Ein Hack der mit Russland verbundenen ColdRiver-Gruppe enthüllte die Kontakte und E-Mail-Kommunikation des ehemaligen MI6-Chefs Richard Dearlove mit Regierungs-, Militär-, Geheimdienst- und politischen Beamten
Eine russische Cyber-Angriffsgruppe zielt seit mindestens sieben Jahren auf Politiker, Journalisten und Militär- und Geheimdienstmitarbeiter in ganz Großbritannien und Europa ab und hat laut von Computer analysierten Daten möglicherweise Zugriff auf und Daten von Zielcomputern und -telefonen für zukünftige Operationen gespeichert Wöchentlich.
Der bisher größte Erfolg der Gruppe war die öffentliche Kompromittierung von E-Mails und Dokumenten von Richard Dearlove, einem hochrangigen britischen Spionagechef und ehemaligen Leiter des MI6, sowie von über 60 anderen in einem geheimen Netzwerk rechter Aktivisten, das 1988 für Kampagnen gegründet wurde für die extreme Trennung Großbritanniens von der Europäischen Union. Dearlove war von 1999 bis 2004 Chef des britischen Geheimdienstes (SIS) und bekleidete den Posten, der in James-Bond-Filmen und Fiktionen als „M“ verewigt wurde – obwohl die Rolle im wirklichen Leben als „C“ bekannt ist.
Kurz nach dem Irakkrieg verließ Dearlove den SIS, um Meister des Pembroke College Cambridge zu werden. Im August 2018, nachdem sie Cambridge verlassen hatte, tat sich Dearlove mit dem pensionierten Geschichtswissenschaftler Professor Gwythian Prins zusammen, um eine verdeckte Operation namens Operation Surprise zu starten. Das erklärte Ziel der Operation Surprise war es, ein „Continuity Leave-Vehikel“ zu schaffen, um „jeden Deal zu blockieren“, der von der damaligen Premierministerin Theresa May ausgehandelt wurde.
Zu den „politischen Zielen“ der Gruppe gehörte es, „diesen Ministerpräsidenten notfalls abzusetzen und durch einen zweckdienlichen zu ersetzen“ und „zu gegebener Zeit den verschmutzten öffentlichen Dienst von oben bis unten zu säubern“.
Jede Seite von Prins’ Plan, der zu den Tausenden von durchgesickerten E-Mails und Dokumenten gehörte, war in roten Großbuchstaben mit dem Wasserzeichen „Streng geheim“ versehen, als ob er als echter Regierungsplan eingestuft worden wäre. Die letzte Seite, schrieb Prins, war „super streng geheim“, weil sie das Top-Team „Op Surprise“ auflistete und die Leute identifizierte, die sie rekrutieren wollten.
Neben Dearlove und Prins und Gisela Stuart, einer ehemaligen Labour-Abgeordneten, die Boris Johnson beim Brexit unterstützte, als Vorsitzende waren der pensionierte Cambridge-Geschichtsprofessor Robert Tombs, der Organisator von Vote Leave, Matthew Elliott, Lawyers for Britain, das Team, das Großbritannien „retten“ sollte Organisator Martin Howe KC und Robert Salisbury, der Marquis von Salisbury.
Die E-Mails und Dateien von Dearlove gehörten zu den 22.002, die von verschlüsselten Protonmail-Konten gesammelt und auf einer anonym registrierten Website namens Sneakystrawhead zur Verfügung gestellt wurden, die erstmals am 20. April 2022 im Internet erschien. Sie besteht aus einer Seite mit Bildern, einem kurzen Artikel und ausgewählten Dokumentauszügen . Die vollständigen E-Mails wurden als 12 komprimierte ZIP-Dateien auf zwei separaten Internetspeicherseiten veröffentlicht.
Computer Weekly hat die Dateien heruntergeladen, sobald sie identifiziert wurden, auf Malware überprüft und alle Mails, Dateien und Metadaten zur vollständigen Analyse und für zukünftige Projekte in Freitext- und strukturierte Abfragesysteme geladen.
