US-Anklage gegen russische Agenten enthüllt gesamten Hacking-Coup

Die Vorwürfe gegen die zwölf angeklagten Agenten des Auslandsgeheimdiensts GRU sind minutiös belegt. Erst am Montag wurde eine weitere russische Agentin verhaftet, über die US-Waffenlobby NRA soll sie für den Trump-Wahlkampf direkte Kontakte zum Kreml geschaltet haben.

Von Erich Moechel

Seit dem Gipfeltreffen der Präsidenten Donald Trump und Wladimir Putin am Montag überschlagen sich die Ereignisse. Am selben Tag wurde eine in den USA lebende Russin vom FBI unter dem Verdacht der Agentenätigkeit für Russland verhaftet. Laut FBI soll sie zusammen mit einem russischen Banker aus dem Nahfeld Putins über die US-Waffenlobby NRA einen direkten Kommunikationskanal mit dem Kreml geschaltet haben.

Davor war Anklage gegen zwölf Offiziere des russischen Auslandsgeheimdiensts GRU erhoben worden. Sie sollen sämtliche Hacks und Leaks im demokratischen Wahlkampfteam 2016 orchestriert haben. Die Klageschrift schildert den Ablauf dieser Operation so minutiös, dass Sicherheitsforscher schon erklärt haben, dies als Fallbeispiel in ihr Curriculum aufzunehmen. Wikileaks spielte dabei nur eine kleine, aber wichtige Rolle als neutraler Auslass für die gestohlenen Mails.

Phishing auf kapitale Ziele

Die Klageschrift deckt sich nicht nur mit bisher bekannten Ereignissen, sie zeigt auch, wie die Angreifer gearbeitet haben und wie ihre Tarnung funktionierte. Vor allem aber wird nun langsam klar, mit welch vergleichsweise bescheidenen Mitteln die russischen Agenten den Präsidentschaftswahlkampf 2016 auf den Kopf gestellt hatten. Die hier bereits mehrfach beschriebenen Angriffe auf den Wahlkampfstab der Demokraten liefen nicht über einen technisch anspruchsvollen „Hack“, sondern tatsächlich über simples „Spear-Phishing“. Ein paar überzeugend formulierte Mails mit gut gefälschtem Absender und ein trügerischer Link auf eine einzige Webpage, die dem Login-Formular von GMail täuschend ähnlich sah, genügten im Frühjahr 2016, um an die Login-Daten einzelner Konten zu kommen.

Die Rolle von Wikileaks

In Folge wurden zigtausende E-Mails von den GMail-Konten von Wahlkampfleiter John Podesta und anderen abgezogen und verdeckt an Wikileaks weitergegeben. Der Aufwand für diese Operation war denkbar gering, ihr Effekt aber gewaltig, als herauskam, mit welchen Mitteln die demokratische Parteiführung den demokratischen Gegenkandidaten Hillary Clintons, Bernard Sanders, verhindert hatte. Wikileaks wurde nicht etwa aus ideologischen Gründen ausgewählt, sondern weil die Akteure des GRU so damit rechnen konnten, dass die E-Mails dort auch verlässlich publiziert wurden.

Für die Übergabe erfand man einen ominösen Hacker und benannte ihn nach einem rumänischen Kriminellen „Guccifer 2.0“. Der echte „Guccifer“, ein notorischer Celebrity-Hacker und Angeber sitzt in den USA seit März 2016 im Gefängnis. Zuletzt hatte er damit geprahlt, den Mailserver Hillary Clintons gehackt zu haben. „Guccifer 2.0“ transferierte die gestohlenen E-Mails dann zu Wikileaks und Julian Assange publizierte prompt das gesamte Konvolut. Es waren schließlich Politiker der demokratischen Partei gewesen, die dafür gesorgt hatten, dass er heute noch in seinem Botschaftsexil festsitzt.

Ein echter Hack, Malware und ein Fehler

„Guccifer 2.0“ wurde in dieser konzertierten Aktion noch für andere Leaks gebraucht, die aus dem parallelen Hackangriff der GRU-Agenten auf die Netzwerke der Demokratischen Partei resultierten. Dieser Angriff startete ebenfalls bereits im Frühjahr 2016 und begann auch mit Phishing-Attacken. Sobald sie einmal im Netz der Demokratischen Partei waren, schleusten die GRU-Angreifer Schadsoftware ein, dann wurden Server übernommen und Keylogger-Programme auf den PCs von Entscheidungsträgern installiert.

Wie aus der Anklageschrift hervorgeht, war die russische Seite während der Schlussphase des Wahlkampfs damit laufend über jede politische Aktion der Demokraten vorab informiert. Zwar war der Angriff nach drei Monaten im Sommer 2016 aufgeflogen. Die ungenannte Sicherheitsfirma - ziemlich sicher war das die einschlägig sehr bekannte Fireye - hatte beim Aufräumen einen verdeckten Command/Controlserver des GRU übersehen. Der hing bis in den Oktober 2016 im Netz der Demokraten.

Die Waffenlobby NRA als Kanal des Kreml

Am Mittwoch fand die erste - geheime - Anhörung der am Montag in Washington verhafteten mutmaßlichen GRU-Agentin Maria Butina statt. Laut Anklage wird Butina vorgeworfen, über die US-Waffenlobby NRA einen direkten Kommunikationskanal zwischen Politikern der Republikanischen Partei und dem Kreml eingezogen zu haben. Ihre Kontaktperson war der Banker Alexander Torshin, der für Putins Partei Vereintes Russland ein Jahrzehnt lang im russischen Senat gesessen war und zum engeren Kreis rund um Wladimir Putin gezählt wird.

Torshin ist auch einer der russischen Staatsbürger, die in der Liste der jüngsten US-Sanktionen namentlich aufscheinen. Dahinter steht ein noch schwerer wiegender Verdacht. Die Waffenlobby NRA hatte die Rekordsumme von 30 Millionen Dollar für den damaligen Präsidentschaftskandidaten Donald Trump ausgegeben, weit mehr als in allen anderen US-Wahlen zuvor. Der Verdacht, dass Teile dieser Summe aus russischen Quellen stammten, kursiert bereits seit geraumer Zeit in Washington.

Was jetzt bevorsteht

Ein deutlicher Hinweis darauf, dass hier noch weitere Anklagen bevorstehen, ist paradoxerweise das auffälliges Fehlen von Verweisen, die an sich logisch wären. So wird Torshin in der gesamten Klageschrift gegen Butina namentlich nicht erwähnt, sondern als russicher Banker und Politfunktionär Putins umschrieben. Butina ist derzeit auch nicht wegen Geldwäsche oder Ähnlichem angeklagt, sondern „nur“ als undeklarierte russische Agentin.

Klar ist mittlerweile jedenfalls, dass neben den beiden Informationsangriffen auf die Wahlkampfleitung der Demokraten parallel eine russische Einflussnahmeoperation über die NRA gelaufen ist. Und das war noch nicht alles, denn dieser geheimdienstliche Großangriff auf den wichtigsten Vorgang in einer westlichen Demokratie hatte noch zumindest drei weitere Dimensionen. Entlang der Ereignisse, die unweigerlich nun folgen sollten, wird weiterhin berichtet.