Ein Finanzermittler ist per Zufall auf dubiose Tätigkeiten einer Neonazi-Gruppe in Russland gestossen. Die prowestliche Exilzeitung Medusa hat über seine Erkenntnisse berichtet:
Im Juli 2022 lädt Artem Irgebaev von einer Torrent-Seite ein Shooter-Spiel herunter: «Synthetik: Legion Rising». Nachdem die Torrent-Datei fertig heruntergeladen ist, fällt ihm «ungesundes Verhalten» auf. Wer sich auf solchen Seiten schon einmal einen Virus eingefangen hat, kennt die Symptome: Ausgelastete Rechenleistung, unbekannte Programme, die im Hintergrund laufen etc. etc.
Artem und seine Freunde, die sich das Spiel ebenfalls geholt haben, merken, dass etwas nicht stimmt: «Wir haben direkt das Internet ausgeschaltet und uns auf die Suche nach der Malware gemacht.» Bei genauerer Betrachtung fallen ihm «im Code verpackte Kryptowallet-Adressen» auf. Somit ist der Fall klar: Sein PC wurde mit einer sogenannten «Clipboard-Malware» infiziert.
Nebst dieser eher schwer zu entdeckenden Malware ist in der Game-Datei noch eine zweite versteckt: Ein Krypto-Mining-Programm. Damit «mint» der Computer des Opfers Kryptowährungen (und frisst dabei Rechenleistung und Strom) und sendet diese an eine Wallet. Nichts Ungewöhnliches, sagt Irgebaev gegenüber Medusa.
Aus reiner Neugier googelt Artem die Adressen, zu wem sie gehören:
Rusitsch ist eine von mehreren paramilitärischen Neonazi-Gruppen, die neben der russischen Armee in der Ukraine kämpfen. Da sie aber nicht formell zur Armee gehören, müssen sich solche Einheiten die Ausrüstung und medizinische Versorgung selber finanzieren. Die perfekte Lösung dafür: Kryptowährungen.
Das Geld, das auf diese Wallets überwiesen wird, verwendet Rusitsch laut eigenen Aussagen tatsächlich für Ausrüstung und Versorgung; in einem Telegram-Post hat die Gruppe sogar eine Liste mit benötigtem Material veröffentlicht. Seit September 2022 sind fünf der Rusitsch-Wallets auf einer US-Sanktionsliste.
Eine der Wallet-Adressen taucht auch auf der Webseite der ukrainischen Spenden-Stiftung «Happy New Life» auf. Wer willig ist, kann dort die ukrainischen Streitkräfte und Flüchtlinge finanziell unterstützen – unter anderem mit Krypto-Zahlungen. Die Stiftung wurde im Juni 2022 in Dnipro gegründet, entstanden war sie aus einer lokalen Freiwilligen-Bewegung. Wieso also gehen die Spenden der Stiftung an Rusitsch?
Der Gründer der Stiftung, Daniel Owtscharenko, weiss nicht, wie die Rusitsch-Adresse auf seine Webseite gekommen ist. Gegenüber Medusa sagt er, dort sollte eigentlich die Adresse der Stiftungs-Wallet sein:
Er gibt zu, dass er selber fast kein Mitwirken an der Webseite hatte, und dass sie «schnell und günstig» erstellt worden war.
Schnell und günstig heisst häufig auch schlecht gesichert. Für Finanz-Investigator Irgebaev ist daher klar: Rusitsch hat sich in die Seite gehackt und die Adressen vertauscht:
Die Seite von Happy New Life ist mittlerweile im Servicemodus. Die verlinkte Rusitsch-Wallet ist immer noch in Betrieb, momentan befinden sich (zum momentanen Wechselkurs) über 7000 Franken in Ethereum darauf.
Zurück zu Artems PC. Die Malware-Infektion fand direkt nach dem Herunterladen der Game-Dateien statt. Dies legt den Gedanken nahe, dass die Gruppe die Malware selbst erstellt und auf der Torrent-Seite in das Game eingebettet hat. Laut Irgebaev ist dies aber nicht zwingend so: Sehr wahrscheinlich haben die Neonazis sich von professionellen Cyberkriminellen helfen lassen.
Solche Cybercrime-Services findet man mit Leichtigkeit im Darknet. Auch dorthin hat Rusitsch Verbindungen: Irgebaev konnte nachweisen, dass die Gruppe zwischen Juli und Oktober 2022 umgerechnet über 1700 Franken von drei separaten Drogenbörsen erhalten hat.
Dass Rusitsch selber Drogen im Internet verkauft, ist unwahrscheinlich, dass die Betreiber dieser Börsen die Gruppe für ihre (militärischen) Dienste bezahlt hat, auch.
Die naheliegendste Lösung ist, dass die Drogenbörsen zur Anonymisierung der Zahlungen verwendet worden sind. Auf solchen Plattformen kauft man mit «normalen» Kryptowährungen eine interne Währung. Mit dieser bezahlt man dann für die Drogen, den Dienst etc. Diese internen Transaktionen tauchen nicht in der Blockchain auf. Es ist also nur ersichtlich, dass man Geld auf der Börse ausgegeben hat, jedoch nicht, an wen das Geld dann gegangen ist.
Der Grossteil des Vermögens auf den Rusitsch-Wallets stammt von direkten Transaktionen. Zumal die offiziellen Spendenadressen von Telegram und die Malware-Adressen dieselben sind, lässt sich nicht genau ermitteln, wie viel davon aus welcher Quelle stammt. Die Transaktionen weisen jedoch kuriose Züge auf:
Dafür, dass diese «Spenden» von Telegram-Nutzern, die Rusitsch-Aufrufe in einem Kanal gesehen haben, stammen sollen, sind diese Zahlen doch sehr hoch. Vor allem die durchschnittlichen Spendenbeträge wirken dubios.
Medusa hat den Anführer der Gruppe, Alexei Milchakow, zum Sachverhalt befragt: das hohe Geldvolumen, die gehackte Stiftung, die Malware-Attacken, die Drogenbörsen. Milchakow gibt unverfroren alles zu:
Milchakow betont, dass er selber kein Geld von den Spenden erhält; er entscheide nur, wie es ausgegeben werde.
Im September schlug Milchakow auf dem Rusitsch-Kanal russischen Soldaten vor, sie sollen Angehörige von ukrainischen Kriegsgefangenen erpressen: «Lasst die Körper [der toten Gefangenen] nicht einfach liegen, macht ein Foto, auf dem das Gesicht gut zu sehen ist. Dann kontaktiert ihr die Verwandten und bietet ihnen an, für 2000 US-Dollar den Ort, an dem ihr Liebster vergraben wurde, preiszugeben.»
