Ghostwriter (Cyberthreat)
Als Ghostwriter wird eine Gruppe von Crackern genannt, welche sich in News-Webseiten hacken, um Falschinformation auf diesen Seiten zu verbreiten. Der Name „Ghostwriter“ stammt von der US-amerikanischen Sicherheitsfirma Fireeye, die die Gruppe so bezeichnete.[1]
Die aus Russland stammende Gruppe ist etwa seit 2017 in den baltischen Staaten und in Polen aktiv. Im Baltikum hat „Ghostwriter“ vor allem Falschnachrichten auf gehackten Nachrichtenseiten und Blogs über die NATO verbreitet. Beispielsweise, dass Bundeswehrsoldaten in der litauischen Stadt Kaunas einen jüdischen Friedhof geschändet hätten und ein litauisches Kind von einem Panzer der NATO überfahren worden sei.[1][2]
Im Januar 2021 übernahmen Hacker der „Ghostwriter“-Gruppe unter anderem den Twitter-Account des Vize-Fraktionschefs der regierenden rechtskonservativen PiS-Partei, Marek Suski, veröffentlichten darauf Selfies einer Lokalpolitikerin – in roten Dessous und twitterten in Suskis Namen, die Lokalpolitikerin solle aufhören, ihn sexuell zu belästigen und ihm intime Fotos zu schicken.[2]
Daneben erhielten im März 2021 sieben Bundestagsabgeordnete und mehr als 70 Landtagsabgeordnete Phishing-Mails, hinter denen das Bundesamt für Sicherheit in der Informationstechnik die Ghostwriter vermutete.[2][3] Es folgten jedoch keine Attacken aus dieser Phishing-Aktion.[4] Deutsche Sicherheitsbehörden vermuten, dass Ghostwriter im Auftrag des russischen Militärgeheimdienstes GRU agiert.[2]
Im September 2021 veröffentlichte der Rat der Europäischen Union eine Erklärung, in der es Russland für Cyberangriffe auf politische und zivilgesellschaftliche Funktionäre in der Europäischen Union verantwortlich macht, und Russland dazu aufruft, jene Aktivitäten, die sie den Ghostwritern zuschreibt, zu beenden.[5]
Über die Herkunft konnte bis jetzt nur spekuliert werden. Während einige Analysen zum Schluss kamen, dass die Gruppe aus Russland stammt, vermutet der IT-Dienstleister Mandiant, dass die Gruppe aus Belarus stamme. Dafür spreche, dass die Angriffsmethode bis jetzt keine übereinstimmende Muster mit anderen Crackinggruppen habe. Außerdem wurden in der technischen Analyse Hinweise gefunden, die die Gruppe mit dem belarussischen Militär in Verbindung bringen. Ein weiterer Hinweis für die Herkunft ist, dass die Angriffe den Zielen der Minsker Führung dienlich sind. Denn unter anderem wurde schon die belarussische Opposition Opfer einer Attacke von Ghostwriter.[4]
Weiter gibt es auch Berichte, in denen vermutet wird, dass die sich Cracking-Gruppe UNC1151 mit Ghostwriter an Attacken beteiligt.[6]
Einzelnachweise
- Hackers Broke Into Real News Sites to Plant Fake Stories. A disinfo operation broke into the content management systems of Eastern European media outlets in a campaign to spread misinformation about NATO. In: Wired. 29. Juli 2020, abgerufen am 28. März 2021 (englisch).
- Wolf Wiedmann-Schmidt, Jonas Schaible, Marcel Rosenbach, Johanna Röhr, Marcel Pauly, Ann-Katrin Müller, Max Hoppenstedt, Roman Höfner, Alexander Epp, Maik Baumgärtner, DER SPIEGEL: Wie russische Hacker und Rechtsextreme die Bundestagswahl manipulieren. Abgerufen am 12. April 2021.
- Russische Hacker attackieren offenbar Bundestag. Eine Gruppe namens Ghostwriter soll laut Medienberichten Rechner von Bundestagsabgeordneten angegriffen haben. Experten vermuten dahinter einen russischen Geheimdienst. In: Zeit Online. Zeit Online GmbH, 26. März 2021, abgerufen am 28. März 2021.
- Jakob von Lindern: Spähmails an deutsche Politiker kamen wohl aus Belarus. Bisher wurde Russland hinter der Hackergruppe Ghostwriter vermutet, die auch deutsche Politiker angegriffen hat. Nun verortet eine Analyse die Gruppe auch in Belarus. In: Zeit Online. Zeit Online GmbH, 17. November 2021, abgerufen am 17. November 2021.
- EU wirft Russland vor Bundestagswahl gezielte Cyberangriffe vor. In: Der Spiegel. 24. September 2021, ISSN 2195-1349 (spiegel.de [abgerufen am 24. September 2021]).
- UNC1151 and Ghostwriter Activity. IBM X-Force, 12. Oktober 2021, abgerufen am 15. Januar 2022 (englisch).