Ein Hack der mit Russland verbundenen ColdRiver-Gruppe deckte die Kontakte und E-Mail-Kommunikation des ehemaligen MI6-Chefs Richard Dearlove mit Regierungs-, Militär-, Geheimdienst- und politischen Beamten auf
Eine russische Cyber-Angriffsgruppe zielt seit mindestens sieben Jahren auf Politiker, Journalisten und Militär- und Geheimdienstbeamte in ganz Großbritannien und Europa ab und hat möglicherweise Zugriff auf und Daten von Zielcomputern und -telefonen für zukünftige Operationen gespeichert, so die von Computer analysierten Daten Wöchentlich.
The group’s greatest success to date has been to publicly compromise emails and documents from Richard Dearlove, a top British spy chief and former head of MI6, as well as over 60 others in a secretive network of right-wing activists set up in 1988 to campaign for extreme separation of Britain from the European Union. Dearlove was chief of the UK Secret Intelligence Service (SIS) from 1999 to 2004, holding the post immortalised in James Bond films and fiction as “M” – although in real life the role is known as “C”.
Der bisher größte Erfolg der Gruppe war die öffentliche Kompromittierung von E-Mails und Dokumenten von Richard Dearlove, einem hochrangigen britischen Spionagechef und ehemaligen Leiter des MI6, sowie von über 60 anderen in einem geheimen Netzwerk rechter Aktivisten, das 1988 für Kampagnen gegründet wurde für die extreme Trennung Großbritanniens von der Europäischen Union. Dearlove war von 1999 bis 2004 Chef des britischen Geheimdienstes (SIS) und bekleidete den Posten, der in James-Bond-Filmen und Fiktionen als „M“ verewigt wurde – obwohl die Rolle im wirklichen Leben als „C“ bekannt ist.
Zu den „politischen Zielen“ der Gruppe gehörte es, „diesen Ministerpräsidenten notfalls abzusetzen und durch einen zweckdienlichen zu ersetzen“ und „zu gegebener Zeit den verschmutzten öffentlichen Dienst von oben bis unten zu säubern“.
Jede Seite von Prins’ Plan, der zu den Tausenden von durchgesickerten E-Mails und Dokumenten gehörte, war in roten Großbuchstaben mit dem Wasserzeichen „Streng geheim“ versehen, als wäre er ein echter Regierungsplan. Die letzte Seite, schrieb Prins, war „super streng geheim“, weil sie das Top-Team „Op Surprise“ auflistete und die Leute identifizierte, die sie rekrutieren wollten.
Neben Dearlove und Prins und Gisela Stuart, einer ehemaligen Labour-Abgeordneten, die Boris Johnson beim Brexit unterstützte, als Vorsitzende waren das Team, das Großbritannien „retten“ sollte, der pensionierte Cambridge-Geschichtsprofessor Robert Tombs, der Vote Leave-Organisator Matthew Elliott, Anwälte für den britischen Organisator Martin Howe KC und Robert Salisbury, der Marquis von Salisbury.
Dearloves E-Mails und Dateien gehörten zu den 22.002, die von verschlüsselten Protonmail-Konten gesammelt und auf einer anonym registrierten Website namens Sneakystrawhead zur Verfügung gestellt wurden, die zuerst ist am 20. April 2022 im Internet erschienen. Sie besteht aus einer Bildseite, einem kurzen Artikel und ausgewählten Dokumentenauszügen. Die vollständigen E-Mails wurden als 12 komprimierte ZIP-Dateien auf zwei separaten Internetspeicherseiten veröffentlicht.
Computer Weekly hat die Dateien heruntergeladen, sobald sie identifiziert wurden, auf Malware überprüft und alle E-Mails, Dateien und Metadaten zur vollständigen Analyse und für zukünftige Projekte in Freitext- und strukturierte Abfragesysteme geladen.
