Cyberangriff auf einen investigativen Journalisten

Ein Mitarbeiter von Bellingcat und Tamedia wurde Ziel einer Phishingattacke. Sie kam vermutlich aus Russland.

Büro von Protonmail in Genf: Die Phishingmail kam scheinbar von diesem Provider. Foto: Protonmail

Büro von Protonmail in Genf: Die Phishingmail kam scheinbar von diesem Provider. Foto: Protonmail

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Die Warnung wirkte sehr überzeugend: Passwörter seien entschlüsselt worden, die Privatsphäre sei in Gefahr, stand da in einer Mail, die scheinbar vom Genfer Mailprovider Protonmail kam: Um die Sicherheit wiederherzustellen, müsse man einem Link folgen und ein neues Passwort eingeben. «Es wirkte alles sehr echt», sagt der Empfänger dieser Mail, Christo Grozev: «Ich war aber gewarnt worden.» Hätte Grozev den Link angeklickt, hätte er damit ungebetene Gäste in sein Protonmail-Konto gelassen – und die hätten dann seinen gesamten Mailverkehr lesen können.

Was sich als Warnung des Providers tarnte, war eine Phishing­attacke – ein Versuch, über einen falschen Link Passwörter zu stehlen. In diesem Fall ging es schief, denn ganz unerwartet kam der Angriff nicht: Christo Grozev ist Internetexperte und arbeitet für das Recherchenetzwerk Bellingcat, das den ­Abschuss des malaysischen ­Pas­sagierflugzeugs mit der Flugnummer MH 17 über der Ukraine durch eine russische ­Rakete aufklärte und das die Identität jener russischen Spione aufdeckte, die das Giftattentat auf den Überläufer Sergei Skripal in Grossbritannien verübt hatten.

Menschliche Schwächen

In den vergangenen Wochen arbeitete Grozev mit Tamedia an einer detaillierten Beschreibung, wie und wo sich einer der drei Skripal-Attentäter in den Monaten zuvor in der Schweiz bewegt hatte. Der Versuch, an sein Passwort zu kommen, folgte kurz danach. Ein Zusammenhang ist wahrscheinlich.

Die Firma Protonmail bietet einen sicheren Mailverkehr durch mehrfache Verschlüsselung an. Für den aktuellen Versuch, an das Passwort eines Kunden zu kommen, bastelten die Angreifer eine Oberfläche, die dem Auftritt von Protonmail täuschend ähnlich sah. Die Sicherheit des Systems sei dadurch jedoch nicht gefährdet worden, sagt Protonmail-Gründer und CEO Andy Yen: Weil die Angreifer nicht ins System hätten eindringen können, habe ihr Angriff auf Kunden gezielt, «um menschliche Schwächen auszunützen».

Protonmail untersuchte in den vergangenen 24 Stunden die falsche Seite und kam zum Schluss, dass die Angreifer technisch versiert sein mussten und viel Geld und Zeit in ihre Attacke investierten. Bellingcat vermutet, dass dahinter die russische Hackergruppe APT28 steht, die im Westen auch als «Fancy Bear» bekannt ist. Sie soll dem Militärgeheimdienst GRU unterstehen. «Unsere internen Ermittler und unabhängige Analytiker fanden Hinweise, dass die Attacke von Russland ausging», sagt Andy Yen: «Wir können andere Akteure aber nicht ausschliessen.»

Die GRU verübte in den vergangenen Jahren immer wieder Hackerangriffe in der Schweiz, unter anderem auf den Weltfussballverband Fifa und auf Delegierte der Anti-Doping-Agentur Wada.

Da Protonmail eine Schweizer Firma ist, wurden die Bundeskriminalpolizei Fedpol und die Melde- und Analysestelle Informationssicherheit (Melani) des Bundesrates informiert. Die Schweizer Behörden verweigern jegliche Auskunft zu dem Fall.

Bellingcat hatte kurz nach dem Giftanschlag auf Sergei Skripal die wahre Identität der GRU-Agenten enthüllt, die mutmasslich das Nervengift Nowitschok an Skripals Haustür anbrachten. In diesem Jahr konnte dann der dritte GRU-Mann identifiziert werden, der vermutlich den Anschlag koordiniert oder überwacht hatte. Sein echter Name lautet Denis Sergejew, er reiste allerdings stets unter seinem Tarnnamen Sergei Fedotow.

In den Monaten vor dem Anschlag auf Skripal hielt sich Sergejew alias Fedotow mehrmals in der Schweiz auf. Da Bellingcat Zugriff auf die Daten seines Mobiltelefons hatte, war es gemeinsam mit dem Recherchedesk von Tamedia möglich, die Aufenthaltsorte und -zeiten des GRU-Offiziers in der Schweiz exakt zu bestimmen. Der Artikel erschien in dieser Zeitung und auf der Website von Bellingcat am 6. Juli. Zwei Wochen später begannen die Phishingversuche via Protonmail.

Erstellt: 29.07.2019, 20:35 Uhr

Artikel zum Thema

Sie erhalten 80 Franken für jeden Tag zu viel in Schweizer Zellen

Drei Datendiebe sassen jahrelang im Gefängnis, wurden am Ende aber nur zu sechs Monaten verurteilt. Jetzt muss der Bund tief in die Taschen greifen. Mehr...

Kims Hacker greifen Schweizer Banken an

Die Attacke aus Nordkorea erfolgte mit E-Mails, die als Bewerbungsschreiben getarnt waren. Mehr...

Trump und der Cyberkrieg im Stromnetz

Die «New York Times» berichtet, die USA hätten Russland mit Schadsoftware angegriffen. Für Präsident Trump ist das Verrat. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Kommentare

Weiterbildung

Banken umwerben Frauen

Weltweit steigt das Privatvermögen von Frauen. Banken zeigen, wie dieses gewinnbringend anzulegen ist.

Die Welt in Bildern

Feuerschweif: Eine Spezialeinheit demonstriert am Indian Navy Day in Mumbai ihr Können. (4. Dezember 2019)
(Bild: Francis Mascarenhas) Mehr...