„Männer fürs Grobe“ - Putins skrupelloses Killerkommando: Warum die Gruppe „29155“ so gefährlich ist

Wladimir Putin, Präsident von Russland<span class="copyright">Alexander Kazakov/Pool Sputnik K</span>
Wladimir Putin, Präsident von RusslandAlexander Kazakov/Pool Sputnik K

Ein Bericht des Federal Bureau of Investigation (FBI), der Cybersecurity and Infrastructure Security Agency (CISA) und der National Security Agency (NSA) warnt vor den Aktivitäten der Spezialeinheit „29155“. Es ist eine russische Gruppe, die schon in der Vergangenheit für Aufsehen gesorgt hat.

Drei Tage ist es her, dass das Federal Bureau of Investigation (FBI), die Cybersecurity and Infrastructure Security Agency (CISA) und die National Security Agency (NSA) einen Bericht über russische Akteure und die Gefahr, die sie für globale Infrastrukturen darstellen, herausgegeben haben.

Das Schreiben fasst die Erkenntnisse mehrere westlicher Geheimdienste zusammen. Besonders häufig fällt in dem Report, an dem auch das Bundesamt für Verfassungsschutz beteiligt war, ein Name: „Spezialeinheit 29155“.

Sie gehört zum russischen militärischen Geheimdienst (GRU) und ist spezialisiert auf Mordanschläge im Ausland sowie die Destabilisierung von Staaten - zum Beispiel durch Cyberangriffe.

Davon ist auch im aktuellen Bericht der Sicherheitsbehörden die Rede. „Wir gehen davon aus, dass Cyber-Akteure [...] der Einheit 29155 seit mindestens 2020 für Computernetzwerkoperationen gegen gobale Ziele zu Spionage-, Sabotage- und Reputationszwecken verantwortlich sind“, heißt es darin.

Spezialeinheit 29155 soll „WhisperGate“-Malware bereitgestellt haben

Am 13. Januar 2022 - also rund sechs Wochen vor Beginn des Ukraine-Kriegs - sollen Mitglieder der Spezialeinheit 29155 „mit der Bereitstellung der zerstörerischen „WhisperGate“-Malware“ begonnen haben.

Die „WhisperGate“-Kampagne im Januar 2022 war dazu gedacht, die IT-Systeme staatlicher, aber auch gemeinnütziger Organisationen in der Ukraine lahmzulegen. Inzwischen ist mehr über die Schadsoftware, die zum Einsatz kam, bekannt - dank Sicherheitsleuten von Microsoft.

In einem Blog-Beitrag heißt es, „WhisperGate“ sehe aus wie Ransomware, also ein Verschlüsselungstrojaner - besitze aber „keinen Mechanismus zur Lösegeldforderung“. Das bedeutet: Die Malware ist offenbar darauf ausgelegt, die Daten der jeweiligen Zielsysteme unwiederbringlich zu zerstören.

Etwa zeitgleich zum „WhisperGate“-Angriff wurden einige Webseiten, unter anderem die des ukrainischen Außenministeriums, verunstaltet. Wie mehrere Medien übereinstimmend berichten, war auf den betroffenen Seiten die Botschaft „Ukrainer, fürchtet euch und erwartet das Schlimmste“ zu lesen.

Spezialeinheit 29155 auch in anderen Ländern aktiv

Die Spezialeinheit 29155 soll allerdings nicht nur bei der „WhisperGate“-Kampagne eine zentrale Rolle eingenommen haben. Wie das Bundesamt für Verfassungsschutz auf seiner Webseite schreibt, griff das Sonderkommando auch Netzwerke in Europa und Nordamerika sowie Ländern in Lateinamerika und Zentralasien an.

„Die Aktivitäten umfassten sowohl destruktive Handlungen als auch Scanning und Datendiebstahl. Unter den bekannten Zielen befinden sich Kritische Infrastruktur sowie Regierungsstellen und Firmen aus den Bereichen Finanzen, Transport, Energie und Gesundheit“, heißt es weiter im Beitrag der Bundesbehörde.