In den durchgesickerten Dokumenten waren 871 E-Mails und Dateien enthalten, die von Dearlove zwischen 2018 und 2022 gesendet und empfangen wurden und die seine Kontakte und E-Mails mit über 400 Regierungs-, Militär-, Geheimdienst- und politischen Beamten enthüllten. Dazu gehörten der ehemalige Chef des Verteidigungsstabs, Lord Guthrie, und der Befehlshaber des Falklandkriegs, Brigadier Julian Thompson. Mehrere ehemalige hochrangige SIS-Offiziere werden in den E-Mails genannt, ebenso Politiker wie Gisela Stuart, Steve Baker, MP, und Jacob Rees-Mogg, MP.
Dearlove war das bekannteste und wichtigste Ziel für jede von Russland unterstützte Hacking-Gruppe. Beim MI6 leitete er Geheimdienstoperationen im Vorfeld des Irak-Krieges, als die Agentur Geheimdienstberichte erstellte, die von der Regierung verwendet wurden, um ihre Unterstützung für den Krieg gegen Saddam Hussein zu rechtfertigen.
Der anschließende Chilcot-Bericht über den Irakkrieg stellte fest, dass Regierungsangaben zu Geheimdienstinformationen über Massenvernichtungswaffen waren zu unsicher und betonten Unsicherheiten nicht angemessen. Laut Chilcot „gaben die persönliche Intervention [von Dearlove] und ihre Dringlichkeit einem Bericht zusätzliches Gewicht, der nicht richtig bewertet worden war und die Wahrnehmung von Ministern und hochrangigen Beamten beeinflusst hätte“.
Rache für Johnsons Unterstützung für die Ukraine
Auf die Frage, ob er irgendwelche spezifischen Kommentare zur Authentizität oder sachlichen Genauigkeit bestimmter E-Mails und Dokumente hätte, die von seinen Protonmail-Konten gehackt und hier gemeldet wurden, antwortete Dearlove nicht und sagte nur, dass die Interpretation des Materials „fehl am Platz oder einfach falsch“ sei.
Professor Prins bestätigte, Opfer eines „Hack and Leak“-Angriffs des russischen FSB (Bundessicherheitsdienst) geworden zu sein. Der Angriff, sagte er, sei eine „schwere Straftat … ich kann mich nicht dazu äußern“. Er forderte Computer Weekly auf, „die technische Natur der russischen Cyberkriegsführung weiter zu untersuchen“.
Die mutmaßliche russische Website stellte die Dokumente als Verschwörung für einen „sehr englischen Staatsstreich“ dar, der Boris Johnson in die Downing Street bringen sollte. „Was würden Sie sagen, wenn sie Ihnen sagen, dass das Land, in dem Sie leben, von den Putschisten regiert wird?“ fragte es und fügte hinzu, dass „Betrüger ihre Marionette kontrollieren – hinterhältiger Strohkopf“.
Der Name war ein spöttischer Seitenhieb auf Johnson – und wies deutlich darauf hin, warum der russische Geheimdienst plötzlich seine Cyber-Erfolge enthüllte.
Zehn Tage vor der Hacking-Operation, am 10. April 2022, hatte Johnson plötzlich London verlassen, um mit dem ukrainischen Präsidenten Wolodymyr Selenskyj an einem im Fernsehen übertragenen Rundgang in Kiew teilzunehmen. Das Sekretariat und die Sprecher des Kreml äußerten sich wütend. Früher Empfänger von Geldern und Zuwendungen von regierungsnahen russischen Staatsangehörigen, war Johnson jetzt eine dämonische Figur, die sofort aktiv wurde und bald buchstäblich persona non grata in Moskau und aus Russland verbannt.
Die Geschwindigkeit, mit der der russische Geheimdienst dann in der Lage war, das gehackte Material zum Angriff auf Johnson zusammenzustellen, zu kuratieren, zu präsentieren und zu veröffentlichen, deutet stark darauf hin, dass das Hacken von politischen Persönlichkeiten in Großbritannien nicht nach seinem (nach Moskau) unwillkommenen Ausflug nach Kiew begann.
Die undichte Website wurde über sechs Wochen lang nicht veröffentlicht oder gemeldet. Es gibt Hinweise darauf, dass es auf Reddit beworben wurde, aber dann keine Traktion oder Aufmerksamkeit erhielt. Der Reddit-Beitrag wurde gelöscht. Am 15. Mai 2022 wurde die Geschichte des Hacks und Leaks aufgedeckt auf Grayzone, einer US-Website, die laut Wikipedia „pro-russische Propaganda während der russischen Invasion in der Ukraine“ veröffentlichte.
