Internationale FahndungRussische Hackergruppe offenbar für Cyber-Angriffe in NRW verantwortlich

Lesezeit 5 Minuten
Durchsuchungsbeschlüsse wegen Verdacht Cybercrime werden vollstreckt, Beweise gesichert

Unter Leitung der Zentral- und Ansprechstelle Cybercrime (ZAC NRW) durchsuchten die Ermittler letzten Dienstag zeitgleich mehrere Objekte in Deutschland und der Ukraine.

Die Hacker-Gruppe hat offenbar Kontakte zum russischen Geheimdienst FSB und zum Kreml. Sie sollen die Cyber-Angriffe auf die Düsseldorfer Uniklinik und auf die Funke-Mediengruppe ausgeführt haben.

Bei seiner Hochzeit auf der Krim ließ es Maksim Yakubetz so richtig krachen. In einem Nobelhotel heiratete der damals 30-jährige mutmaßliche Chefhacker 2017 die Tochter eines ehemaligen hochrangigen Offiziers des russischen Geheimdienstes FSB. Schampus, Wodka, Kaviar, teurer Anzug, adrette Frisur. Der Mann, den russische Medien den „100-Millionen-Dollar-Dieb“ nannten, pflegte bereits damals einen extravaganten Lebensstil. Eine besondere Vorliebe hegte der mutmaßliche Cybergangster für italienische Sportwagen der Marke Lamborghini. Die Kennzeichen auf seiner Nobelkarosse führten nur ein russisches Wort: „BOP“. Übersetzt heißt das Dieb.

Im November 2019 schrieb die US-Bundespolizei Yakubetz zur internationalen Fahndung aus. Für seine Ergreifung setzten sie fünf Millionen aus; Eine Rekordsumme für mutmaßliche Online-Kriminelle.

Wie der „Kölner Stadt-Anzeiger“ aus Ermittlerkreisen erfuhr, soll der gebürtige Ukrainer auch bei Cyber-Angriffen in Nordrhein-Westfalen eine große Rolle spielen. Die Nachforschungen führen vom FSB bis hin zur sogenannten Gruppe Wagner – russische Söldner, die derzeit die ukrainische Stadt Bachmut in Schutt und Asche legen.

Alles zum Thema Herbert Reul

Russische Hacker griffen mutmaßlich die Uniklinik Düsseldorf 2020 an

Hacker Yakubetz soll eine Gruppe lenken, die zahlreiche Einrichtungen und Firmen an Rhein und Ruhr erpresst und über eine Schadsoftware (Ransomware) lahmgelegt hatte. So etwa die Funke-Mediengruppe und die Uniklinik Düsseldorf im Jahr 2020, um ein Lösegeld zu erpressen. Durch gemeinsame Ermittlungen zwischen Europol, dem FBI sowie der niederländischen und der ukrainischen Polizei konnte das hiesige Landeskriminalamt und die zentrale Ansprechstelle für Cybercrime (ZAC) jene Gruppe namens „DoppelSpider“ enttarnen, die hinter den Angriffen stecken soll.

Seit dem Angriff auf das britische Gesundheitswesen im Mai 2017 zählten die Ermittler offenbar 600 Opfer, die teils zweistellige Millionenbeträge bezahlt haben. Ende Februar durchsuchten Strafverfolger in NRW und in der Ukraine Objekte von mutmaßlichen Komplizen der Köpfe des Hacker-Netzwerks. Zugleich sucht die ZAC mit internationalem Haftbefehl nach drei Schlüsselfiguren der DoppelSpider-Gruppe.

Allen voran suchen die Ermittler nach Igor Turashev. Der 41-Jährige fungierte jahrelang offenbar als Chefadministrator für Yakubetz. Das US-Justizministerium hatte 2019 eine Anklage gegen die beiden Drahtzieher ins Netz gestellt. Dabei geht es um Bankbetrug und Erpressung, die Cyber-Gangster sollen in den USA 70 Millionen US-Dollar erbeutet haben. Allein der Sharon-City-School-District in Pennsylvania soll eine Million US-Dollar Lösegeld gezahlt haben, um die IT-Systeme wieder hochfahren zu können. Die Penneco Oil’s Bank übermittelte laut US-Anklage 2,1 Millionen Dollar.

