Original-URL des Artikels: https://www.golem.de/news/russische-agenten-angeklagt-mit-bitcoin-und-ccleaner-gegen-hillary-clinton-1807-135477.html    Veröffentlicht: 15.07.2018 14:15    Kurz-URL: https://glm.io/135477

Russische Agenten angeklagt

Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

Kurz vor einem Treffen von US-Präsident Donald Trump mit Russlands Präsident Wladimir Putin belasten neue Spionagevorwürfe das Verhältnis der beiden Staaten. Die US-Justiz klagte am Freitag zwölf russische Mitarbeiter des russichen Geheimdienstes GRU an, weil sie im US-Präsidentschaftswahlkampf 2016 die E-Mail-Server und Computernetzwerke der Demokratischen Partei gehackt haben sollen, um die Chancen der demokratischen Kandidatin Hillary Clinton zu verringern. Die 29-seitige Anklageschrift (PDF) enthält zahlreiche neue technische Details zum Vorgehen der Hacker.

Dass der russische Staat nach Ansicht der US-Geheimdienste hinter dem Hack der Demokraten steckt, ist seit längerem bekannt. Schon im Januar 2017 hatte die damalige US-Regierung unter Präsident Barack Obama ein Papier veröffentlicht, das Putin persönlich für eine Kampagne zur Beeinflussung der US-Präsidentschaftswahlen 2016 verantwortlich machte. Bereits im Dezember 2016 hatte Obama diplomatische Sanktionen gegen Russland verhängt.

Spearphishing-Angriffe auf Mitarbeiter Clintons

Die Anklageschrift gegen die zwölf Offiziere führt nur detailliert auf, wie der russische Geheimdienst vorgegangen sein soll, um die Server der US-Demokraten zu hacken, das Material im Internet zu veröffentlichen und seine Aktivitäten zu verschleiern. Eine wichtige Rolle spielte dabei der Versuch, die Veröffentlichung einem "einsamen Hacker" mit dem Namen Guccifer 2.0 zuzuschreiben.

Wie leicht sich die Demokraten mit Hilfe von Spearphishing-E-Mails hacken ließen, war bereits im Oktober 2016 bekanntgeworden. Demnach nutzten die Angeklagten dazu gefälschte Warnhinweise des E-Mail-Anbieters Google, um etwa 300 angeschriebene Mitarbeiter von Clintons Wahlkampfteam (DCCC) und dem Nationalkomitee der Demokraten (DNC) zur Eingabe und Änderung ihres Passwortes zu bewegen. Die entsprechenden Fake-Webseiten (URL-Spoofing) verbargen die Hacker dabei mit Hilfe von URL-Abkürzern wie Bitly.

Malware auf vielen Rechnern installiert

Das Besondere an der Anklage: Einzelne Aktivitäten der Kampagne werden einzelnen Agenten zugeordnet. So soll der Offizier Iwan Jermakow gegen Mitte März 2016 eine technische Anfrage für die IP-Konfiguration des DNC gestartet haben, um verbundene Geräte identifizieren zu können. Um dasselbe Datum herum soll er nach allgemein zugänglichen Informationen zum DNC-Netzwerk, zur Demokratischen Partei und zu Hillary Clinton gesucht haben.

Schon im April 2016 sollen die Agenten in die Computernetzwerke der DCCC eingedrungen sein. Anschließend sollen sie verschiedene Versionen ihrer Schadsoftware X-Agent auf mindestens zehn Rechnern installiert haben. Die Software soll über Keylogger- und Screenshot-Funktionen verfügt haben. Daten wurden der Anklage zufolge zunächst auf einen vom GRU gemieteten Server in Arizona transferiert. Später wurde die Kommunikation über einen ausländischen Server geleitet, um die Verbindung zu verschleiern.

Daten mit CCleaner gelöscht

Gegen Mitte April 2018 gelangten die Hacker dann über das DCCC-Netzwerk in die Rechner des DNC. Von beiden Netzwerken kopierten sie gewünschtes Material. Auch der Microsoft-Exchange-Server des DNC wurde gehackt. Mit Hilfe einer anderen GRU-Malware, X-Tunnel genannt, sollen sie dann die komprimierten Daten auf einen Server im US-Bundesstaat Illinois übertragen haben. Um ihre Aktivitäten zu verschleiern, sollen die Agenten regelmäßig Log-Daten gelöscht haben.

Das reichte jedoch nicht mehr aus, als im Mai 2016 der Hack entdeckt und die Sicherheitsfirma Crowdstrike beauftragt wurde, die Eindringlinge zu detektieren und auszuschließen. Jermakow soll dann nach Informationen gesucht haben, was Crowdstrike bislang über X-Agent und X-Tunnel veröffentlicht hatte. Gegen Anfang Juni 2016 hätten die Hacker dann begonnen, Spuren auf den DCCC-Netzwerk mit Hilfe von CCleaner zu löschen. Trotz der Analyse von Crowdstrike soll eine Linux-basierte Version von X-Agent bis Oktober 2016 nicht entdeckt worden sein. Diese soll die Daten an die Adresse linuxkrnl.net gesendet haben.