In den durchgesickerten Dokumenten waren 871 E-Mails und Dateien enthalten, die von Dearlove zwischen 2018 und 2022 gesendet und empfangen wurden und seine Kontakte und E-Mails mit über 400 Regierungs-, Militär-, Geheimdienst- und politischen Beamten enthüllten. Dazu gehörten der ehemalige Chef des Verteidigungsstabs, Lord Guthrie, und der Befehlshaber des Falklandkriegs, Brigadier Julian Thompson. In den E-Mails werden mehrere ehemalige hochrangige SIS-Beamte sowie Politiker wie Gisela Stuart, Steve Baker, MP, und Jacob Rees-Mogg, MP, genannt.
Dearlove war das bekannteste und wichtigste Ziel für jede von Russland unterstützte Hacking-Gruppe. Beim MI6 leitete er Geheimdienstoperationen im Vorfeld des Irak-Krieges, als der Geheimdienst Geheimdienstberichte vorlegte, die von der Regierung benutzt wurden, um ihre Unterstützung für den Krieg gegen Saddam Hussein zu rechtfertigen.
Der anschließende Chilcot-Bericht über den Irak-Krieg stellte fest, dass die Bezugnahmen der Regierung auf Geheimdienstinformationen über Massenvernichtungswaffen zu sicher waren und Unsicherheiten nicht angemessen betonten. Laut Chilcot „gaben die persönliche Intervention [von Dearlove] und ihre Dringlichkeit einem Bericht zusätzliches Gewicht, der nicht richtig bewertet worden war und die Wahrnehmung von Ministern und hochrangigen Beamten gefärbt hätte“.
Rache für Johnsons Unterstützung für die Ukraine
Dearlove sagte gegenüber Computer Weekly, dass er Aussagen, die er bereits selbst gemacht oder veröffentlicht habe, nichts hinzuzufügen habe. „Sie tun auch gut daran, den Inhalt der Proton-E-Mail und deren Interpretation mit Vorsicht zu behandeln. Beide unterliegen russischer Manipulation“, sagte er.
Auf die Frage, ob er irgendwelche spezifischen Kommentare zur Authentizität oder sachlichen Genauigkeit bestimmter E-Mails und Dokumente habe, die von seinen Protonmail-Konten gehackt und hier gemeldet wurden, antwortete Dearlove nicht und sagte nur, dass die Interpretation des Materials „deplatziert oder einfach falsch“ sei.
Professor Prins bestätigte, Opfer eines „Hack and Leak“-Angriffs des russischen FSB (Bundessicherheitsdienst) geworden zu sein. Der Angriff, sagte er, sei eine „schwere Straftat … ich kann mich nicht dazu äußern“. Er forderte Computer Weekly auf, „die technische Natur der russischen Cyberkriegsführung weiter zu untersuchen“.
Die mutmaßliche russische Website stellte die Dokumente als Verschwörung für einen „Very English Coup d’Etat“ dar, der Boris Johnson in die Downing Street bringen sollte. „Was würden Sie sagen, wenn sie Ihnen sagen, dass das Land, in dem Sie leben, von den Putschisten regiert wird?“ fragte es und fügte hinzu, dass „Betrüger ihre Marionette kontrollieren – hinterhältiger Strohkopf“.
Der Name war ein spöttischer Seitenhieb auf Johnson – und wies deutlich darauf hin, warum der russische Geheimdienst plötzlich seine Cyber-Erfolge offenlegen würde.
Zehn Tage vor der Hacking-Operation, am 10. April 2022, hatte Johnson plötzlich London verlassen, um mit dem ukrainischen Präsidenten Wolodymyr Selenskyj an einem Fernsehrundgang in Kiew teilzunehmen. Das Sekretariat und die Sprecher des Kreml äußerten sich wütend. Früher Empfänger von Geldern und Spenden von regierungsnahen russischen Staatsangehörigen, war Johnson jetzt eine Dämonenfigur, die sofort aktiv und bald buchstäblich zur persona non grata in Moskau wurde und aus Russland verbannt wurde.
Die Geschwindigkeit, mit der der russische Geheimdienst dann das gehackte Material zusammenstellen, kuratieren, präsentieren und veröffentlichen konnte, um Johnson anzugreifen, deutet stark darauf hin, dass das Hacken von politischen Persönlichkeiten in Großbritannien nicht nach seinem (nach Moskau) unwillkommenen Ausflug nach Kiew begann.
