Ende Oktober fahren im Basler Vorort Binningen Polizeiwagen vor. Ein Mann wird verhaftet, seine Festplatten werden beschlagnahmt. Die Schweizer Behörden handeln aufgrund eines französischen Rechtshilfegesuchs.
Der gebürtige Ukrainer, eine Person, die der Redaktion namentlich bekannt ist, wird verdächtigt, einer internationalen Cybercrime-Gruppe anzugehören. Mittlerweile haben die Schweizer Strafverfolger ein eigenes Strafverfahren gegen ihn eröffnet, unter anderem wegen Geldwäscherei.
Die Erfolgsmeldungen häufen sich. Im Rahmen internationaler Polizeiaktionen werden Cyberkriminelle verhaftet, Banden zerschlagen. Ein Video der ukrainischen Polizei zeigt, wie die Spezialeinheit TOR schwerbewaffnet eine Wohnung stürmt. Bargeld, Luxusfahrzeuge, Computerfestplatten, Mobiltelefone und Bankkarten werden beschlagnahmt.
Bei 28 Hausdurchsuchungen in sieben ukrainischen Städten werden elf Personen festgenommen. Sie werden verdächtigt, hochrangige Mitglieder der Cybercrime-Bande FIN6 zu sein. Der Verhaftete bei Basel ist ihr zwölfter Mann.
Stefan Rothenbühler, Spezialist der IT-Sicherheitsfirma Infoguard sagt: «Es ist allgemein bekannt, dass gewisse Staaten in letzter Zeit sehr offensiv gegen Hackergruppierungen vorgegangen sind». Es scheint, als müssten in Zeiten zunehmender Cybercrime-Bedrohung Erfolgsmeldung her, um den Ruf des perfekten Verbrechens zu unterlaufen: Auch Internetkriminelle hinterlassen Spuren, sie verlieren ihre Anonymität, sie werden gefasst.
Die ukrainische Bande steht schon lange im Fokus der Ermittler; sie haben ihr den Namen FIN6 gegeben. In Sicherheitskreisen ist sie eine Berühmtheit. Bekannt ist sie auch als «Skeleton Spider», als «MageCart Group6», als «White Giant», als «Gold Franklin» oder als «ITG08». Europol kommunizierte nach der Verhaftungswelle, der Bande würden seit 2019 an die 1800 Geschädigten in 71 Ländern zugerechnet.
Zu den Opfern zählen Firmen in Frankreich, Norwegen, Deutschland, der Schweiz, den Niederlanden, England und den USA. Die ukrainische Polizei berichtete von einem Schaden von mindestens 120 Millionen Dollars. Dabei dürfte er deutlich höher liegen, denn die Spuren reichen zurück bis ins Jahr 2014.
Die Bezeichnung FIN bedeutet, dass den Cyberkriminellen keine politischen Ambitionen unterstellt werden. Es geht ihnen weder um Spionage noch um die Destabilisierung von Volkswirtschaften, sondern um Geld. Dabei hat die Gruppe im Verlauf der Jahre eine bemerkenswerte Entwicklung genommen.
Bereits 2016 widmete ihr die Sicherheitssoftware-Firma FireEye einen «Special Report». Unter dem Titel «Follow the Money» beschreiben die Experten mit gewisser Hochachtung, wie sich die Gruppe Zugang zu Passwörtern und Zugangsdaten von Bankkarten verschafft.
Am Beispiel von FIN6 lasse sich zeigen, dass das Ökosystem Cybercrime arbeitsteilig funktioniere: FIN6 hacke selbst IT-Systeme oder kaufe einen solchen Zugang von einem Hacker, dem bereits gelungen ist, einen Server eines Kreditinstituts zu infizieren, beschreibt FireEye das Vorgehen. Über Wochen oder Monate installiere FIN6 Schadenssoftware, die im Hintergrund Daten sammelt und diese über gesicherte Kanäle leakt. Auf rund 2000 Systemen habe FIN6 ihre Malware installiert, schätzte FireEye vor fünf Jahren.
Mit den gestohlenen Kreditkarten-Daten sind die FIN6-Mitglieder nicht selbst auf Einkaufstour gegangen, sie haben die Daten vielmehr auf einem «Underground Card Shop» im Darknet angeboten. In einem konkreten Fall, so FireEye, seien auf einer Online-Handelsplattform für gestohlene Karten rund 20 Millionen Datensätze US-amerikanischer Kunden angeboten worden, deren Diebstahl sich auf einen Hack der FIN6 zurückführen liessen.