Kit Klarenberg, der Autor, arbeitete bis 2019 für den Radiosender Sputnik von Russia Today. Klarenberg sagte, dass ihm weder beim Schreiben seiner Geschichte noch danach von der russischen Sneakystrawhead-Website erzählt wurde. Er sagte, dass die E-Mail-Kopien und Dateien, die er in seinem Grayzone-Artikel verwendete, anonym über Cloud-Sites an ihn weitergeleitet wurden. Er sagte, dass sein Bericht aufgrund des Rufs von Grayzone zunächst wenig Wirkung oder wahrgenommene Glaubwürdigkeit hatte.
Als Journalisten (einschließlich des Autors dieses Artikels) dann Google nach Sprache durchsuchten, die in einigen der Dokumente in Klarenbergs Geschichte verwendet wurde, stießen sie auf eine Google-Cache-Datei, die auf die Sneakystrawhead-Site verwies. Nachdem sie von Reuters und anderen Publikationen angesprochen wurden, sagten Dearlove, Prins und Tombs, sie seien auf den Hack aufmerksam geworden. Sie und andere haben die Authentizität oder Genauigkeit der E-Mails und Dokumente nicht in Frage gestellt.
In einer Folgegeschichte im Juni 2022 veröffentlichten Klarenberg und Grayzone umfangreiche Details über E-Mails, die von dem linken freiberuflichen Journalisten Paul Mason gehackt und durchgesickert waren, der Putins Krieg in der Ukraine häufig heftig kritisiert hat. Zum Zeitpunkt des Verfassens dieses Artikels gab es keine Beweise dafür, dass der Inhalt von Masons gehacktem Postfach weiter verbreitet oder ins Internet gestellt wurde.
Ausrichtung auf Nato-Länder
Laut mehreren Cyber-Sicherheitsunternehmen begann der noch nicht identifizierte Geheimdienst der Russischen Föderation, der hinter diesen Angriffen stand, Ende 2015, Benutzer in Nato-Ländern, einschließlich Großbritannien, ins Visier zu nehmen. Die Gruppe griff auch die russischen Nachbarländer Georgien, Armenien und Aserbaidschan an.< /p>
Die Gruppe wurde von Microsoft Seaborgium, von Google ColdRiver, von Proofpoint TA446 und von F-Secure Callisto genannt. F-Secure war das erste Unternehmen, das die wichtigsten Angriffsmethoden und -ziele identifizierte. Dabei handelt es sich um eine sorgfältige und selektive Zielaufklärung, gefolgt von Phishing- oder Spearphishing-E-Mails. Es wird auch berichtet, dass sie gefälschte Korrespondenz von E-Mail-Konten verwenden, für die sie Zugangsdaten erworben haben.
Die Sneakystrawhead-Operation weist alle Merkmale klassischer russischer Geheimdienst-Hack-and-Leak-Operationen auf, wie sie 2016 in den Monaten vor der Wahl von Donald Trump umfassend und effektiv eingesetzt wurden. Computer Weekly berichtete zuvor über wie britische und US-amerikanische Akteure Teil einer anschließenden Täuschungsstrategie wurden, um die russische Beteiligung zu verbergen und zu verschleiern.
Anschließend konnte das FBI in den Berichten der Robert-Mueller-Ermittlung über die russische Einmischung in die US-Wahlen 2016 die betroffene Behörde und die betroffenen Agenten identifizieren und die einzelnen betroffenen Beamten als Mitglieder von Einheiten von benennen, beschämen und anklagen der GRU, der russische Militärgeheimdienst.
