägt vielmehr Indizien zusammen, listet Hackergruppen auf, die er als Teile von Russlands Cyberarmee sieht, und enthält einige interessante Details zum Vorgehen der Angreifer (Hier können Sie den Bericht als PDF herunterladen.)

Es wird betont, dass die Angriffe weitergingen - eine letzte Attacke sei wenige Tage nach der US-Wahl gestartet worden.

"Fancy Bear" und "Cozy Bear" sind die zwei wohl berüchtigsten Hackergruppen dieser Tage. Erstere wird unter anderem für den Angriff auf die Anti-Doping-Agentur Wada, den Datenabfluss aus dem Deutschen Bundestag oder den Angriff auf den Fernsehsender TV5Monde verantwortlich gemacht. Sie hat laut westlichen Geheimdiensten Verbindungen zum FSB - offiziell zugängliche Erkenntnisse dazu gibt es nicht.

Angriffe auf Demokraten starteten im Sommer 2015

Die großen Hackerangriffe im Umfeld der US-Wahl nahmen dem Bericht zufolge ihren Ursprung im Sommer 2015, als die Gruppe, die unter Namen wie "APT29" oder eben "Cozy Bear" bekannt ist, betrügerische E-Mails an mehr als 1000 gezielt ausgesuchte Empfänger gesendet habe.

Von Domains aus, die vorgaukeln, zu amerikanischen Organisationen und Universitäten zu gehören, haben sie Schadsoftware verteilt und versucht, an die Passworte der Nutzer zu kommen - und tatsächlich hätten mehrere Betroffene infizierte Anhänge oder Seiten geöffnet. Der Report nennt nur eine "politische Partei" als Ziel - klar ist allerdings, dass es hier um den ersten Hack auf die Parteiführung der US-Demokraten geht.

Zweite Angriffswelle mit Phishing-Mails erwischte John Podesta

Eine zweite Angriffswelle sei dann im Frühjahr 2016 durch Fancy Bear gefolgt. Namen werden im Bericht nicht genannt. Aber: Dahinter verbirgt sich die Welle von Phishing-Mails an weitere Vertreter der Demokraten wie Clintons Wahlkampfleiter John Podesta.

Über seinen Fall ist bereits bekannt, dass er im März 2016 auf einen präparierten Link in einer E-Mail klickte, der suggerierte, es gehe um einen Passwortwechsel bei seinem Google-Konto. Nach diesem Fehler hatten die Hacker Zugang zu 60.000 E-Mails aus dem Postfach Podestas. Das führte zu allerlei peinlichen Geschichten für Clinton, sowie zu absurden Verschwörungstherorien, die sich im Netz verbreiteten.

Skeptische Reaktionen auf die Veröffentlichung

Experten überraschen diese Befunde nicht. Hier werden die Angriffsmuster beschrieben, mit denen die Hackergruppe Fancy Bear gewöhnlich agiert. Dazu gibt es auch mehrere Berichte von IT-Sicherheitsfirmen, die die Angriffsmethode nachgezeichnet haben (etwa diesen ). Diese scheuen sich allerdings, eine Verbindung zu Russlands Geheimdiensten aufzustellen. Es gibt dafür zahlreiche Indizen, aber keine öffentlich zugänglichen Beweise.

Die US-Sicherheitsbehörden haben mit dem Report eine Liste von IP-Adressen, Dateinamen, Schadcodes und Signaturen veröffentlicht, die ihren Angaben zufolge von den Hackern verwendet werden. IT-Sicherheitsexperten wundern sich allerdings , dass der Report so wenig belastbare Details enthalte.

Hacker und IT-Fachleute sind ohnehin skeptisch bei öffentlichen politischen Zuordnungen von Cyberangriffen. Es ist bekannt, dass Hacker gern falsche Spuren legen und dass der genaue Nachweis, von wo aus ein Angriff gestartet worden ist, sehr schwierig ist. Viele Hackergruppen und Geheimdienste mieten etwa Server in verschiedenen Ländern an.

Auch die Verfasser des FBI-Reports erwähnen, dass sich die russischen Hacker bei ihren Operationen verkleidet hätten und Betroffene daher "den Ursprung der Attacke falsch zuordnen" würden.

Man darf davon ausgehen, dass den amerikanischen Sicherheitsbehörden weitergehende Informationen vorliegen. Sie tauchen allerdings in dem Bericht nicht auf. Auch in einem weiteren Report, der in drei Wochen mehr Details liefern soll, dürfte manches außen vor bleiben.

Denn die besten Informationen der Amerikaner dürften ihrerseits aus der Infiltrierung russischer Netze stammen - und das macht keine Cybergroßmacht gern öffentlich.

Video: Putin setzt auf Trump

SPIEGEL ONLINE
Die Wiedergabe wurde unterbrochen.