Die Leck-Website wurde über sechs Wochen lang nicht veröffentlicht oder gemeldet. Es gibt Hinweise darauf, dass es auf Reddit beworben wurde, aber dann keine Traktion oder Aufmerksamkeit erhielt. Der Reddit-Beitrag wurde gelöscht. Am 15. Mai 2022 wurde die Geschichte des Hacks und Lecks auf Grayzone veröffentlicht, einer US-Website, die laut Wikipedia „pro-russische Propaganda während der russischen Invasion in der Ukraine“ veröffentlichte.
Kit Klarenberg, der Autor, arbeitete bis 2019 für den Radiosender Sputnik von Russia Today. Klarenberg sagte, dass ihm weder beim Schreiben seiner Geschichte noch danach von der russischen Sneakystrawhead-Website erzählt wurde. Er sagte, dass die E-Mail-Kopien und Dateien, die er in seinem Grayzone-Artikel verwendete, anonym über Cloud-Sites an ihn weitergeleitet wurden. Er sagte, sein Bericht habe aufgrund des Rufs von Grayzone zunächst wenig Einfluss oder wahrgenommene Glaubwürdigkeit gehabt.
Als Journalisten (einschließlich des Autors dieses Artikels) dann Google nach Sprache durchsuchten, die in einigen der Dokumente in Klarenbergs Geschichte verwendet wurde, tauchten sie in einer Google-Cache-Datei auf, die auf die Sneakystrawhead-Site verwies. Nachdem sie von Reuters und anderen Publikationen angesprochen wurden, sagten Dearlove, Prins und Tombs, sie seien auf den Hack aufmerksam geworden. Sie und andere haben die Authentizität oder Genauigkeit der E-Mails und Dokumente nicht in Frage gestellt.
In einer Folgegeschichte im Juni 2022 veröffentlichten Klarenberg und Grayzone umfangreiche Details über gehackte und geleakte E-Mails des linken freiberuflichen Journalisten Paul Mason, der Putins Krieg in der Ukraine häufig scharf kritisiert hat. Zum Zeitpunkt des Verfassens dieses Artikels gab es keine Beweise dafür, dass der Inhalt von Masons gehacktem Postfach weiter verbreitet oder ins Internet gestellt worden war.
Ausrichtung auf Nato-Länder
Laut mehreren Cyber-Sicherheitsunternehmen begann der noch nicht identifizierte Geheimdienst der Russischen Föderation, der hinter diesen Angriffen stand, Ende 2015, Benutzer in Nato-Ländern, einschließlich Großbritannien, ins Visier zu nehmen. Die Gruppe griff auch die russischen Nachbarländer Georgien, Armenien und Aserbaidschan an.
Die Gruppe wurde von Microsoft Seaborgium, von Google ColdRiver, von Proofpoint TA446 und von F-Secure Callisto genannt. F-Secure war das erste Unternehmen, das die wichtigsten Angriffsmethoden und -ziele identifizierte. Dabei handelt es sich um eine sorgfältige und selektive Zielaufklärung, gefolgt von Phishing- oder Spearphishing-E-Mails. Es wird auch berichtet, dass sie gefälschte Korrespondenz von E-Mail-Konten verwenden, für die sie Zugangsdaten erworben haben.
Die Sneakystrawhead-Operation weist alle Merkmale klassischer russischer Geheimdienst-Hack-and-Leak-Operationen auf, wie sie 2016 in den Monaten vor der Wahl von Donald Trump ausgiebig und effektiv eingesetzt wurden. Computer Weekly berichtete zuvor darüber, wie britische und US-amerikanische Schauspieler Teil einer anschließenden Täuschungsstrategie wurden, um die russische Beteiligung zu verbergen und zu verschleiern.
Anschließend konnte das FBI in den Berichten der Robert Mueller-Untersuchung über die russische Einmischung in die US-Wahlen 2016 die betroffene Behörde und die betroffenen Agenten identifizieren und die einzelnen betroffenen Beamten als Mitglieder von Einheiten des GRU benennen, beschämen und anklagen. Russischer Militärgeheimdienst.
