Spionageaktion in Deutschland: Russlands Geheimdienst versucht, mit Cyberangriffen die deutschen Parteien auszuspähen
Der Auslandsgeheimdienst in Moskau hat ein neues Ziel: Parteien in Deutschland. Aber vermutlich nicht nur dort – es dürfte insgesamt um die Unterstützung der Ukraine durch den Westen gehen.
Was die Analysten ab dem 26. Februar beobachteten, hatten sie vorher so noch nie gesehen. Die Cybergruppe APT 29, die dem russischen Auslandsgeheimdienst SWR zugerechnet wird, verschickt eine Phishing-Mail in deutscher Sprache. Das Ziel des Spionageangriffs sind deutsche Parteien.
Beides ist neu, die Sprache und das Ziel, wie die IT-Sicherheitsfirma Mandiant in einem Bericht schreibt. Denn die Gruppe APT 29, auch unter dem Namen Cozy Bear bekannt, ist vor allem an diplomatischen Informationen interessiert. Dafür hat sie in der Vergangenheit mit ihren Aktionen von Außenministerien, Botschaften oder Diplomaten ausspioniert.
Als die Ukraine im Mai 2023 ihre lang erwartete Gegenoffensive startete, forderte APT 29 zum Beispiel eine große Anzahl diplomatischer Vertretungen in Kiew ab, darunter sogar Verbündete Russlands. Es ging laut Mandiant vermutlich darum, den SWR mit Informationen zu dieser wichtigen Phase des Krieges zu unterstützen. In einer Kampagne versuchte APT 29, die ausländischen Diplomaten in der Ukraine mit einem gefälschten Verkaufsinserat für einen BMW auf eine infizierte Website zu locken.
E-Mail war an mehrere deutsche Parteien gerichtet
Bei der Phishing-Welle, die Mandiant nun öffentlich macht, hat APT 29 eine gefälschte Einladung der CDU zu einem Abendessen am 1. März verschickt. Die E-Mail enthält die Aufforderung, dafür einen Fragebogen auszufüllen, und verlinkt auf eine Website des Angreifers. Von dort wurde dann versucht, auf dem Rechner der Zielperson Schadsoftware zu installieren. Der deutsche Text der E-Mail ist etwas holprig formuliert.
Dass der Text auf Deutsch verfasst ist, sagt etwas über das Ziel der Spionageaktion aus. Während sich die früheren E-Mails mit ihren englischen Texten an das internationale diplomatische Korps gewandt hatten, sind hier offensichtlich deutsche Politiker oder Parteienvertreter im Visier der russischen Spione. Laut Mandiant gehören die Empfänger der E-Mail mehreren deutschen Parteien an. Welche genau, wird die Sicherheitsfirma auf Anfrage nicht mitteilen. Klar ist aber, dass nicht nur die CDU im Fokus steht.
Welche Informationen es APT 29 genau davon hatte, ist ebenfalls unklar. „Wir können nicht abschliessend sagen, was mit der Operation als Ganzes erreicht werden sollte“, sagt Dan Black von Mandiant zur NZZ. Kaum vorstellbar ist aber, dass es dem SWR darum geht, an vertrauliche Informationen zu gelangen, um diese dann zur Stimmungsmache in einer sogenannten Hack-and-Leak-Aktion zu veröffentlichen. In Deutschland sorgte im März eine russische Informationsoperation für Aufsehen, bei welcher ein abgehörtes Gespräch zwischen Bundeswehroffizieren veröffentlicht wurde.
APT 29 gilt stattdessen als Gruppe, die sehr langfristig denkt. „Wenn sie in ein IT-Netzwerk eindringen, dann wollen sie dieses verstehen, um später ganz still und leise zurückzukommen“, sagt der Analyst Black. In der Vergangenheit hat APT 29 dazu oft äußerst aufwendige Operationen durchgeführt. Bekannt ist der Angriff auf die Software-Firma Solarwinds, bei dem es den russischen Spionen 2020 gelang, mittels eines manipulierten Software-Updates in mehrere gut geschützte Netzwerke der amerikanischen Bundesverwaltung einzudringen.
Neues Ziel von APT 29 spiegelte das Interesse des Kremls wider
Dass sich der russische Auslandsnachrichtendienst neu für einzelne Parteien interessiert, ist kein Zufall. Für die russischen Nachrichtendienste gebe es derzeit außerhalb der Ukraine keine wichtigere Aufgabe, als die politische Dynamik im Westen zu beobachten, sagt der Mandiant-Analyst Black. Die Gruppe APT 29 ist sehr flexibel und richtet sich jeweils nach den Brennpunkten der russischen Politik aus. „Wenn APT 29 ein neues Ziel hat, spiegelt das sehr stark das Interesse größerer Stellen in der russischen Regierung wider.“
Angesichts der deutschen Debatte um die Unterstützung der Ukraine erscheint das Interesse Russlands nur logisch. Das zurückhaltende Agieren von Bundeskanzler Olaf Scholz und die Kritik der CDU an der Regierung spielen Russland in den Händen. Für den Kreml ist es deshalb von größter Wichtigkeit, welche Positionen sich innerhalb der Parteien durchsetzen.
Doch vermutlich werden sich die Aktivitäten des russischen Auslandsgeheimdienstes in Zukunft nicht nur auf Parteien in Deutschland beschränken. Mandiant geht aufgrund früherer Beobachtungen davon aus, dass APT 29 auch in anderen Ländern Parteien oder Nichtregierungsorganisationen angreifen könnte. Bei vielen westlichen Staaten dürften die innenpolitischen Diskussionen um die Ukraine für Moskau interessant sein.