Bei einem Stückpreis von 21 Dollar winkten der Bande 400 Millionen Dollar. Der volkswirtschaftliche Schaden dürfte deutlich höher gelegen haben, da FIN6 nur als krimineller Zwischenhändler fungierte.
2018 war FIN6 an einem Angriff auf Visa beteiligt, um Kundendaten abzugreifen. Dies jedenfalls vermuteten die Ermittler anhand der eingesetzten Software. Ab 2019 erweiterte FIN6 ihr Geschäftsmodell wesentlich. Seither werden auch Industriegesellschaften angegriffen, deren Systeme gekapert und blockiert. Nur gegen Lösegeldzahlungen auf Bitcoin-Basis werden die Server den Firmen wieder zugänglich gemacht.
Im Januar 2019 legte die Gruppe das europäische Netz des französischen Beratungsunternehmens Altran Technologies lahm. Die eingesetzte Schadsoftware, ein CryptoLocker mit einem «noch nie zuvor gesehenen Code», sei auch für die beste Firewall nicht zu entdecken gewesen, erklärte die angegriffene Firma. Auch die US-Chemieunternehmen Hexion und Momentiv Performance Materials waren betroffen.
Gemäss offizieller Kommunikation seien weder Daten gestohlen noch zerstört worden, beruhigte etwa Altran ihre Kunden. Mit solchen Mitteilungen versuchen Firmen, deren IT-System gehackt worden sind, jeweils den Reputationsschaden zu minimieren, wenn sie schon öffentlich einräumen müssen, einem Angriff mit Ransomware («Erpressungstrojanern») nicht standgehalten zu haben.
Im März 2019 erfolgte der Angriff auf Norsk Hydro, einem der grössten Aluminium- und Energieproduzenten. Dieser Fall war ebenfalls nicht zu vertuschen und sorgte für weltweites Aufsehen. Denn die blockierten Server brachten nicht nur die Produktion zum Erliegen, sondern es drohte in Tausenden von norwegischen Haushaltungen ein Energieausfall.
Der Anschlag war umfassend, auf den Bildschirmen von infizierten Rechnern erschien die humoristische Botschaft: «Seien Sie gegrüsst! Es gab eine erhebliche Schwachstelle im Sicherheitssystem ihres Unternehmens. Sie sollten dankbar sein, dass die Schwachstelle von seriösen Leuten ausgenutzt wurde und nicht von ein paar Anfängern. Sie hätten alle Ihre Daten aus Versehen oder zum Spass beschädigt.»
Die Zerstörung der Server war dennoch effektiv. 35000 Mitarbeitende mussten vom Netzwerk getrennt werden, Produktionsstätten in Europa und den USA mussten schliessen. Der unmittelbare Ausfall kostete 60 Millionen Dollar. Der Börsenkurs sackte ab. Norsk Hydro ging jedoch von Anfang an in die Gegenoffensive.
Die Firmenleitung stellte klar, dass sie nicht erpressbar sei. Sie schilderte aktiv, wie alte und nicht ans Netz angeschlossene Rechner aus dem Depot geholt wurden, um die Hochöfen wieder hochfahren zu können. Das Medienecho war gross, «Bloomberg», das «Wall Street Journal» sowie das «Time»-Magazin widmeten dem Fall grosse Reportagen.
Im vergangenen Jahr erregte FIN6 in Fachkreisen nochmals Aufsehen. IBM X-Force, die Sicherheitsabteilung des IT-Konzerns, stellte fest, dass sich FIN6 mit den Betreibern der Schadsoftware TrickBot zusammengeschlossen hatte. TrickBot kann Rechner von Privaten wie von Unternehmen infizieren.
Mit der Software lassen nicht nur sensible Daten abgreifen, sondern sie kann auch den Zugang für weitere Kriminelle öffnen, die auf den Rechnern dann ihre eigene Schadsoftware einschleusen. Der Angriff zeige «eine neue und gefährliche Entwicklung» und belege, wie kriminelle Organisationen fähig seien, sich auf sich verändernde Umstände einzustellen, erklärte der IBM-Analyst Ole Villadsen bei der Präsentation.
Zu Kooperationen haben sich nicht nur die Kriminellen, sondern auch die Ermittler gefunden. Der Verdacht, dass FIN6 aus einem osteuropäischen Staat operiere, kursiert aufgrund der verwendeten Semantik in den Botschaften seit Jahren und fand mit dem Anschlag auf Norsk Hydro neue Nahrung. Die Spuren verdichteten sich, als die norwegischen und die französischen Ermittler, die umfangreiche Daten im Zusammenhang mit den Fällen Norsk Hydro und Altran gesichert hatten, ihre Erkenntnisse zusammenlegten.