Die russischen Angriffe von 2016 wurden ursprünglich Cyberangriffsgruppen namens Fancy Bear und Cozy Bear von der Cybersicherheitsgruppe Crowdstrike und anderen Namen von anderen Unternehmen zugeschrieben. Der Sicherheitsdienst der Ukraine hat eine mögliche Verbindung zwischen Cozy Bear und der Gruppe hinter dem Sneakystrawhead-Hacking und damit der GRU vorgeschlagen. Diese Zuschreibung wird jedoch von der Mehrheit der Cybersicherheitsunternehmen nicht bestätigt. Die offensichtlichen alternativen Agenturen sind der SVR, der russische Auslandsgeheimdienst, und der FSB, der föderale Sicherheitsdienst, den Putin leitete, bevor er Präsident wurde.
Sicherheitsforscher sagen, dass die Gruppe, die sie Callisto nennen, weiterhin jede Woche eine neue Phishing-Infrastruktur einrichtet. Microsoft sagte, dass die Gruppe seit Anfang des Jahres bis Mitte September 2022 über 30 Organisationen ins Visier genommen habe.
Die Sicherheitsunternehmen berichten, dass die konsequente Methodik der Gruppe Social Engineering war, um Glaubwürdigkeit zu erlangen und Ziele davon zu überzeugen, auf bösartige URLs zu klicken oder PDF-Dateien zu öffnen, die bösartige ausführbare Dateien enthalten. Sie „infiltrieren langsam die sozialen Netzwerke von Zielorganisationen durch ständigen Identitätswechsel, Aufbau von Beziehungen und Phishing, um ihr Eindringen zu vertiefen“.
Sie haben „seit mehreren Jahren erfolgreich Organisationen und interessierte Personen in konsistenten Kampagnen kompromittiert und dabei selten die Methoden geändert“. Eine bewährte Methode besteht darin, LinkedIn mit gefälschten Profilen nach Mitarbeitern und Zielen zu scannen. Die Gruppe hat das Vereinigte Königreich bisher mindestens drei Hack-and-Leak-Operationen unterzogen.
Um weitreichende Angriffe zu ermöglichen, haben die Angreifer viele Dutzend gefälschte Phishing-Adressen registriert, von denen einige wahrscheinlich verwendet wurden, um das Netzwerk von Dearlove zu packen, als es begann und wuchs.
Verschlüsselte E-Mails konnten den ehemaligen MI6-Chef nicht schützen
Seit seiner Gründung im August 2018 forderten Prins und Dearlove die Teilnehmer und Co-Plotter auf, sich bei Protonmail, dem in der Schweiz ansässigen Ende-zu-Ende-verschlüsselten E-Mail-Dienst, anzumelden und nur zu verwenden. Bis Ende 2018 stand die Gruppe mit 36 Nutzern von Protonmail in Kontakt, darunter eine Frau, die missbraucht wurde, um vertrauliche Papiere innerhalb des öffentlichen Dienstes zu erhalten.
Als die E-Mails durchgesickert waren, kommunizierten fast 100 über Protonmail. Dearlove hat sich zunächst als „dickbilling“ angemeldet. Als dieses Konto laut den durchgesickerten E-Mails ohne ersichtlichen Grund auf mysteriöse Weise deaktiviert wurde, äußerte der ehemalige Top-Spionage- und Cybersicherheitsunternehmensdirektor keine Bedenken. Er erstellte und verteilte ein neues Konto, „richardteller“. Die Russen haben Post von beiden Konten kopiert und veröffentlicht.
Die gehackten E-Mails zeigen auch, dass Dearlove dann Ratschläge gegeben hat, die ebenfalls von den russischen Angreifern kopiert wurden, die ihnen, wenn sie wahr sind, Informationen darüber gegeben haben, wie Mitarbeiter des britischen Geheimdienstes kommunizieren. Am 5. September 2018 forderte Dearlove die Gruppe auf, WhatsApp für Anrufe zu verwenden. „WhatsApp ist sicher“, schrieb er. „Der Aufbau dauert 30 Sekunden. Das bedeutet, dass wir uns wirklich ohne Abhörgefahr unterhalten können … Das System wird von all meinen ehemaligen Kollegen häufig genutzt, wenn sie Privatsphäre brauchen.“
Das Problem, das Cybersicherheitsexperten gut bekannt ist, besteht darin, dass die Verschlüsselung von E-Mails oder anderer Kommunikation während der Übertragung sie oder ihre Benutzer nicht vor Angriffen auf „Endpunkte“ schützt – wie z von Phishing-Angriffen übernommen werden.
