bedeckt
DE | FR
11
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
International
Russland

Wie russische Neonazis Kryptogeld von Spendenseiten stehlen

Stock trading chart on a dark background.
Die paramilitärische Neonazi-Gruppe Rusitsch finanziert ihr Kriegsgeschäft mit gestohlenem Kryptogeld. Bild: Moment RF/watson

«Nur die Spitze des Eisbergs»: Wie russische Neonazis Kryptogeld von Spendenseiten stehlen

Eine russische paramilitärische Neonazi-Gruppe finanziert sich mit gestohlenem Kryptogeld. Im verbrecherischen Netz verfangen sind ukrainische Spendenseiten, Drogen und Malware.
18.11.2022, 15:3918.11.2022, 16:16
Carl-Philipp Frank
Carl-Philipp Frank
Folge mir

Ein Finanzermittler ist per Zufall auf dubiose Tätigkeiten einer Neonazi-Gruppe in Russland gestossen. Die prowestliche Exilzeitung Medusa hat über seine Erkenntnisse berichtet:

Im Juli 2022 lädt Artem Irgebaev von einer Torrent-Seite ein Shooter-Spiel herunter: «Synthetik: Legion Rising». Nachdem die Torrent-Datei fertig heruntergeladen ist, fällt ihm «ungesundes Verhalten» auf. Wer sich auf solchen Seiten schon einmal einen Virus eingefangen hat, kennt die Symptome: Ausgelastete Rechenleistung, unbekannte Programme, die im Hintergrund laufen etc. etc.

Artem und seine Freunde, die sich das Spiel ebenfalls geholt haben, merken, dass etwas nicht stimmt: «Wir haben direkt das Internet ausgeschaltet und uns auf die Suche nach der Malware gemacht.» Bei genauerer Betrachtung fallen ihm «im Code verpackte Kryptowallet-Adressen» auf. Somit ist der Fall klar: Sein PC wurde mit einer sogenannten «Clipboard-Malware» infiziert.

Was ist Clipboard-Malware?
Wer jemandem Krypto überweisen will, brauch dafür dessen Adresse. Diese besteht aus einem (je nach Blockchain unterschiedlich langem) Zeichencode. Da es mühsam ist, die mindesten 25 Zeichen von Hand abzutippen, bietet es sich an, den Code per Copy-Paste-Verfahren einzusetzen. Die Clipboard-Malware ersetzt den kopierten Code in der Zwischenablage vor dem Einsetzten durch einen eigenen. Dadurch überweist man nicht mehr an den gewollten Empfänger, sondern den Ersteller der Malware.

Nebst dieser eher schwer zu entdeckenden Malware ist in der Game-Datei noch eine zweite versteckt: Ein Krypto-Mining-Programm. Damit «mint» der Computer des Opfers Kryptowährungen (und frisst dabei Rechenleistung und Strom) und sendet diese an eine Wallet. Nichts Ungewöhnliches, sagt Irgebaev gegenüber Medusa.

Militante Neonazis am Werk

Aus reiner Neugier googelt Artem die Adressen, zu wem sie gehören:

«Ich habe sofort diverse Telegram-Posts von Z-Kanälen [also Pro-Russische Kanäle] gefunden, in denen Spenden für Uniformen und Ausrüstung der Neonazi-Gruppe Rusitsch gesammelt wird.[...] Zuvor dachte ich, die russischen Hacker konzentrieren sich hauptsächlich auf die Beeinflussung der amerikanischen Wahlen; tatsächlich nutzen sie das Geld aus dieser Clipboard-Malware, um Schutzwesten zu kaufen.»

Rusitsch ist eine von mehreren paramilitärischen Neonazi-Gruppen, die neben der russischen Armee in der Ukraine kämpfen. Da sie aber nicht formell zur Armee gehören, müssen sich solche Einheiten die Ausrüstung und medizinische Versorgung selber finanzieren. Die perfekte Lösung dafür: Kryptowährungen.

Das Geld, das auf diese Wallets überwiesen wird, verwendet Rusitsch laut eigenen Aussagen tatsächlich für Ausrüstung und Versorgung; in einem Telegram-Post hat die Gruppe sogar eine Liste mit benötigtem Material veröffentlicht. Seit September 2022 sind fünf der Rusitsch-Wallets auf einer US-Sanktionsliste.

