Nach Angaben der polnischen Regierung steckt die Gruppe UNC1151 hinter dem Hackerangriff im Rahmen der „Ghostwriter“-Kampagne, der unter anderem der Chef des Ministerpräsidentenamts Michał Dworczyk zum Opfer fallen sollte. Der Sprecher des Minister-Koordinators der Geheimdienste Stanisław Żaryn teilte mit, dass „die Dienste über zuverlässige Informationen verfügen, die die Aktivitäten der UNC1151-Gruppe mit den Aktivitäten der russischen Geheimdienste verknüpfen“. Ihr Ziel ist es, die politische Lage in den Ländern Mitteleuropas zu destabilisieren.
Neuerdings soll der Konzern auch in Deutschland aktiv werden. Wie er im März dieses Jahres feststellte. „Der Spiegel“ wurden im Rahmen der „Ghostwriter“-Aktion 7 Bundestagsabgeordnete und über 70 Abgeordnete der deutschen Bundesländer angegriffen. Laut Zeitungsquellen war es die erste große Aktion dieser Gruppe in Westeuropa in den deutschen Diensten.
Der Angriff hat die deutschen Dienste auf die Beine gestellt, denn im September findet in Deutschland die Bundestagswahl statt. – Wir glauben, dass die Bedrohung für die Kandidaten bei den Wahlen hoch ist. Angriffe auf den Informationsraum seien weiterhin zu erwarten, sagte der DW-Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Deutschland verdächtigt russischen Geheimdienst
Laut Journalisten öffentlicher WDR- und BR-Sender soll Thomas Haldenwang, Chef des Bundesamts für Verfassungsschutz (BfV), im März vor der parlamentarischen Geheimdienstkommission ausgesagt haben, dass der russische Militärgeheimdienst GRU des Angriffs verdächtigt wurde im Rahmen des Ghostwriter-Betriebs.
Ziel der Hacker war den deutschen Medien zufolge fast ausschließlich Politiker der regierenden CDU/CSU- und SPD-Parteien. Wie viele von ihnen in die Falle tappten und ob und welche Daten ihnen gestohlen wurden, ist nicht bekannt. Bisher wurde keiner von ihnen veröffentlicht. Deutschland verfolgt die Kampagne „Ghostwriter“ seit Februar dieses Jahres. Nach Angaben von WDR und BR hätten die Dienste „die Angriffswelle frühzeitig erkannt und dann die Betroffenen informiert“.
In den Briefen, die die Dienste an Parlamentarier schicken sollten, soll unter anderem die Rede sein, dass deren „berufliche und/oder private E-Mail-Adressen“ Ziel einer „geplanten Phishing-Kampagne“ sein könnten. Gesammelte Passwörter und Informationen könnten verwendet werden, um „Zugang zu Konten in sozialen Netzwerken zu erlangen oder falsche Informationen zu verbreiten“.
Private Boxen im Fokus
In Polen wurden nach Angaben der Regierung 4.350 Adressen angegriffen, darunter etwa 100 von Personen, die öffentliche Ämter ausüben. Etwa 500 Menschen sollten in die Falle tappen.
In Deutschland wurden nach Angaben von WDR und BR insgesamt über 200 E-Mails verschickt, hauptsächlich an private Adressen, die auf den beliebten GMX- und T-Mobile-Domains registriert sind. In den Nachrichten wurden die Empfänger aufgefordert, nachzuweisen, dass sie „keine Spamming-Bots“ sind, indem sie eine spezielle Website betreten und dort ihren Namen und ihr Passwort eingeben. Andernfalls sollte ihr Postfach innerhalb von drei Tagen gesperrt werden.
Das amerikanische Unternehmen FireEye, das als erster die „Ghostwriter“-Kampagne beschrieb, in einem Bericht vom April dieses Jahres. aufgelisteten Domänen, die von UNC1151-Hackern imitiert wurden. Neben den oben erwähnten deutschen GMX und T-Mobile gibt es Adressen, die denen von Onet, Interia oder Wirtualna Polska ähneln. Es war der private Briefkasten auf dem letztgenannten Portal, den der Chef der Kanzlei des Ministerpräsidenten, Michał Dworczyk, nutzen sollte.
Regierungs-E-Mails von Privatadressen – auch in Deutschland ein Problem
Unter den angeblichen Materialien aus seinem Briefkasten, die im Telegram-Messenger veröffentlicht wurden, lösen die Fotos der Korrespondenz, die er mit anderen Mitarbeitern des Büros des Premierministers führen sollte, viele Kontroversen aus. Sie sollen zeigen, dass nicht nur Dworczyk, sondern auch Ministerpräsident Mateusz Morawiecki und Regierungssprecher Piotr Müller private E-Mail-Adressen für die Geschäftskorrespondenz nutzten.
Auch in Deutschland werden Regierungsmitglieder dafür kritisiert, private E-Mail-Postfächer in geschäftlichen Angelegenheiten zu nutzen. Darüber hinaus gibt es kein Gesetz, das ihre Verwendung regelt: „Es ist nicht auszuschließen, dass auch Regierungsmitglieder über private E-Mail-Adressen Kontakt zu offiziellen Angelegenheiten aufnehmen“, antwortete das Bundesinnenministerium im August 2020 auf eine parlamentarische Anfrage zu diesem Thema .
Private E-Mails und SMS landen nicht in den Akten, was eventuelle Unregelmäßigkeiten später nur schwer erklären lässt. Laut der Tageszeitung Die Welt nutzten Kanzleramtschef Helge Braun und Gesundheitsminister Jens Spahn (beide CDU) private E-Mail-Adressen zur Bekämpfung der Coronavirus-Pandemie. „In den letzten Jahren wurde in den letzten Jahren mehrfach festgestellt, dass die Regierung so kommuniziert, dass keine Spuren hinterlassen werden“, schrieb Die Welt.
Bedenken hinsichtlich einer Wiederholung von 2015
Welche der deutschen Politiker im Rahmen der „Ghostwriter“-Kampagne gehackt wurden, ist vorerst nicht öffentlich bekannt. Der bislang schwerste Cyberangriff auf deutsche Politiker ereignete sich im Frühjahr 2015, als es den Tätern gelang, in das interne System des Bundestags einzudringen. Es wird geschätzt, dass sie damals bis zu 16 Gigabyte an Daten gestohlen hatten, darunter Tausende von E-Mails und Dokumenten von Parlamentariern. Auch zwei Computer im Büro von Bundeskanzlerin Angela Merkel wurden gehackt.
Die Bundesanwaltschaft hat den russischen Militärgeheimdienst GRU beschuldigt, der nun hinter der Operation Ghostwriter stecken soll. Im Zusammenhang mit diesem Angriff wurde im vergangenen Jahr in Deutschland ein Haftbefehl gegen den 30-jährigen Russen Dmitry Badin erlassen, der ein GRU-Hacker sein soll. Zumindest in Deutschland ist die Aktion von „Ghostwriter“ weniger spektakulär – Hackern ist es, wie deutsche Medien berichten, nicht gelungen, in staatliche Systeme einzudringen.
„Web pioneer. Typical pop culture geek. Certified communicator. Professional internet fanatic.“