Das primäre Ziel der Gruppe, die auch als „Putins Killerkommando“ bekannt ist, scheint seit Anfang 2022 darin zu bestehen, Hilfsleistungen für die Ukraine auszukundschaften und zu stören. Dem Bericht zufolge wurden mehr als 14.000 Fälle von Domain-Scanning in 28 Nato- und EU-Ländern registriert, darunter auch Deutschland.

Agenten der Gruppe 29155: Die „Männer fürs Grobe“

Dass die Spezialeinheit 29155 alles andere als eine harmlose Gruppierung ist, steht seit Jahren fest. Unter anderem die „New York Times“ und der „Spiegel“ veröffentlichten umfangreiche Recherchen zu der vermutlich 2009 gegründeten Einheit.

Agenten der Gruppe sollen etwa hinter dem Giftanschlag auf den ehemaligen russischen Agenten Sergej Skripal in Großbritannien stecken. In einem „Spiegel“-Beitrag werden die Mitglieder von 29155 als „Männer fürs Grobe“ und „Schattenkrieger“ bezeichnet, speziell ausgebildet für komplizierte Operationen im Ausland.

Die Recherchen des Nachrichtenmagazins aus dem Jahr 2019 geben außerdem Aufschluss darüber, woher diejenigen stammen, die der Spezialeinheit ihre Dienste zur Verfügung stellen.

Laut „Spiegel“ handelt es sich überwiegend um Personen zwischen Ende dreißig und Mitte vierzig, die beispielsweise in den Kriegen in Tschetschenien oder in der Ukraine gekämpft haben. Eine Eigenschaft, die offenbar die meisten von ihnen mitbringen: Skrupellosigkeit.

Bericht enthält Schutzmaßnahmen vor Cyberangriffen

Das jetzt veröffentlichte „Joint Cybersecurity Advisory“ von FBI, CISA und NSA beschäftigt sich mit virtuellen Bedrohungen. Es zeigt verschiedene Taktiken auf, die die Spezialeinheit 29155 bei digitalen Sabotageaktionen anwendet. Außerdem werden Maßnahmen aufgelistet, die Organisationen ergreifen können, um sich vor Cyberangriffen zu schützen.

Dazu gehören zum Beispiel regelmäßige System-Updates und das Beheben bekannter Sicherheitslücken. Sinnvoll ist laut dem Bericht auch, Netzwerke zu segmentieren. Das bedeutet, Teile eines Unternehmensnetzwerks voneinander zu trennen, um möglichst wenig Angriffsfläche zu bieten.

Außerdem empfehlen die Sicherheitsbehörden, für alle nach außen gerichteten Dienste - also zum Beispiel Webmail, virtuelle private Netzwerke (VPN) oder Konten, die auf kritische Systeme zugreifen -  eine sogenannte „phishing-resistente Multi-Faktor-Authentifizierung (MFA)“ einzurichten.

Dann ist beim Login-Vorgang nicht nur Username und Passwort, sondern mindestens ein weiterer Faktor nötig, der aber - im Gegensatz zur herkömmlichen MFA - nicht so leicht durch Social-Engineering-Methoden abgefangen werden kann. Beim Social Engineering soll eine Person so manipuliert werden, dass sie persönliche Informationen oder Zugangsdaten preisgibt.

CDU-Mann Kiesewetter sieht Deutschland im Fokus

Der CDU-Sicherheitspolitiker Roderich Kiesewetter sah in den gemeinsamen Erkenntnissen der Sicherheitsbehörden im Gespräch mit dem „Handelsblatt“ einen Beleg für die hybride Kriegsführung Russlands.

Deutschland steht in seinen Augen besonders im Fokus, „weil wir es Russland besonders einfach machen“. Das liegt seiner Meinung nach zum einen an der Naivität großer Teile der Bevölkerung, was das Vorgehen von Autokratien und Terrorstaaten betrifft. Zum anderen glaubt er, dass hiesige Sicherheitsbehörden „schlecht gegen hybride Angriffe gewappnet“ sind.

Ganz ungestört kann die Spezialeinheit 29155 trotz allem nicht agieren. In den USA sind inzwischen fünf Mitglieder der wegen mutmaßlicher Cyberattacken auf die zivile Infrastruktur in der Ukraine angeklagt worden.