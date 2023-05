Im Krieg in der Ukraine folgt seit 14 Monaten ein Cyberscharmützel dem nächsten. Nun gibt es von der Cyberfront handfeste Neuigkeiten, sogar in großen Teilen überprüfbar: Die durch den Angriff auf den Deutschen Bundestag im Jahr 2015 bekannt gewordene russische Cybertruppe APT 28 alias "Fancy Bear" hat einen neuen Kommandanten und dessen Daten sind nun öffentlich einsehbar.

Laut ukrainischen Quellen soll es sich dabei um Oberleutnant Sergei Morgachev handeln, über den eine ganze Datensammlung publiziert wurde. Wie alle anderen solchen Gruppen aus Russland, die in Friedenszeiten in einer ganzen Reihe von europäischen Staaten aufgefallen waren, wird APT 28 jetzt in der Ukraine eingesetzt. Aus der Dokumentensammlung lässt sich die gesamte, bisherige Karriere eines Oberleutnants des Militärgeheimdienstes GRU rekonstruieren.

Sergei Aleksandrovich Morgachev ist ein gebürtiger Ukrainer aus Kiew. Laut auf der Website InformNapalm veröffentlichten Dokumenten hatte Morgachev von 1994 bis 1999 an der Akademie des zivilen Inlandsgeheimdienstes FSB in Moskau studiert und in Folge beim militärischen Geheimdienst GRU eine Karriere wie aus dem Bilderbuch hingelegt. (Bild: InformNapalm)

Die Einheit 26165 des GRU

Direkt nach dem Studium hatte Morgachev seinen Dienst bei der Einheit 26165 beim GRU angetreten. Die nunmehr publizierten Dokumente sind weitgehend aktuell, die jüngsten mit August 2022 datiert. Das Konvolut stammt angeblich von "Hacktivisten", die diese Dokumentensammlung der "Volunteer Intelligence Community" von InformNapalm zur Analyse übergeben hatten.

Für ein Land im Kriegszustand wie die Ukraine ist eine solche Ansammlung von "Freiwilligen" und "Hacktivisten", die professionelle Aufdeckung leisten, schon einigermaßen auffällig. Die Angaben lassen sich naturgemäß nicht überprüfen, die veröffentlichten Dokumente allerdings bis zu einem gewissen Grad schon. Oberleutnant Morgachev ist nämlich nicht erst im Ukrainekrieg durch seine Teilnahme an Cyberangriffen aufgefallen.

Der Angriff auf die US-Präsidentschaftswahlen 2016

Sein Name findet sich schon in einer US-Anklageschrift aus dem Jahr 2018, sie betrifft die Angriffe auf das "Democratic Congressional Campaign Committee" (DCCC) und den Demokratischen Nationalkongress (DNC) vor den US-Präsidentschaftswahlen 2016. Schon damals war Morgachev im Rang eines Teamleiters bei der Einheit 26165 gewesen, er war also einer der Akteure von "Fancy Bear".

2018 wurde ihm die Entwicklung einer Schadsoftware namens "X-Agent" vorgeworfen, mit der die Netzwerke der Demokratischen Partei angegriffen wurden. Oberleutnant Morgachev selbst war laut Anklageschrift mit der operativen Leitung dieses Angriffs betraut. Die dort erbeuteten Dokumente wurden als "DCLeaks" für verdeckte Propaganda im Netz gegen die Präsidentschaftskandidatin Hillary Clinton benutzt.

Auszug aus der Anklageschrift von 2018 gegen Morgachev und elf weitere Angeklagte, die mehreren verschiedenen GRU-Einheiten angehören. Die US-Dienste hatten damals noch mehr als ein Jahr gebraucht, um diese Liste der zwölf Delinquenten und ihrer Funktionen zusammenzustellen. (Bild: justice.gov)

Nichts Skandalöses, aber ein Skandal

2016 hatten die Cybertruppen des GRU einen Mietrechner in einem Rechenzentrum in Illinois benutzt, um die Daten aus dem Netzwerk der Demokratischen Partei auszuleiten und in Folge nach Moskau zu transportieren. Von den Angreifern war nämlich keiner vor Ort in den USA. Die Angriffe selbst wurden zu Moskauer Bürozeiten durchgezogen, wenn in den USA noch alles schlief.

