Der Auslandsgeheimdienst in Moskau hat ein neues Ziel: Parteien in Deutschland. Aber vermutlich nicht nur dort – es dürfte insgesamt um die Unterstützung der Ukraine durch den Westen gehen.
Was die Analysten ab dem 26. Februar beobachteten, hatten sie vorher so noch nie gesehen. Die russische Cybergruppe APT 29, die dem Auslandsgeheimdienst SWR zugerechnet wird, verschickt eine Phishing-Mail in deutscher Sprache. Das Ziel des Spionageangriffs sind deutsche Parteien.
Beides ist neu, die Sprache und das Ziel, wie die IT-Sicherheitsfirma Mandiant in einem Bericht schreibt. Denn die Gruppe APT 29, auch unter dem Namen Cozy Bear bekannt, ist vor allem an diplomatischen Informationen interessiert. Dafür hat sie in der Vergangenheit mit ihren Aktionen oft Aussenministerien, Botschaften oder Diplomaten ausspioniert.
Als die Ukraine im Mai 2023 ihre lang erwartete Gegenoffensive startete, zielte APT 29 zum Beispiel auf eine grosse Anzahl diplomatischer Vertretungen in Kiew ab, darunter sogar Verbündete Russlands. Es ging laut Mandiant vermutlich darum, den SWR mit Informationen zu dieser wichtigen Phase des Kriegs zu unterstützen. In einer Kampagne versuchte APT 29, die ausländischen Diplomaten in der Ukraine mit einem gefälschten Verkaufsinserat für einen BMW auf eine infizierte Website zu locken.
E-Mail war an mehrere deutsche Parteien gerichtet
Bei der Phishing-Welle, die Mandiant nun publik macht, hat APT 29 eine gefälschte Einladung der CDU zu einem Abendessen am 1. März verschickt. Die E-Mail enthält die Aufforderung, dafür einen Fragebogen auszufüllen, und verlinkt auf eine Website des Angreifers. Von dort wurde dann versucht, auf dem Rechner der Zielperson Schadsoftware zu installieren. Der deutsche Text der E-Mail ist etwas holprig formuliert.
Dass der Text auf Deutsch verfasst ist, sagt etwas über das Ziel der Spionageaktion aus. Während sich die früheren E-Mails mit ihren englischen Texten an das internationale diplomatische Korps gewandt hatten, sind hier offensichtlich deutsche Politiker oder Parteienvertreter im Visier der russischen Spione. Laut Mandiant gehören die Empfänger der E-Mail mehreren deutschen Parteien an. Welche genau, will die Sicherheitsfirma auf Anfrage nicht mitteilen. Klar ist aber, dass nicht nur die CDU im Fokus stand.
Auf welche Informationen es APT 29 genau abgesehen hatte, ist ebenfalls unklar. «Wir können nicht abschliessend sagen, was mit der Operation als Ganzes erreicht werden sollte», sagt Dan Black von Mandiant zur NZZ. Kaum vorstellbar ist aber, dass es dem SWR darum ging, an vertrauliche Informationen zu gelangen, um diese dann zur Stimmungsmache in einer sogenannten Hack-and-Leak-Aktion zu veröffentlichen. In Deutschland sorgte im März eine russische Informationsoperation für Aufsehen, bei welcher ein abgehörtes Gespräch zwischen Bundeswehroffizieren veröffentlicht wurde.
APT 29 gilt stattdessen als Gruppe, die sehr langfristig denkt. «Wenn sie in ein IT-Netzwerk eindringen, dann wollen sie dieses verstehen, um später ganz still und leise zurückzukommen», sagt der Analyst Black. In der Vergangenheit hat APT 29 dazu oft äusserst aufwendige Operationen durchgeführt. Bekannt ist der Angriff auf die Software-Firma Solarwinds, bei dem es den russischen Spionen 2020 gelang, mittels eines manipulierten Software-Updates in mehrere gut geschützte Netzwerke der amerikanischen Bundesverwaltung einzudringen.
Neues Ziel von APT 29 spiegelt Interesse des Kremls wider
Dass sich der russische Auslandsnachrichtendienst neu für einzelne Parteien interessiert, ist kein Zufall. Für die russischen Nachrichtendienste gebe es derzeit ausserhalb der Ukraine keine wichtigere Aufgabe, als die politische Dynamik im Westen zu beobachten, sagt der Mandiant-Analyst Black. Die Gruppe APT 29 sei sehr flexibel und richte sich jeweils nach den Brennpunkten der russischen Politik aus. «Wenn APT 29 ein neues Ziel hat, spiegelt das sehr stark das Interesse höherer Stellen in der russischen Regierung wider.»
Angesichts der deutschen Debatte um die Unterstützung der Ukraine erscheint das Interesse Russlands nur logisch. Das zurückhaltende Agieren von Bundeskanzler Olaf Scholz und die Kritik der CDU an der Regierung spielen Russland in die Hände. Für den Kreml ist es deshalb von grösster Wichtigkeit, welche Positionen sich innerhalb der Parteien durchsetzen.
Doch vermutlich werden sich die Aktivitäten des russischen Auslandsgeheimdienstes in Zukunft nicht nur auf Parteien in Deutschland beschränken. Mandiant geht aufgrund früherer Beobachtungen davon aus, dass APT 29 auch in anderen Ländern Parteien oder Nichtregierungsorganisationen angreifen könnte. Bei vielen westlichen Staaten dürften die innenpolitischen Diskussionen um die Ukraine für Moskau interessant sein.