Die russischen Angriffe von 2016 wurden ursprünglich Cyberangriffsgruppen namens Fancy Bear und Cozy Bear von der Cybersicherheitsgruppe Crowdstrike und anderen Namen von anderen Unternehmen zugeschrieben. Der Sicherheitsdienst der Ukraine hat eine mögliche Verbindung zwischen Cozy Bear und der Gruppe hinter dem Sneakystrawhead-Hacking und damit der GRU vorgeschlagen. Diese Zuschreibung wird jedoch von der Mehrheit der Cybersicherheitsunternehmen nicht bestätigt. Die offensichtlichen alternativen Agenturen sind der SVR, der russische Auslandsgeheimdienst, und der FSB, der föderale Sicherheitsdienst, den Putin leitete, bevor er Präsident wurde.
Sicherheitsforscher sagen, dass die Gruppe, die sie Callisto nennen, weiterhin jede Woche eine neue Phishing-Infrastruktur einrichtet. Microsoft sagte, dass die Gruppe seit Anfang des Jahres bis Mitte September 2022 über 30 Organisationen ins Visier genommen habe.
Die Sicherheitsunternehmen berichten, dass die konsequente Methode der Gruppe Social Engineering war, um Glaubwürdigkeit zu erlangen und Ziele dazu zu bringen, auf bösartige URLs zu klicken oder PDF-Dateien zu öffnen, die bösartige ausführbare Dateien enthalten. Sie „infiltrieren langsam die sozialen Netzwerke von Zielorganisationen durch ständigen Identitätswechsel, Aufbau von Beziehungen und Phishing, um ihr Eindringen zu vertiefen“.
Sie haben „mehrere Jahre lang erfolgreich Organisationen und interessierte Personen in konsistenten Kampagnen kompromittiert und selten die Methoden geändert“. Eine bewährte Methode besteht darin, LinkedIn mit gefälschten Profilen nach Mitarbeitern und Zielen zu scannen. Die Gruppe hat das Vereinigte Königreich bis heute mindestens drei Hack-and-Leak-Operationen unterzogen.
Um weitreichende Angriffe zu ermöglichen, haben die Angreifer viele Dutzend gefälschte Phishing-Adressen registriert, von denen einige wahrscheinlich dazu verwendet wurden, das Netzwerk von Dearlove in seinen Anfängen und seinem Wachstum zu plündern.
Verschlüsselte E-Mails konnten den früheren MI6-Chef nicht schützen
Seit seiner Gründung im August 2018 forderten Prins und Dearlove die Teilnehmer und Co-Plotter auf, sich bei Protonmail, dem in der Schweiz ansässigen Ende-zu-Ende-verschlüsselten E-Mail-Dienst, anzumelden und nur zu verwenden. Bis Ende 2018 stand die Gruppe mit 36 Benutzern von Protonmail in Kontakt, darunter eine Frau, die dazu benutzt wurde, vertrauliche Papiere aus dem öffentlichen Dienst zu erhalten.
Als die E-Mails durchgesickert waren, kommunizierten fast 100 über Protonmail. Dearlove hat sich zunächst als „dickbilling“ angemeldet. Als dieses Konto laut den durchgesickerten E-Mails ohne ersichtlichen Grund auf mysteriöse Weise deaktiviert wurde, äußerte der ehemalige Top-Spionage- und Cybersicherheitsunternehmensleiter keine Bedenken. Er erstellte und verteilte ein neues Konto, „richardteller“. Die Russen haben Post von beiden Konten kopiert und veröffentlicht.
Die gehackten E-Mails zeigen auch, dass Dearlove dann Ratschläge gab, die ebenfalls von den russischen Angreifern kopiert wurden, die ihnen, wenn sie wahr sind, Informationen darüber gegeben haben, wie Mitarbeiter des britischen Geheimdienstes kommunizieren. Am 5. September 2018 forderte Dearlove die Gruppe auf, WhatsApp für Anrufe zu verwenden. „WhatsApp ist sicher“, schrieb er. „Der Aufbau dauert 30 Sekunden. Das bedeutet, dass wir uns wirklich ohne Abhörgefahr unterhalten können … Das System wird häufig von all meinen ehemaligen Kollegen genutzt, wenn sie Privatsphäre brauchen.“
Das Problem, das Cybersicherheitsexperten gut bekannt ist, besteht darin, dass die Verschlüsselung von E-Mails oder anderer Kommunikation während der Übertragung sie oder ihre Benutzer nicht vor Angriffen auf „Endpunkte“ schützt – wie z. B. Mobiltelefone und Geräte, die unvorsichtig oder von Unvorsichtigen verwendet werden, wodurch sie von Phishing-Angriffen übernommen werden können.