Die Geschichte zeigt, dass Dearlove, der nicht geschäftsführender Vorsitzender von Crossword Cybersecurity war und ist, keinen guten Rat gegeben hat. Ob seine Fehlberatung auch seinen früheren Dienst SIS entlarvte, ist nicht bekannt. WhatsApp war damals laut WhatsApp selbst anfällig für Abhörmaßnahmen.
Im Oktober 2019 reichte WhatsApp eine Klage gegen die in Israel ansässige NSO Group ein und forderte Schadensersatz und eine einstweilige Verfügung, weil sie Pegasus-Spyware implantiert hatte, die eine Schwachstelle des WhatsApp-Betriebssystems ausnutzte, um Anrufe abzufangen. Die Art des Angriffs erforderte es nicht, dass gezielte Benutzer die eingehenden Anrufe entgegennahmen. NSO, so WhatsApp, habe die Spyware auf den Mobiltelefonen von 1.400 Menschenrechtsaktivisten, Anwälten, religiösen Persönlichkeiten und anderen implantiert.
Im November 2019 fügte die russische Gruppe laut Recherchen von Microsoft und F-Secure ihrem Portfolio neue Protonmail-Spoof-Sites hinzu: proton-reader.com und proton-viewer.com. Beide wurden anonym von Namecheap in Island registriert. Beim Start zeigten sie die unten gezeigte gefälschte Protonmail-Webseite an.
Am 20. April 2022, dem Tag der Veröffentlichung der Sneakystrawhead-Dokumente, fügten sie ein drittes hinzu: proton-docs.com. Dies wird derzeit nicht verwendet und führt zu einer russischen Registrierungsseite.
Die Sneakystrawhead-Website wurde erstellt, um den Eindruck zu erwecken, dass die einzigen angegriffenen und entlarvten Personen Dearlove und Prins waren. E-Mails wurden in Ordnern abgelegt, die angeblich der Posteingang oder der Postausgang von einem der beiden waren. Einige E-Mails wurden auf der Website veröffentlicht, darunter einige, die die Informantin des öffentlichen Dienstes der Gruppe betrafen, die den falschen Namen Caroline Bell und die E-Mail Ian Moone verwendete – ein Anagramm für „Ich bin niemand“.
Die Datenbankanalyse der E-Mails zeigt, dass einige anscheinend nicht von dem E-Mail-Konto gesendet oder empfangen wurden, das ihnen von der Sneakystrawhead-Website zugeordnet wurde. Sie scheinen nicht in die offengelegten Caches zu gehören. Eine Möglichkeit ist, dass es sich um getarnte Produkte anderer Abhör- oder Phishing-Angriffe handelt. Unter den bis zu 20 möglicherweise hinzugefügten potenziellen E-Mail-Adressen befinden sich Protonmail-Adressen, die von Professor Tombs verwendet werden, „bootneck40“ (Brigadier Julian Thomson) und „contrarymz“ (Tim und Mary Clode, wohlhabende Einwohner von Jersey, die die Kampagnen finanziert haben). Eine andere Adresse bei einem anderen E-Mail-Dienst identifiziert den Journalisten William Shawcross.
Die 22.000 durchgesickerten E-Mails enthüllen auch weitere Aktivitäten von Dearlove, Prins und Mitarbeitern, die dann versuchten, Premierministerin May zu stürzen oder einen ultraharten Brexit zu erreichen. Die Gruppe fuhr fort, Verschwörungen und Theorien zu fördern und zu versuchen, sie den aufeinanderfolgenden Regierungen aufzuzwingen. Viele werden auf der Wikipedia-Seite von Dearlove erwähnt, darunter Angriffe auf den Mobilfunkhersteller Huawei, 5G und Theorien, dass China Covid-19 entwickelt hat.
