Spionageabwehr | Geheim- und Sabotageschutz

„GHOSTWRITER“: Phishing-Kampagne gegen deutsche Politiker

Staatlich gesteuerte Cyberangriffskampagnen verfolgen in der Regel zwei „klassische“ Ziele: Spionage- und Sabotagehandlungen im Cyberraum. Mittels dieser Angriffe versuchen Staaten, an fremdes Know-how zu gelangen. Politische wie auch wirtschaftliche Interessen stehen hierbei im Vordergrund. Cybersabotage verfolgt hingegen das Ziel, ausgewählte Opfersysteme ggf. nachhaltig zu schädigen. In jüngster Zeit war die Angreifergruppierung „GHOSTWRITER“ besonders aktiv; es steht zu befürchten, dass u. a. vor der Bundestagswahl im September 2021 verstärkt Aktionen von ihr ausgehen. 

In den vergangenen Jahren war zu beobachten, dass fremde Staaten den Cyberraum in Form von Desinformationskampagnen nutzen, die systematisch initiiert werden und mittlerweile ein Teil ihrer hybriden Strategien sind. Durch die gezielte Verbreitung von Falschinformationen wird versucht, Politik, Gesellschaft oder bestimmte Personengruppen zu beeinflussen. Zielrichtung solcher Kampagnen ist die Infragestellung freiheitlicher, demokratischer Werte sowie des gesellschaftlichen Zusammenhalts in Deutschland und in westlichen Staaten allgemein. Offene, pluralistische und demokratische Gesellschaften bieten den Angreifern hierfür große Angriffsflächen.

Die Verwendung legitimer Onlineforen, Blogs sowie sozialer Medien wie Twitter oder Facebook geben fremden Staaten ein effektives Mittel an die Hand, um Falschinformationen in kürzester Zeit einem großen Empfängerkreis zugänglich zu machen. Über solche digitalen Plattformen werden unter anderem gefälschte Dokumente verbreitet, beispielsweise Pressemitteilungen oder Korrespondenz von Regierungsstellen sowie erfundene Zitate von politischen und militärischen Amtsträgern.

Weiteres Mittel zur Verbreitung von Desinformationen oder zur Beeinflussung der öffentlichen Meinung waren in der Vergangenheit sogenannte Hack-and-Publish- oder Hack-and-Leak-Operationen. Hierbei versuchen Angreifer unter Verwendung bekannter Angriffsvektoren, etwa mittels Versand von Spear-Phishing-Mails, sich zunächst die notwendigen Zugänge zu Opfersystemen zu verschaffen. Im Fokus stehen insbesondere Zugangsdaten (z. B. Benutzerkennungen, Passwörter, Kennwörter, PINs) der Opfer zu privaten oder dienstlichen E-Mail-Konten sowie zu Benutzerkonten bei sozialen Medien. Gelangen solche Daten in die Hände der Angreifer, können diese die legitimen Dienste und Nachrichtenportale Betroffener dazu missbrauchen, um gezielt Falschinformationen zu verbreiten (Hack-and-Publish-Operationen). Bei einer Hack-and-Leak-Operation versuchen die Angreifer, über das Abgreifen von Zugangsdaten zunächst an sensible oder private Informationen der Opfer zu gelangen, um diese später gezielt zu veröffentlichen. In beiden Fällen ist es das Ziel, das öffentliche Meinungsbild über betroffene Personen oder über eine bestimmte Stelle (z. B. eine Partei oder Organisation) negativ zu beeinflussen.

Aktivität von „GHOSTWRITER“ 

Als mutmaßlicher Urheber derartiger Phishing-Angriffe war in der Vergangenheit insbesondere eine Gruppierung namens „GHOSTWRITER“ aktiv. Diese Gruppierung führt seit 2017 anhaltend Cyberangriffe und Desinformationskampagnen durch. Eine Intensivierung und Eskalation ihrer Aktivitäten und vermehrte Desinformationsoperationen im Vorfeld der anstehenden Bundestagswahl 2021 stehen zu befürchten. Die Aktivitäten von „GHOSTWRITER“ wurden erstmalig in einem Bericht des IT-Sicherheitsdienstleisters FireEye[1] umfassend beschrieben, von dem auch die Bezeichnung für diesen Cyberakteur stammt.

Modus Operandi von „GHOSTWRITER“ in jüngster Vergangenheit waren Phishing-Angriffe gegen E-Mail-Konten von politisch aktiven Personen und Organisationen in Deutschland, auch in Baden-Württemberg. Es ist davon auszugehen, dass die Angreifergruppierung bereits im Vorfeld der Attacken Social-Engineering-Maßnahmen[2] durchgeführt hat. Hierbei bedienen sich die Angreifer offen zugänglicher Informationen, um beispielweise an E-Mail-Adressen potenzieller Opfer zu gelangen. Im Folgenden versenden sie gezielt Phishing-Mails, die ihre Empfänger zur Eingabe von sensiblen Daten (PINs, TANs oder Passwörter) verleiten sollen. Mit Klick auf in der Phishing-Mail eingebaute Links werden die Opfer aber auf eine nachgebaute Login-Seite der Angreifer geleitet. Die Anmeldedaten werden nach der Eingabe automatisch an den Angreifer übermittelt, der dadurch Kontrolle über den E-Mail-Dienst erlangt. 

Die Angreifer fälschen in der Regel den Absender von E-Mails, um beim Empfänger die Legitimität dieser Mails vorzutäuschen. Als Absendeadressen wurden nach derzeitigem Stand vor allem die E-Mail-Adressen „mailing@gmx.de“ oder „mailing@t-online.de“ verwendet. Es ist allerdings nicht auszuschließen, dass auch Nutzer anderer E-Mail-Anbieter in den Fokus der Angriffskampagne geraten sind.

Die Cyberabwehr des Landesamts für Verfassungsschutz hat aufgrund einer solchen Phishing-Angriffswelle umfangreiche Sensibilisierungsmaßnahmen im Land eingeleitet. Politisch aktive Stellen und Personen wurden entsprechend sensibilisiert und Handlungsempfehlungen übermittelt. Die Cyberabwehr geht davon aus, dass mit derartigen Angriffshandlungen auch zukünftig zu rechnen ist, und steht allen politisch aktiven Stellen und Personen im Land als Ansprechpartner zu diesem Fallkomplex zur Verfügung.



Erläuterungen:

  1. Abrufbar unter https://www.fireeye.com/content/dam/fireeye-www/blog/pdfs/Ghostwriter-Influence-Campaign.pdf, abgerufen am 30. April 2021).
  2. Siehe Verfassungsschutzbericht 2019, S. 295 ff.

Diese Website verwendet Cookies. Weitere Informationen erhalten Sie in der Datenschutzerklärung.