Von Söldnern und Hackern

Eine der Wallet-Adressen taucht auch auf der Webseite der ukrainischen Spenden-Stiftung «Happy New Life» auf. Wer willig ist, kann dort die ukrainischen Streitkräfte und Flüchtlinge finanziell unterstützen – unter anderem mit Krypto-Zahlungen. Die Stiftung wurde im Juni 2022 in Dnipro gegründet, entstanden war sie aus einer lokalen Freiwilligen-Bewegung. Wieso also gehen die Spenden der Stiftung an Rusitsch?

Der Gründer der Stiftung, Daniel Owtscharenko, weiss nicht, wie die Rusitsch-Adresse auf seine Webseite gekommen ist. Gegenüber Medusa sagt er, dort sollte eigentlich die Adresse der Stiftungs-Wallet sein:

«Die Wallet der Stiftung habe ich von MetaMask [eine Software, die Wallets erstellt] – und sie ist ganz anders [als die Adresse von Rusitsch], ausser die ersten drei Zeichen, die sind gleich.»

Er gibt zu, dass er selber fast kein Mitwirken an der Webseite hatte, und dass sie «schnell und günstig» erstellt worden war.

Schnell und günstig heisst häufig auch schlecht gesichert. Für Finanz-Investigator Irgebaev ist daher klar: Rusitsch hat sich in die Seite gehackt und die Adressen vertauscht:

«Betrüger im Internet machen so etwas ständig. Und Rusitsch ist eine Gruppe mit weitreichenden Talenten – sie haben Söldner und Hacker.»

Die Seite von Happy New Life ist mittlerweile im Servicemodus. Die verlinkte Rusitsch-Wallet ist immer noch in Betrieb, momentan befinden sich (zum momentanen Wechselkurs) über 7000 Franken in Ethereum darauf.

Verbindungen zum Online-Drogenhandel

Zurück zu Artems PC. Die Malware-Infektion fand direkt nach dem Herunterladen der Game-Dateien statt. Dies legt den Gedanken nahe, dass die Gruppe die Malware selbst erstellt und auf der Torrent-Seite in das Game eingebettet hat. Laut Irgebaev ist dies aber nicht zwingend so: Sehr wahrscheinlich haben die Neonazis sich von professionellen Cyberkriminellen helfen lassen.

Das Ganze nennt sich Cybercrime-Service: Jeden Schritt einer kriminellen Handlung im Internet kann man kaufen. Malware beispielsweise mietet man im Normalfall je nach Komplexität für etwa 200 Franken im Monat. Dann bezahlt man den Inhaber der Torrent-Seite, dass er den Malware-Code selber in die eigene Seite einbaut. Die Verwendung solcher Webseiten ist nämlich in den meisten Ländern illegal, daher hat auch kein Nutzer Interesse daran, den Inhaber bei einer Infektion zu belangen.

Solche Cybercrime-Services findet man mit Leichtigkeit im Darknet. Auch dorthin hat Rusitsch Verbindungen: Irgebaev konnte nachweisen, dass die Gruppe zwischen Juli und Oktober 2022 umgerechnet über 1700 Franken von drei separaten Drogenbörsen erhalten hat.

Dass Rusitsch selber Drogen im Internet verkauft, ist unwahrscheinlich, dass die Betreiber dieser Börsen die Gruppe für ihre (militärischen) Dienste bezahlt hat, auch.

Die naheliegendste Lösung ist, dass die Drogenbörsen zur Anonymisierung der Zahlungen verwendet worden sind. Auf solchen Plattformen kauft man mit «normalen» Kryptowährungen eine interne Währung. Mit dieser bezahlt man dann für die Drogen, den Dienst etc. Diese internen Transaktionen tauchen nicht in der Blockchain auf. Es ist also nur ersichtlich, dass man Geld auf der Börse ausgegeben hat, jedoch nicht, an wen das Geld dann gegangen ist.