Anfang dieses Jahres starteten Prins und Dearlove eine neue Operation, um die Sicherheitsvorkehrungen für das Klima anzugreifen, die sie als „grüne Katastrophe“ bezeichneten. Am 22. Januar 2020 sagte Dearlove zu Prins, dass „Darkullen“ „das Codewort für unser China-Projekt“ sein würde. Er fügte hinzu: „Ich beabsichtige, alle unsere Protonenbörsen, die mit diesem Titel gekennzeichnet sind, auszusondern“.
Aus Sicherheitsgründen richteten die Mitglieder neue Protonmail-E-Mail-Adressen ein, die „Darkullen in der Adresse – wie princepsdarkullen“ enthielten. Natürlich haben die Russen die Darkullen-Mails kopiert und veröffentlicht.
Unter diesen E-Mails befindet sich eine PowerPoint-Datei von Darkullen vom 21. Februar 2022, die Prins zu einem privaten Treffen mit der damaligen Innenministerin Priti Patel mitnahm, über das er sich sehr freute. Er forderte auch sie auf, Protonmail und WhatsApp zu nutzen. In PowerPoint heißt es, dass „Netto-Null“-Ziele auf die „erzwungene Verformung der britischen Energiesysteme“ hinauslaufen und als „konventionelle geheime Geheimdienstoperation“ angegangen werden müssen. Das Problem, behauptete PowerPoint, sei, dass „die Befürworter dieser Ideen und Strategien … eingekapselte sektenähnliche Überzeugungen haben, die sie für rationale Beweise undurchlässig machen“. Prins berichtete, dass das Treffen seiner Meinung nach gut gelaufen sei.
Prins und ein akademischer Kollege wollten Patel zu einer radikalen Reform der britischen Energiepolitik bewegen. In einem „dringenden Energiesicherheits-Briefing für den Innenminister“ argumentierten sie, dass der Fokus Großbritanniens auf erneuerbare Energien und die Klimapolitik die Überlebensfähigkeit Großbritanniens als unabhängige Nation nach dem Brexit bedrohe.
In Churchillianischem Ton forderte das Informationspapier die Regierung auf, das Moratorium für Schiefergas-Fracking aufzuheben, das es dem australischen Fracking-Unternehmen Cuadrilla ermöglichen würde, seine Arbeit sofort wieder aufzunehmen. Das sollte mit der Unterstützung der Regierung gekoppelt werden, um Bürokratie abzubauen, um die Öl- und Gasfelder in der Nordsee zu erschließen.
„Aktion an diesem Tag: eine sofortige Außerkraftsetzung der Anweisung der Oil & Gas Agency an Cuadrilla, die beiden brauchbaren Schiefergasquellen in Lancashire zu kappen und zu zerstören und die Wiederaufnahme der Ausbeutung zu ermöglichen. Die Produktion wird daher bis zu 24 Monate nicht fließen.“
„Sofortige Umgehung administrativer Hindernisse für die Ausbeutung von Gas- und Ölfeldern in der Nordsee durch die Exekutive, die jetzt angesichts steigender Gas- und Ölpreise realisierbar sind.“
Die Ansichten des ehemaligen Innenministers bleiben unbekannt.
Aber Berichte deuten darauf hin, dass dies jetzt tatsächlich der Plan ist. Am 8. September hob die neue Premierministerin Liz Truss den Rat ihres Vorgängers Boris Johnson auf, indem sie versprach, das Fracking-Verbot aufzuheben, und behauptete, es könne schon nach sechs Monaten Gas fließen lassen.
Truss kündigte ein neues Programm für Öl- und Gasbohrungen in der Nordsee, mehr Kernenergie und erneuerbare Energien an. Und eine Überprüfung der britischen Netto-Null-Emissionsziele für 2050, um sicherzustellen, dass sie erreicht werden können, ohne „Unternehmen oder Verbraucher übermäßig zu belasten“.
Weitere technische Berichte über diese und andere Ereignisse in der exponierten Fundgrube der Einflussplanung und des Verschwörungsdenkens werden bald von Computer Weekly behandelt.
Source : Computer Weekly