Die Geschichte zeigt, dass Dearlove, der nicht geschäftsführender Vorsitzender von Crossword Cybersecurity war und ist, keinen guten Rat gegeben hat. Ob seine Fehlberatung auch seinen früheren Dienst SIS entlarvte, ist nicht bekannt. WhatsApp war damals laut WhatsApp selbst anfällig für Abhörmaßnahmen.
Im Oktober 2019 reichte WhatsApp eine Klage gegen Israel ein -basierte NSO Group, die Schadensersatz und eine einstweilige Verfügung fordert, weil sie Pegasus-Spyware implantiert hat, die eine Schwachstelle des WhatsApp-Betriebssystems ausnutzt, um Anrufe abzufangen. Die Art des Angriffs erforderte es nicht, dass gezielte Benutzer die eingehenden Anrufe entgegennahmen. NSO, sagte WhatsApp, hatte die Spyware auf den Mobiltelefonen von 1.400 Menschenrechtsaktivisten, Anwälten, religiösen Persönlichkeiten und anderen implantiert.
Im November 2019 fügte die russische Gruppe laut Untersuchungen von Microsoft und F-Secure ihrem Portfolio neue Protonmail-Spoof-Sites hinzu: proton-reader.com und proton-viewer.com. Beide wurden anonym von Namecheap in Island registriert. Beim Start zeigten sie die unten gezeigte gefälschte Protonmail-Webseite.
Am 20. April 2022, am selben Tag, an dem die Sneakystrawhead-Dokumente veröffentlicht wurden, fügten sie ein drittes hinzu: proton-docs.com. Dies wird derzeit nicht verwendet und führt zu einer russischen Registrierungsseite.
Die Sneakystrawhead-Website wurde erstellt, um den Eindruck zu erwecken, dass die einzigen angegriffenen und entlarvten Personen Dearlove und Prins waren. E-Mails wurden in Ordnern abgelegt, die angeblich der Posteingang oder der Postausgang eines der beiden waren. Einige E-Mails wurden auf der Website veröffentlicht, darunter einige, die die Informantin des öffentlichen Dienstes der Gruppe betrafen, die den falschen Namen Caroline Bell und die E-Mail Ian Moone verwendete – ein Anagramm für „Ich bin niemand“.
Die Datenbankanalyse der E-Mails zeigt, dass einige anscheinend nicht von dem E-Mail-Konto gesendet oder empfangen wurden, das ihnen von der Sneakystrawhead-Website zugeordnet wurde. Sie scheinen nicht in die offengelegten Caches zu gehören. Eine Möglichkeit ist, dass es sich um getarnte Produkte anderer Abhör- oder Phishing-Angriffe handelt. Unter den bis zu 20 möglicherweise hinzugefügten potenziellen E-Mail-Adressen befinden sich Protonmail-Adressen, die von Professor Tombs verwendet werden, „bootneck40“ (Brigadier Julian Thomson) und „contrarymz“ (Tim und Mary Clode, wohlhabende Einwohner von Jersey, die die Kampagnen finanziert haben). Eine andere Adresse eines anderen E-Mail-Dienstes identifiziert den Journalisten William Shawcross.
Die 22.000 durchgesickerten E-Mails enthüllen auch mehr Aktivitäten von Dearlove, Prins und Mitarbeitern als den Versuch, Premierministerin May zu stürzen oder einen ultraharten Brexit zu erreichen. Die Gruppe fuhr fort, Verschwörungen und Theorien zu fördern und zu versuchen, sie den aufeinanderfolgenden Regierungen aufzuzwingen. Viele werden auf der Wikipedia-Seite von Dearlove erwähnt, darunter Angriffe auf den Mobilfunkhersteller Huawei, 5G und Theorien, dass China Covid-19 konstruiert hat.