Über 150'000 Franken an «Spenden»

Der Grossteil des Vermögens auf den Rusitsch-Wallets stammt von direkten Transaktionen. Zumal die offiziellen Spendenadressen von Telegram und die Malware-Adressen dieselben sind, lässt sich nicht genau ermitteln, wie viel davon aus welcher Quelle stammt. Die Transaktionen weisen jedoch kuriose Züge auf:

  • 27.895 ETH (Ethereum), also über 45'000* Franken, überwiesen in 146 Transaktionen – durchschnittlich über 300 Franken pro «Spende»
  • 2.2611 BTC (Bitcoin), also über 47'000 Franken, überwiesen in 433 Transaktionen – durchschnittlich über 106 Franken pro «Spende»
  • 20'142.37 USDC (USD Coin), also über 20'000 Franken – durchschnittlich 5000 Franken pro «Spende»

Dafür, dass diese «Spenden» von Telegram-Nutzern, die Rusitsch-Aufrufe in einem Kanal gesehen haben, stammen sollen, sind diese Zahlen doch sehr hoch. Vor allem die durchschnittlichen Spendenbeträge wirken dubios.

Was sagt Rusitsch?

Medusa hat den Anführer der Gruppe, Alexei Milchakow, zum Sachverhalt befragt: das hohe Geldvolumen, die gehackte Stiftung, die Malware-Attacken, die Drogenbörsen. Milchakow gibt unverfroren alles zu:

«Wir haben eigene Finanz- und IT-Abteilungen, welche die beschriebenen Handlungen begangen haben. Ja, unsere IT ist fähig, Webseiten und andere Internet-Ressourcen des Feindes zu hacken, zudem können wir andere Aktivitäten gegen die sogenannte «Ukraine» ausführen (unser Spektrum an Tätigkeiten ist noch viel breiter). Diese Webseite [die ukrainische Stiftung] ist nur die Spitze des Eisbergs. Und übrigens: Die Mitarbeiter, welche durch ihre Arbeit monatlich die meisten Tode verursachen, werden grosszügig entlohnt.
Die Finanzabteilung führt Operationen in den Bereichen Krypto, Edelsteine, Cash-Transaktionen und Geldwäscherei (nur ausserhalb Russlands, wir halten uns an die Gesetze unseres Landes) durch.
Dazu gehören auch Geschäfts-Trips zu internationalen Schwarzmarkthändlern, die uns als Sponsoren unterstützen möchten (Mexiko, Hongkong, Somalia etc.). Unser ‹Projekt ›erhält, unserer Meinung nach grosse Unterstützung von Gangs und Kartellen, die mit der globalen Hegemonie der USA unzufrieden sind.»

Milchakow betont, dass er selber kein Geld von den Spenden erhält; er entscheide nur, wie es ausgegeben werde.

Im September schlug Milchakow auf dem Rusitsch-Kanal russischen Soldaten vor, sie sollen Angehörige von ukrainischen Kriegsgefangenen erpressen: «Lasst die Körper [der toten Gefangenen] nicht einfach liegen, macht ein Foto, auf dem das Gesicht gut zu sehen ist. Dann kontaktiert ihr die Verwandten und bietet ihnen an, für 2000 US-Dollar den Ort, an dem ihr Liebster vergraben wurde, preiszugeben.»

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.

Traurige Szenen – die Heldengräber in der Ukraine

1 / 14
Traurige Szenen – die Heldengräber in der Ukraine
quelle: keystone / francisco seco
Auf Facebook teilenAuf Twitter teilenWhatsapp sharer

Russen stahlen Tiere aus der Ukraine – jetzt sind sie in einem zwielichtigen Zoo

Video: watson

Das könnte dich auch noch interessieren:

11 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Antitroll
18.11.2022 15:58registriert Oktober 2022
Der letzte Absatz mit dem erpressen der Angehörigen.. einfach makaber 😦
264
Melden
Zum Kommentar
11
Wie der Iran im Ausland Mord- und Entführungs-Komplotte ausführt

Für den kanadisch-iranischen Musiker Ramin Seyed Emami dreht sich im Sommer 2021 die Welt, als der kanadische Geheimdienst vor seiner Tür auftaucht. Einer der Beamten informiert Emami darüber, dass der Iran eine Liste mit im Ausland lebenden Menschen, die eine Gefahr für das Regime darstellen, erstellt habe.

Zur Story