Warnungen vor russischen Hackern, die "fast sicher" russischen Geheimdiensten angehören

Angeblich soll es nach britischen, kanadischen und amerikanischen Informationen eine Angriffswelle u.a. auf Organisationen geben, die mit der Entwicklung eines Covid-19-Impfstoffs zu tun haben. Aber wie so oft weiß man Genaueres nicht

Das ist wieder eine Nachricht, auf die man fast warten konnte, auch dass sie von Großbritannien ausgeht. Es geht einmal wieder um russische Hacker, die "fast sicher" für russische Geheimdienste arbeiten sollen. Dieses Mal sollen nicht Wahlen gestört und die demokratischen Institutionen unterminiert werden, sondern es soll um Angriffe auf nicht näher genannte Organisationen gehen, die mit der Entwicklung eines Impfstoffs gegen Covid-19 zu tun haben. Ziel sei es, so sagt der britische Außenminister, die "lebenswichtige Kooperation zu unterminieren", mit der die Pandemie besiegt werden kann.

Das 2016 gegründete britische National Cyber Security Centre (NCSC) hat sich mit dem kanadischen Geheimdienst Canadian Communication Security Establishment (CSE), der Cybersecurity Infrastructure Security Agency (CISA) des amerikanischen Heimatschutzministeriums und dem Geheimdienst NSA zusammengetan und die Kampagne der russischen Hackergruppe APT29 "aufgedeckt".

Das britische Außenministerium macht die Vermutungen zu Tatsachenbehauptungen: Today the @NCSC and partners in (USA) and (Canada) have revealed that Russian intelligence service cyber units have been behind a serious of irresponsible & unacceptable attacks collecting information on vaccine research."

APT29, auch "Cozy Bear" oder "the Dukes" genannt, ist der breiten Öffentlichkeit bekannt seit dem letzten amerikanischen Wahlkampf, da die Gruppe parallel zu "Fancy Bear" in das Computersystem des Democratic National Committee (DNC) eingedrungen sein soll und Emails womöglich über "Guccifer 2.0" an WikiLeaks weitergegeben haben soll, um Hilary Clinton zu schaden und Donald Trump zu unterstützen. Ein Großteil der Information über den angeblichen Hack, der als "Russiagate" gilt, geht auf die Cybersecurity-Firma Crowdstrike zurück, die Anfang 2016 vom DNC beauftragt worden war, das System zu untersuchen. Die Firma hat zwei Tage, nachdem WikiLeaks angekündigt hatte, demnächst Emails von Clinton zu veröffentlichen, auf dem DNC-Server plötzlich Schadprogramme russischer Herkunft gefunden.

Und es war die Firma, die den DNC-Server untersuchte, nicht das FBI, das keinen direkten Zugriff hatte, sondern nur "images" erhielt - und das vielleicht auch gar nicht wollte. Die Hackstory, auch über den Sonderermittler Mueller und die amerikanischen Geheimdienste verbreitet, hält sich hartnäckig. Allerdings hatte Shawn Henry, Crowdstrike-Chef, am 5. Dezember 2017 unter Eid dem Geheimdienstausschuss des Repräsentantenhauses eingestanden, dass man zwar beobachten konnte, dass APT29 seit 2015 in dem System unterwegs war, aber dass Daten abgezogen wurden, dafür habe man keine "direkten Beweise", sondern nur Indizien und Mutmaßungen. Es gibt also keinen Beweis dafür, dass die russischen Hacker die Emails entwendet haben, und nicht einmal dafür, dass sie unbefugt geklaut wurden. Es könnte genauso gut ein Insiderjob gewesen sein. Das interessierte aber weder die Senatoren noch den Sonderermittler Mueller.

Vage Verdächtigungen über Angriffe, die keinen Schaden angerichtet haben sollen

Jetzt also versichern die Geheimdienste und Cybersicherheitsbehörden, dass APT29 eine Kampagne gegen fast alles ("Regierung, Außenpolitik, Thinktank, Gesundheits- und Energiebranche") führt, um "wertvolles geistiges Eigentum" zu stehlen (was im Übrigen auch Routinetätigkeit der NSA ist, wie spätestens seit Echelon bekannt ist).

Dann wird aber vor allem darauf abgehoben, dass sich die Angriffe gegen die richten, "die lebenswichtige Arbeit zur Bekämpfung der Coronavirus-Pandemie" leisten. Bekannt sind seltsamerweise angeblich nur britische, kanadische und amerikanische Organisationen, die mit Forschung und Entwicklung von Impfstoffen zu tun haben. Die russische Hackergruppe würde zahlreiche Mittel einsetzen, darunter Spear-phishing und gewöhnliche Schadprogramme wie "WellMess" und "WellMail".

Nach dem Telegraph sollen Oxford University und das Imperial College London, wo ein Impfstoff entwickelt wird, Angriffsziele sein. Aber das ist nur Hörensagen. Ob tatsächlich Informationen gestohlen wurden, ist auch nicht klar. Das National Cyber Security Centre (NCSC) ist sehr überzeugt ("highest level of confidence") davon, dass der Kreml hinter den Angriffen steht. Das britische Außenministerium ist jedoch "fast sicher", wie das auch schon bei Skripal der Fall gewesen ist, dass APT29 für die angeblichen Angriffe auf unbekannte Einrichtungen verantwortlich ist. Zu "95%+" ist man auch sicher, dass die Gruppe "Teil der russischen Geheimdienste" ist. Weniger sicher ("80 - 90%") ist, dass es um das Sammeln von Informationen über die Impfstoffentwicklung oder die Erforschung des Virus geht.

Auffällig ist, dass eine große Kampagne über angebliche "verantwortungslose" Angriffe gestartet wird, ohne dass es eigentlich Schäden gegeben haben soll. Die New York Times, ähnlich wie die Washington Post gerne dabei, wenn es gegen Russland (und Trump) geht, stellt die Lage so dar:

The American government did not say how much vaccine information the Russian group has stolen, or what damage to research efforts the hacking may have caused. Some officials suggested the attacks have not been hugely successful, but are widespread enough to warrant a coordinated international warning.

Die russische Regierung streitet die Anschuldigungen ab. Kreml-Sprecher Dmitri Peskow sagte, man habe keine Informationen, wer die britischen Pharmafirmen angreife. Russland habe nichts damit zu tun. In Russland wird die Geschichte anders dargestellt. So wies der Chef des Russischen Fonds für Direktinvestitionen (RDIF), Kirill Dmitrijew, die Vorwürfe über den angeblichen Klau der Daten zur Entwicklung des Corona-Impfstoffes zurück: "Ich glaube, dies ist ein Versuch, den russischen Corona-Impfstoff seitens jener Personen zu beflecken, die Angst vor dessen Erfolg haben. Der russische Impfstoff kann potenziell als erster auf den Markt kommen und sehr erfolgreich sein." Die Phase 3 der klinischen Studie könne schneller als in anderen Ländern beginnen, Phase 2 werde am 2. August beendet sein. Soll das suggerieren, dass die Briten versuchen könnten, einen Durchbruch der Russen beim Impfstoff auf einen angeblichen Datendiebstahl zurückzuführen?