Anfang dieses Jahres starteten Prins und Dearlove eine neue Operation, um die Sicherheitsvorkehrungen für den Klimaschutz anzugreifen, die sie als „grüne Katastrophe“ bezeichneten. Am 22. Januar 2020 sagte Dearlove zu Prins, dass „Darkullen“ „das Codewort für unser China-Projekt“ sein würde. Er fügte hinzu: „Ich beabsichtige, alle unsere Protonenbörsen, die mit diesem Titel gekennzeichnet sind, auszusortieren.“
Aus Sicherheitsgründen richteten die Mitglieder neue Protonmail-E-Mail-Adressen ein, die „Darkullen in der Adresse – wie zum Beispiel princepsdarkullen“ enthielten. Natürlich haben die Russen die Darkullen-Mails kopiert und veröffentlicht.
Unter diesen E-Mails befindet sich eine PowerPoint-Datei von Darkullen vom 21. Februar 2022, die Prins zu einem privaten Treffen mit der damaligen Innenministerin Priti Patel mitnahm, über das er sich sehr freute. Er forderte auch sie auf, Protonmail und WhatsApp zu nutzen. In PowerPoint heißt es, dass „Netto-Null“-Ziele auf die „erzwungene Verformung der britischen Energiesysteme“ hinauslaufen und als „konventionelle geheime Geheimdienstoperation“ angegangen werden müssen. Das Problem, behauptete PowerPoint, sei, dass „die Befürworter dieser Ideen und Strategien … eingekapselte sektenähnliche Überzeugungen haben, die sie für rationale Beweise undurchlässig machen“. Prins berichtete, dass das Treffen seiner Meinung nach gut gelaufen sei.
Prins und ein akademischer Kollege wollten Patel davon überzeugen, die britische Energiepolitik radikal zu reformieren. In einem „dringenden Energiesicherheits-Briefing für den Innenminister“ argumentierten sie, dass der Fokus des Vereinigten Königreichs auf erneuerbare Energien und die Klimapolitik die Überlebensfähigkeit des Vereinigten Königreichs als unabhängige Nation nach dem Brexit gefährdet.
In Churchillianischem Ton forderte das Informationspapier die Regierung auf, das Moratorium für Schiefergas-Fracking aufzuheben, das es dem australischen Fracking-Unternehmen Cuadrilla ermöglichen würde, seine Arbeit sofort wieder aufzunehmen. Das sollte mit der Unterstützung der Regierung gekoppelt werden, um Bürokratie abzubauen, um die Öl- und Gasfelder in der Nordsee zu erschließen.
„Aktion an diesem Tag: eine sofortige Außerkraftsetzung der Oil & Anweisung der Gas Agency an Cuadrilla, die beiden brauchbaren Schiefergasquellen in Lancashire zu kappen und zu zerstören und die Wiederaufnahme der Ausbeutung zu ermöglichen. Die Produktion wird daher bis zu 24 Monate nicht fließen.“
„Sofortige Umgehung administrativer Hindernisse durch die Exekutive für die Ausbeutung von Gas- und Ölfeldern in der Nordsee, die jetzt angesichts steigender Gas- und Ölpreise realisierbar sind.“
Die Ansichten des ehemaligen Innenministers bleiben unbekannt.
Berichte deuten jedoch darauf hin, dass dies jetzt tatsächlich der Plan ist. Am 8. September hob die neue Premierministerin Liz Truss den Rat ihres Vorgängers Boris Johnson auf, indem sie versprach, das Fracking-Verbot aufzuheben, und behauptete, es könne schon nach sechs Monaten Gas fließen lassen.
Truss kündigte ein neues Programm für Öl- und Gasbohrungen in der Nordsee, mehr Kernenergie und erneuerbare Energien an. Und eine Überprüfung der britischen Netto-Null-Emissionsziele für 2050, um sicherzustellen, dass sie erreicht werden können, ohne „Unternehmen oder Verbraucher übermäßig zu belasten“.
Weitere technische Berichte über diese und andere Ereignisse in der exponierten Fundgrube der Einflussplanung und des Verschwörungsdenkens werden bald von Computer Weekly behandelt.
Source : Computer Weekly