Wieweit mit diesen Cyberscharmützeln auf der Informationsebene dann tatsächlich Einfluss auf das Resultat der US-Präsidentschaftswahlen ausgeübt wurde, lässt sich auch heute noch nicht mit Bestimmtheit sagen. Klar ist jedoch, dass Wladimir Putin die Wahl Hillary Clintons zur US-Präsidentin unbedingt verhindern wollte. Und dafür hatte er seine verfügbaren Mittel im Cyberraum eingesetzt.

Das Paradoxe an diesen Leaks war, dass überhaupt nichts Skandalöses an den Tag kam. Die veröffentlichten Dokumente zeigten nur, dass eine Mehrheit des demokratischen Establishments Hillary Clinton bevorzugt hatte und verhindern wollte, dass ihr der linksliberale Senator Bernard Sanders in den Vorwahlen zu nahe kam.

Die Wahlkampfbrigade Donald Trumps, unterstützt von den Kommentatoren der rechtsgewirkten Boulevard-Senderkette Fox und dem weltweiten Netz des russischen Staats-TV RT hatte daraus den Skandal aller Skandale gemacht. Wikileaks hatte bei dieser Inszenierung in einer wenig rühmlichen Rolle mitgespielt.

Vom GRU-Kommandanten zum Schadsoftware-Entwickler

Auch in den ersten Monaten des Ukrainekriegs 2022 stand Morgachev für den GRU im operativen Einsatz, zuletzt war er Abteilungskommandant der Einheit 26165. Aus den veröffentlichten Dokumenten geht aber hervor, dass er im August 2022 auf einen neuen Posten berufen wurde. Oberleutnant Morgachev ist seitdem "Programmiertechniker Erster Klasse", er ist also inzwischen eine Art Schadsoftware-Entwickler des GRU in leitender Funktion.

Sein jetziger Arbeitsplatz ist im Zentrum für spezielle Technologien in St. Petersburg. Dieses Zentrum wurde schon zu Kriegsbeginn von allen westlichen Staaten mit Sanktionen belegt.

Auch dieses eingescannte Dokument wurde im Mailverkehr Morgachevs gefunden. Laut InformNapalm ist es sein Antrag auf Ausstellung einer entsprechenden "Security Clearance" für seinen neuen Posten als Malware-Architekt. (Bild: InformNapalm)

Merkwürdіgkeiten in der Mailbox

Es ist schon einigermaßen merkwürdig, dass ein auf Geheimhaltung trainierter Militärgeheimdienstmann derart sensible und vor allem verräterische Dokumente in seiner Mailbox aufbewahrt. Nach deren Publikation kann dieser Oberleutnant des GRU eines seiner mutmaßlichen Karriereziele bereits streichen, nämlich einen der begehrten, weil hochdotierten Posten in einer Botschaft der Russischen Föderation.

Alleine in Wien sind bei der diplomatischen Vertretung Russlands bei den Vereinten Nationen mehrere Dutzend russische Staatsbürger als Diplomaten oder auch technisches Personal akkreditiert. Ein Teil davon ist mit der Auswertung der Datenströme beschäftigt, die von den Transpondern westlicher Satelliten abgezogen werden, dazu kommen Satellitentechniker, da einzelne Schüsseln regelmäßig auf andere Ziele ausgerichtet werden. Für Karriere-Geheimdienstleute gibt es da laufend mehr als genug zu tun.

Epilog zum Angriff auf die IT des Deutschen Bundestags

Wie die überwiegende Mehrzahl der Attacken von Cybertruppen des GRU hatte der Angriff auf die IT-Infrastruktur des Deutschen Bundestags von 2015 weniger der Informationsbeschaffung als vielmehr einer Machtdemonstration gedient. Mit der gleichzeitigen Aktivierung der vorher eingeschleusten Schadsoftware auf mehreren Rechnern quer durch die IT des Deutschen Bundestags wurde der Angriff sofort publik. Letztendlich hatte sich die Bundestagsverwaltung dazu entschließen müssen, die gesamte Hardware auszutauschen, da es nicht auszuschließen war, dass noch mehr Malware auftauchen würde.

