Das Zentrum für Informationssicherheit des russischen Geheimdienstes FSB hat zurückverfolgt, von welchen Servern diese Angriffe kamen. Das haben übereinstimmend mehrere russische Medien berichtet. Sicher scheint, dass Cyberangriffe im US-Wahlkampf von Servern aus dem Unternehmensimperium von Pawel Wrubljewskij durchgeführt wurden. Wer die Software dort installiert hat, das ist damit noch nicht geklärt. Hier die wichtigsten Informationen aus dem Gespräch, das WDR 5 Leonardo mit dem IT-Experten Peter Welchering geführt hat.

Hacker tarnen ihre IP-Adresse

Normalerweise kann man jeden Rechner weltweit über die Rückverfolgung der IP-Adresse ausmachen. In jedem Datenpäckchen ist ja auch die Absenderadresse gespeichert. Aber Online-Kriminelle verschleiern ihre IP-Adresse. Sie täuschen also vor, mit einem ganz anderen Rechner im Netz unterwegs zu sehen. Der PC kann also scheinbar in Russland stehen, in Wirklichkeit steht er aber beispielsweise in den USA oder Europa.

IT-Experte Welchering

Deswegen heißt das auch nicht viel, wenn ein Geheimdienst behauptet, die IP-Adressen führen nach Russland oder wo anders hin. Die russischen Geheimdienste haben deswegen auf eine andere Methode gesetzt, die haben eine Art Fingerabdruck des Servers in der Schadsoftware genommen, mit der der Angriff durchgeführt wurde.



FSB hat bei der Untersuchung Trick angewendet

Schadsoftware muss ja, wie jede andere Software in maschinenlesbaren Code umgewandelt werden. Nur dann kann der Computer damit arbeiten. Diese Umwandelungs-Software, die das macht, nennt man Compiler. Und solche Compiler und ihre Computerumgebung kann man über Seriennummern, das Installationsdatum und über individuelle Einstellungen ermitteln. Wenn man sich jetzt also ein Programm, egal ob eine Textverarbeitung oder eine Schadsoftware, die Hackerangriffe ausführt, genau unter die Lupe nimmt, kann man erkennen, von welchem Compiler, sie wo bearbeitet wurde. So die Idee.

Was haben die russischen IT-Experten gefunden?

Digitaler Fingerabdruck gibt neue Hinweise

Die Seriennummer dieser Umwandlungs-Software, dieses Compilers haben die IT-Experten zwar nicht herausgefunden, aber sie konnten in Proben der Schadsoftware auf den gehackten amerikanischen Servern offenbar Hinweise auf diese Compiler und andere individuelle Rechnereinstellungen finden. Und dabei kam raus, dass für die Cyberangriffe im US-Wahlkampf offenbar Server aus dem Unternehmensimperium des bekannten russischen Geschäftsmanns Pawel Wrubljewskij genutzt wurden. Das haben mir mehrere russische IT-Experten so berichtet. Pawel Wrubljewskij hat zum Beispiel das Multimedia-Unternehmen Chronopay gegründet. Ob Pawel Wrubljewskij von diesen Angriffen wusste, inwieweit der Kreml dahintersteckt, das kann man natürlich nicht eindeutig sagen. Dafür gibt es eben keine Beweise.

Schuldfrage immer noch nicht abschließend geklärt

Im Grunde ist es immer noch möglich, dass diese Schadsoftware auch von außen auf diese Rechner von dem Geschäftsmann gekommen ist. Man weiß nicht, ob sie aus Russland oder von wo anders herkam. Aber man weiß, dass sie dort in diesem Computer-System verarbeitet („compiliert“) wurde.

Mehrere Quellen lassen Hinweise plausibel erscheinen

Russischer Oligarch verwickelt

Für die neuen Erkenntnisse hat der WDR drei Informationsquellen: Erstens Berichte russischer Medien, zweitens Informationen russischer IT-Sicherheitsunternehmen und drittens die von amerikanischen Nachrichtendiensten veröffentlichten Vermutungen. Bei russischen Medien und US-Nachrichtendiensten haben wir es häufig mit gesteuerten Informationen zu tun. Aber was Mitarbeiter von russischen IT-Sicherheitsunternehmen sagen, das klingt nach Angaben des IT-Experten Welchering durchaus plausibel.

Der Gründer des Multimedia-Unternehmens Chronopay, Pawel Wrubljewskij, war wegen unterschiedlicher Cyberangriffe, die von seinen Servern ausgingen, im Jahr 2013 verurteilt worden. Russische Medien berichten nun, dass der Leiter des FSB-Zentrums für Informationssicherheit gegen Wrubljewskij in Sachen US-Wahlkampf ermittelt hat und die Ermittlungsergebnisse an US-Nachrichtendienste weitergegeben haben soll.

Spuren im Maschinencode

IT-Forensiker suchten nach Hinweisen

Und das führt dann zu einem spannenden technischen Hintergrund. Der wiederum wird nicht in den Medien diskutiert, sondern stammt von russischen IT-Forensikern. Der Maschinencode der Schadsoftware enthält immer ein paar Informationen über den Ursprung. Und dazu zählen auch die Informationen, die diese Umwandlung-Compiler-Software da reinschreibt. Wie russische IT-Sicherheitsexperten berichteten, haben die Spezialisten des FSB diese Compiler-Informationen, also den digitalen Fingerabdruck, mit vorliegenden digitalen Fingerabdrücken verglichen. Den digitalen Fingerabdruck von den Servern aus dem Unternehmensverbund von Pawel Wrubljewskij hatten die FSB-Ermittler vorliegen, weil sie Wrubljewskij kennen und beobachten. Immerhin ist der wegen Cyberkriminalität schon einmal verurteilt worden. Die Ermittler hatten also ein sehr starkes Indiz. Es war danach offenbar ein russischer Server, von dem aus der Hackerangriff kam - dazu mit Methoden, die besser sind als die von den amerikanischen Sicherheitsbehörden verwendeten.

Stand: 03.02.2017, 16:30