Fünf Jahre nach dem erfolgreichen Angriff auf die IT-Infrastruktur des Bundestags hat der Generalbundesanwalt nun einen internationalen Haftbefehl gegen einen Tatverdächtigen erwirkt, berichten der WDR, NDR und die Süddeutsche Zeitung. Im Auftrag des russischen Militärgeheimdienstes GRU soll der 29-jährige Dmitriy Badin eine entscheidende Rolle beim Bundestags-Hack gespielt haben. Dabei wurden Gigabytes an Daten abgezogen, darunter E-Mails zahlreicher Abgeordneter.
Schon kurz nach dem Entdecken des Bundestag-Hacks im Frühling 2015 mehrten sich die Hinweise darauf, dass der Angriff von einer staatlich geförderten Gruppe aus Russland durchgeführt wurde. So legte etwa ein Bericht des IT-Sicherheitsforschers Claudio Guarnieri im Auftrag der Linksfraktion nahe, dass die Gruppe „APT28“, unter anderem als „Fancy Bear“ bekannt, daran beteiligt gewesen sein könnte.
Bekannte Angreifer
Die Russland zugeschriebene Gruppe soll zahlreiche westliche Ziele angegriffen haben, darunter die IT-Infrastruktur der Demokraten im US-Präsidentschaftswahlkampf 2016. Bereits vor zwei Jahren hat deshalb der US-Sonderermittler Robert Mueller Anklage gegen Badin erhoben. Eine Auslieferung des mutmaßlichen Täters, ob an die USA oder an Deutschland, ist jedoch so gut wie ausgeschlossen.
Laut dem Bericht von WDR, NDR und Süddeutscher Zeitung soll Badin der Einheit 26165 beim GRU angehören. Am 7. Mai 2015 soll er die Schadsoftware „VSC.exe“ eingesetzt und gesteuert haben, um damit Passwörter abzugreifen und weiter in das IT-System vorzudringen. Zuvor bekamen die Abgeordneten und ihre Mitarbeiter Phishing-Mails, die vorgaben, von den Vereinten Nationen versandt worden zu sein. Der in den Mails enthaltene Link führte jedoch auf eine präparierte Webseite, die nach einem Besuch Schadsoftware auf den Bundestagsrechnern installierte.
Nach und nach erlangten die Angreifer Zugriff auf weite Teile des IT-Systems des Parlaments. Dabei übernahmen sie auch Accounts von Administratoren des Netzwerkes. Schließlich musste die IT-Abteilung das gesamte Netz des Bundestages abschalten, um das Problem in den Griff zu bekommen. Da war es aber schon zu spät, zwischenzeitlich wurden rund 16 Gigabyte an Daten an Server im Ausland übermittelt. Ob weitere Haftbefehle folgen werden, ist derzeit unbekannt. Viel Zeit bleibt nicht mehr, denn in wenigen Wochen läuft die Verjährungsfrist ab.
Sieh da, sieh da: „VSC.exe“ Eine *.exe sprach die Echse. Auf Systemen, die nicht auf diese Dateiendungen setzt, wäre das wohl nicht passiert. Oder so dass es jeder versteht: Danke Microsoft, dass ihr auch Regierungsnetzte verunsichert.
Florian Flade und Georg Mascolo titeln für die SZ mit „Bärenjagd“. Passender wäre „Von der Kunst, einen Bären aufzubinden“ gewesen. Mit einem Rest verbliebener Medienkompetenz darf man nach der Rolle von Journalisten fragen, die eine gewisse Nähe zu den Diensten unserer Heimsphäre kultivieren. Immerhin haben sie auf die drohende Verjährung hingewiesen, und damit auf den Grund, weshalb jetzt das Kaninchen medienwirksam und just in time aus dem Hut gezogen wird.
Von einer Jagd kann wohl nicht die Rede sein. Eher von Kommissar Zufall, und von bemerkenswerter Dümmlichkeit, wie vier Russen eine Reise machten. Ähnlich talentierte Reiseplanung haben der Mossad in den UAE und kürzlich Saudis in der Türkei geliefert. Wie schön doch Schadenfreude sein kann.
Kein Wort von den Qualitätsjournalisten davon, dass ihnen Akteneinsicht gewährt wurde. Kein Wort davon, dass der Recherche-Verbund sich auf eigene Recherchen berufen könnte. Vielmehr drängt sich der Anschein auf, dass hier Brotkrümel medienwirksam verteilt werden sollten. Die Gestaltung der Stimmungslage in der Bevölkerung ist ja schon ein Wert an sich in dieser Zeit. Wenn Feind es macht, nennt man es Propaganda.
Mal sehen wofür vermutlich sehr dürftige Indizien reichen, deren Nennung man sich erspart hat.
Und ach ja, und wieder mal konnte man auf die „Hilfe“ befreundeter Dienste hinweisen. Das also ist 360-Grad-Rundumsicht. Danke liebe Freunde.
Würde ein guter Geheimdienst den Typen nicht liquidieren?
Ein ironischer Fakt: Der Hacker ist selbst äußerst schlampig was Sicherheit angeht. Er benutzte seinen Nachnamen + Geburtsjahr als Passwort. Nachdem es geleakt wurde, hat er es äußerst gut abgesichert, indem er eine Ziffer entfernt hat.
https://www.techdirt.com/articles/20200506/11080344450/suspected-dnc-german-parliament-hacker-used-his-name-as-his-email-password.shtml