Vor allem der Hack auf Norsk Hydro wird gemäss «Time» als «Paradigmenwechsel» im Kampf gegen Cyberkriminelle betrachtet. Der Praxis vieler Firmen, stillschweigend Lösegeld für ihre blockierten Daten zu zahlen, wird nun eine Absage erteilt: Eine Zahlung sichert weder die Freigabe der Daten, noch beinhaltet sie eine Garantie, dass sie nicht erneut blockiert würden.
Der Hack brachte zudem ins Bewusstsein, dass auch die beste Firewall keine absolute Sicherheit bietet, nicht gehackt zu werden. Der «Bloomberg»-Autor schrieb: «Es geht weniger darum, wie man Hacker vom Eindringen abhält, als vielmehr darum, wie man den unvermeidlichen Schaden am besten überlebt.» Der Vergleich mit dem biologischen Sars-Covid-Virus drängt sich auf.
Die eingeschalteten IT-Forensiker von staatlichen Behörden wie von privaten Sicherheitsfirmen analysierten Berge von Daten, um die Cyberkriminellen zu überführen. Unter der Führung von Eurojust, einer Agentur der Europäischen Union für justizielle Zusammenarbeit in Strafsachen, arbeiteten nicht nur die Behörden von Frankreich und Norwegen zusammen, sondern waren auch jene der USA und den Niederlanden eingebunden. Die Kooperation verweist die Operation «Trident Breach», die zwar zehn Jahre zurückliegt, aber ebenfalls auf Kriminelle in der Ukraine zielte.
Die Operation, die unter der Führung des amerikanischen FBI ablief, war ein Flop, wie die «Technology Review» kürzlich nachzeichnete. Zwar wurden nicht zuletzt in den Niederlanden Bandenmitglieder verhaftet, doch die führenden Köpfe blieben unbehelligt. Entweder wurden sie von ukrainischen Sicherheitsbehörden vorgewarnt oder sie fanden unbehelligten Unterschlupf in Russland. So entwischte etwa Evgeniy Bogachev, der Entwickler der Malware Crypto Locker – damit hatte FIN6 etwa Altran Technologies angegriffen.
Die Machtverhältnisse in der Ukraine haben sich mittlerweile verschoben. In der Bekämpfung der internationalen Cyberkriminalität sind deren Sicherheitsbehörden in die westliche Allianz eingebunden. Im Dezember organisierte etwa die US-Behörde für internationale Zusammenarbeit (USAID) zusammen mit der ukrainischen Cybercrime-Abwehr in Kiew einen Event für 250 Programmierer. Dabei wurde eine Cyberattacke auf das Energienetz simuliert – und ein Team ausgezeichnet, das beste Abwehrstrategie vorgeschlagen hat.
Die Grenzen zwischen Cybercrime und Cybersecurity sind jedoch nicht immer einfach zu ziehen. So hat etwa das in der Schweiz verhaftete, mutmassliche Mitglied der FIN6 einen ordentlichen Job als Software-Entwickler bei einem international tätigen Unternehmen. Dieses bietet als Dienstleistung auch Cybersecurity an.
Aufgrund der vorliegenden Informationen hat der Mann für die Bande jedoch nicht nur Programmierleistungen erbracht, sondern auch den kriminellen Geldfluss organisiert. Der von der Baselbieter Staatsanwaltschaft erhobene Vorwurf des Verdachts auf Geldwäscherei lässt jedenfalls darauf schliessen.
Die Namen seiner Kumpanen in der Ukraine sind derzeit noch so unbekannt wie seine genaue Stellung in der Organisation. Die Ermittlungsbehörden geben sich mit Verweis auf das laufende Verfahren bedeckt. Weitere Verhaftungen auch in der Schweiz sind nicht ausgeschlossen.
Zwei Monate vor seiner Verhaftung stand der Mann allerdings noch auf der Seite der Guten: Er gehörte zu den Unterzeichnern eines offenen Briefs der Organisation «Algorithm Watch» an das Europäische Parlament: Facebook soll in die Schranken gewiesen werden, damit in unabhängiger Forschung ermittelt werden könne, welche Kundendaten vom Social-Media-Konzern abgegriffen würden. Vom illegalen Abgreifen von Bankkundendaten und der erpresserischen Blockade von Servern ist darin nicht die Rede.
(aargauerzeitung.ch)
