Cozy Bear: Kreml-Hackerangriff auf deutsche Politiker

Cozy Bear:Kreml-Hackerangriff auf deutsche Politiker

von Hannes Munzinger, Julia Klaus

22.03.2024 | 18:17

|

Russische Hacker der Gruppe "Cozy Bear" haben versucht, deutsche Politiker auszuspionieren. Die Hacker gaben sich als Organisatoren einer CDU-Veranstaltung aus.

Russland, Moskau: Der zugefrorene Moskwa-Fluss und der Kreml sind während des Sonnenuntergangs zu sehen.

Kreml-Hacker haben vermutlich einen Hackingangriff auf deutsche Politiker gestartet.

Quelle: dpa

Die russische Hackergruppe "Cozy Bear" hat versucht, deutsche Politiker mittels Schadsoftware anzugreifen. Das zeigt ein Bericht der IT-Sicherheitsfirma Mandiant, der ZDF Frontal vorliegt. Demnach verschickten die Hacker fingierte Einladungen zu einer CDU-Veranstaltung am 1. März. Hinter Links in den Mails verbarg sich Spionagesoftware. "Cozy Bear" - auch bekannt als APT29 - wird dem russischen Auslandsnachrichtendienst SWR zugerechnet.

Die Einheit ist auf politische Spionage spezialisiert. Laut Mandiant ist es jedoch der erste bekannte Fall, in dem Cozy Bear Phishing-Mails auf Deutsch verschickt. Außerdem habe die Gruppe bisher eher Diplomaten und Regierungsvertreter als Parteien angegriffen.

Unklar, ob die Hacker erfolgreich waren

Ob die Angriffe erfolgreich waren, ist bisher unklar. John Hultquist, Chef-Analyst bei Mandiant erklärte, das Unternehmen habe seine Erkenntnisse sowohl der CDU als auch deutschen Behörden mitgeteilt.

Ein CDU-Sprecher bestätigte auf Frontal-Anfrage, dass man in dem beschriebenen Fall "sehr zeitnah Hinweise auf den Angriff enthalten" habe. Und weiter:

Am 1. März gab es kein offizielles Abendessen der CDU, die Veranstaltung war frei erfunden.

CDU-Sprecher

Bildcollage: Wladimir Putin (rechts im Bild), Satellit im Weltall (links im Bild)

Tausende interne Unterlagen des russischen IT-Unternehmens NTC Vulkan geben erstmals einen Einblick in Putins digitale Cyberkriegspläne. 11.04.2023 | 28:06 min

Fake-Einladung mit Schadsoftware

Wie der "Spiegel" zuerst berichtete, haben sich bereits sowohl der Bundesverfassungsschutz als auch das Bundesamt für Sicherheit in der Informationstechnik mit der Attacke beschäftigt und ein gemeinsames Warnschreiben verschickt.

Die Mails, mit denen die Hacker die Politiker ködern wollten, luden zu einem vermeintlichen Abendessen der CDU ein. Allerdings enthielt die Einladung mehrere Auffälligkeiten: Als Veranstalter war zunächst ein "regionales repräsentatives Amt der Partei" genannt, das so nicht existiert, im weiteren Verlauf der Nachricht war die Rede von einer "regionalen Repräsentanz des Teils". Möglicherweise ein Übersetzungsfehler.

CDU, Fake, Einladung

Fingierte Einladung aus der Mail.

Ein Thema des Abends oder einen Veranstaltungsort nannte die Mail nicht, beinhaltete aber einen Link zu allen "erforderlichen Informationen für die Veranstaltung" - dahinter verbarg sich laut Mandiant die Schadsoftware. Dan Black, ein Analyst bei dem Google-Unternehmen, sagt dazu:

Außerhalb der Ukraine gibt es für Russlands Geheimdienste derzeit keine größere Priorität als die Überwachung der sich verändernden politischen Dynamik im Westen.

Dan Black, Analyst bei Mandiant

Der Angriff ziele nicht nur auf die CDU und Deutschland, sondern sei als Teil einer größeren Anstrengung Russlands zu verstehen, die Unterstützung europäischer Staaten für die Ukraine zu untergraben, so Black. "Die Angriffe auf die CDU sollten ein Warnsignal für andere politische Parteien und zivilgesellschaftliche Gruppen in ganz Europa und im Westen sein, dass sie mit ziemlicher Sicherheit ebenfalls im Visier des Kremls stehen", so Black weiter.

Programmierungssprache

Innenministerin Faeser hat heute ein neues IT-Lagezentrum in Bonn eröffnet. Es soll kritische Infrastruktur besser vor Cyberattacken schützen. Spezialisten behalten die Sicherheitslage hier rund um die Uhr im Blick.06.02.2024 | 1:47 min

Cozy Bear bekannt durch US-Demokraten-Hack

John Hultquist, Mandiant-Experte für die Strategien russischer Hackergruppen, betont:

Es gibt keinen Grund zur Annahme, dass diese Aktivitäten auf eine bestimmte Partei oder ein bestimmtes Land beschränkt sind. Die Antworten, nach denen Russland sucht, sind mit ziemlicher Sicherheit über verschiedene Organisationen verteilt, die alle ins Visier der Sammlungsbemühungen geraten können.

John Hultquist, Mandiant-Experte

Die Hackergruppe Cozy Bear wurde einer breiteren Öffentlichkeit bekannt, weil sie - mutmaßlich gemeinsam mit einer zweiten russischen Hackergruppe - Server der US-Demokraten hackte.

Nachrichten | Thema
:Hackerangriffe

Cyberattacken bedrohen den Alltag. Das nutzen auch Staaten für sich aus. Wie sicher sind unsere Parlamentswahlen? Aktuelle News und Hintergründe zu Hackerangriffen im Überblick.

Die CDU will mehr Befugnisse zur Abwehr von Cyberattacken.

Thema

Mehr zu Hackerangriffen

Passwort Symbolbild: Auf dem Bildschirm eines Laptops sieht man die Dialog-Box eines Passworts

mit Video

Mails und Quellcodes betroffen:Russische Hacker greifen Microsoft-Code an

Ein mann bedient eine beleuchtete tastatur eines laptops.

Digitaler Ukraine-Krieg 2022:Hunderte Attacken von pro-russischen Hackern

Nordrhein-Westfalen, Bonn: Das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Analyse

Russland späht Bundeswehr aus:Was Deutschland aus dem Leak lernen sollte

von Peter Kunz

Baden-Württemberg, Karlsruhe: Soldaten telefonieren in einem Raum des Gesundheitsamtes Karlsruhe. Archivbild

mit Video

Nach Taurus-Abhöraffäre:Wie sicher ist die Bundeswehr-Kommunikation?

von Julia Klaus, Nils Metzger