Bitcoins selbst geschürft

Um die unterschiedlichen Server und Domains wie dcleaks.com unerkannt bezahlen zu können, sollen die Agenten vor allem die Kryptowährung Bitcoin genutzt haben. Der Anklageschrift zufolge sollen einige Bitcoin-Zahlungen über dieselben Rechner erfolgt sein, über die auch Spearphishing-Attacken ausgeführt wurden. Einer dieser Accounts sei auch genutzt worden, um bereits 2015 die Registrierung der Domain linuxkrnl.net zu erneuern. Erstaunlicherweise sollen die "Verschwörer", wie es in der Anklage heißt, selbst Bitcoins geschürft haben. Mit dem selbst geschürften Kryptogeld soll beispielsweise über einen in den USA ansässigen Zahlungsdienst in Rumänien die Domain dcleaks.com bezahlt worden sein. Spoofing-Domains wie accountsqooqle.com und account-gooogle.com seien ebenfalls auf diese Weise akquiriert worden.

Neue Details veröffentlichten die US-Behörden auch zu der Frage, was die Herkunft des angeblichen Hackers Guccifer 2.0 betrifft. Schon im März 2018 war bekanntgeworden, dass ein russischer Geheimdienstmitarbeiter einmal vergessen haben soll, sein VPN zu aktivieren. Die IP-Adresse einer Guccifer-Kommunikation konnte demnach dem Hauptquartier des russischen Geheimdienstes GRU in der Grizodubovoy-Straße in Moskau zugeordnet werden. Die IP-Adresse soll in den Logfiles von US-Internetfirmen aufgetaucht sein.

Guccifer googelt Übersetzung

Nun gibt es einen weiteren Beweis: Der Anklageschrift zufolge wurde Mitte Juni 2016 von einer IP-Adresse des GRU in Moskau nach der Übersetzung bestimmter Begriffe gesucht, die anschließend wortgleich im ersten Guccifer-Statement auf einer Wordpress-Seite auftauchten. Den US-Behörden zufolge gibt es zahlreiche Belege, wonach die angeblichen Aktivitäten von Guccifer 2.0 und die übrigen Hacks auf dieselbe Computer-Infrastruktur und Finanzierung zurückgriffen.

Belastet wird in der Anklage zudem die Enthüllungsplattform Wikileaks um den Australier Julian Assange. Demnach diskutierte Wikileaks, in der Schrift als "Organization 1" bezeichnet, mit Guccifer 2.0 über eine möglichst wirkungsvolle Veröffentlichung der kopierten Daten und schrieb Anfang Juni 2016: "Wir denken, dass Trump nur eine Chance von 25 Prozent hat, um gegen Hillary zu gewinnen." Daher wäre ein Konflikt zwischen Hillary und ihrem parteiinternen Konkurrenten Bernie Sanders "interessant".

Trump will bei Putin nachfragen

Mitte Juli 2016 soll Guccifer schließlich eine Anweisung geschickt haben, um das Archiv mit den kopierten E-Mails herunterzuladen. Dieses wurde von Wikileaks dann am 22. Juli 2016 veröffentlicht. Die E-Mails legten parteiinterne Störmanöver gegen Bernie Sanders offen. Das sorgte für einen Skandal, der schließlich zum Rücktritt von Parteichefin Debbie Wasserman Schultz führte.

Trump hat während seiner aktuellen Europa-Reise bereits angekündigt, die angebliche Wahlkampfmanipulation Russlands bei seinem Treffen mit Putin am Montag in Helsinki zum Thema zu machen. Allzu eindringlich will er jedoch nicht nachhaken. "Alles, was ich sagen kann, ist: 'Hast Du's getan?' und 'Mach's nicht noch einmal.'", sagte er am Freitag in London.

Trumps Wahlkampagne wird in der Anklage nicht direkt belastet. Trumps langjähriger Berater Roger Stone hatte schon vor längerem zugegeben, mit Guccifer 2.0 per Twitter in Kontakt gestanden zu haben. Ob Trump mit seinem Aufruf an Russland, Clintons gelöschte E-Mails aufzuspüren, eine direkte Aktivität auslöste, ist ebenfalls unklar. Der Anklageschrift zufolge wurden um das Datum des Aufrufs vom 27. Juli 2016 herum Phishing-Versuche gegen Clintons Büro und deren Wahlkampagne gestartet. Doch soll es solche Versuche den gesamten Sommer 2016 über gegeben haben.

Putin will nicht ausliefern

Putin hatte in der Vergangenheit mehrfach Vorwürfe zurückgewiesen, dass staatliche russische Hacker hinter dem Angriff auf die US-Demokraten stehen. Er könne aber nicht ausschließen, dass unabhängige Hacker aus Russland mit patriotischer Gesinnung Angriffe ausgeführt hätten oder noch ausführen würden, hatte er im Juni 2017 gesagt.

Mit einer Auslieferung müssen die Angeklagten ebenfalls nicht rechnen. Das hatte Putin schon versichert, nachdem im vergangenen Februar 13 Personen angeklagt worden waren, weil sie die Präsidentschaftswahl im Jahr 2016 gezielt durch Beiträge in sozialen Medien wie Facebook oder Instagram beeinflusst haben sollen.  (fg)


Verwandte Artikel:
Twitter-Handy: Trump schlampt angeblich bei iPhone-Sicherheit   
(22.05.2018, https://glm.io/134495 )
Wahlbeeinflussung: Russischer Präsident Putin will Verdächtige nicht ausliefern   
(05.03.2018, https://glm.io/133147 )
Soziale Netzwerke: Twitter sperrt Tausende verdächtige Accounts   
(22.02.2018, https://glm.io/132922 )
Crowdfunding: Ex-CIA-Agentin will Twitter kaufen und Trump-Account löschen   
(24.08.2017, https://glm.io/129660 )
BND-Gesetz: Journalisten klagen gegen Überwachung   
(30.01.2018, https://glm.io/132478 )

© 1997–2021 Golem.de, https://www.golem.de/