Igor Turashev steht in einem Park und guckt in die Kamera. Er hat dunkelblonde Haare und trägt einen weißen Mantel

Fahndungsbild von Igor Turashev

Yakubetz führte die russische Hackergruppe „Evil Corp“ an

Angefangen hatten die Cyber-Betrüger offenbar 2009. Die Washinton Post berichtete damals über eine Hacker-Gruppe, die in Kentucky aus der Staatskasse 415.000 Dollar erbeutet hatte. Yakubetz reagierte damals auf die Entdeckung ungehalten: „Sie haben das ganze Schema. Bastarde… macht mich wirklich wütend.“

Zehn Jahr später führte Yakubetz laut US-Anklage das russische Hacker-Syndikat „Evil Corp“ an, das mit Hilfe eines neuen Trojaners namens „Bugat“ im großen Stil Bankkonten geplündert haben soll. Mit dabei soll auch sein Chefadministrator Igor Turashev gewesen sein. Aus den Kellern russischer Cafés verschickten dutzende Komplizen dem FBI zufolge Phishing-Mails mit einer Schadsoftware. Diese soll alle Tastaturanschläge aufgezeichnet haben, um an die Passwörter für das Online-Banking zu gelangen. Dazu lockte die Gruppe laut FBI ihre Opfer auf gefälschte Bank-Webseiten, um die Zugangsdaten abzuschöpfen. Die abgezockten Gelder verschwanden in dunkle Kanäle oder wurden den Ermittlungen zufolge durch Mittelsmänner in Großbritannien gewaschen.  Über einen dritten Geschäftszweig soll die „Evil Corp“ ihre Schadprogramme an andere Banden vermietet haben.

Später dann entwickelten die Hauptakteure Yakubetz und Turashev offenbar neue Programme, um auch verstärkt in Deutschland zu agieren.

Verbindungen zum Kreml

Laut dem US-Finanzministerium arbeitete Yakubetz seit knapp sechs Jahren für den russischen Geheimdienst FSB. Demnach soll der Hacker entsprechende Cyberoperationen ausgeführt und Geheimdokumente beschafft haben. So veröffentlichte „Evil Corp“ geheime Daten von 200 Unternehmen, darunter Informationen aus dem Verteidigungssektor in den USA. Auch soll Yakubetz Cyberkriminelle für den Nachrichtendienst rekrutiert haben. Yakubetz werden gute Beziehungen zu Dimitri Peskov nachgesagt, dem Pressesprecher des Kreml-Autokraten Wladimir Putin.

Aus der „Evil Corp“-Cybergang ging offenbar die DoppelSpider-Gruppe hervor. Die Ermittler konnten bisher drei mutmaßliche Führungsfiguren ausmachen: Chefadministrator ist Igor Turashev. Noch kurz vor dem russischen Überfall auf die Ukraine nahm er an einem Hacker-Wettbewerb der kremlnahen Söldner-Einheit Wagner teil. Irina Zemlianikina leitete den Ermittlungen zufolge die Verhandlungen mit den erpressten Online-Opfern. Igor Garshin steht laut dem LKA im Verdacht, „durch Ausspähen, Infiltrieren sowie die finale Verschlüsselung von Daten, einer der Hauptverantwortlichen für die Cyber-Angriffe nicht zuletzt auch auf deutsche Unternehmen zu sein.“

Igor Garshin sitzt auf einem Sofa und blickt in die Kamera. Er trägt ein Hemd.

Fahndungsbild von Igor Garshin

Der Fall deutet auf eine brisante Verbindung hin, die den deutschen Sicherheitsbehörden zunehmend Sorgen bereitet. Denn die Zahl der staatlich gelenkten russischen Cyberangriffe wächst rasant. Laut dem Branchendienst Bitkom gehen 36 Prozent der Online-Angriffe 2022 auf deutsche Unternehmen auf russische Cyber-Akteure zurück. Dabei mischen anscheinend staatlich finanzierte Scheinfirmen, Gangster und patriotische Hacker mit. Sabotage-Operationen in Westeuropa übers Netz gehören seit Jahren zum Moskauer Geschäft. Nach den US-Erkenntnissen wirbt der russische FSB gezielt Cyberkriminelle an, um diese auf ausländische Ziele anzusetzen.

Irina Zemlianikina blickt in die Kamera. Sie hat lange braune Haare und braune Augen.

Fahndungsbild von Irina Zemlianikina

Hacker-Gruppe befindet sich vermutlich in Russland

Sicherheitsexperten stellen einen Mix zwischen staatlich gesteuerter Sabotage in Westeuropa und geduldeten Hackern fest, die unabhängig handeln, um Millionen zu erpressen. Laut einer Analyse der US-Denkfabrik Atlantic Council lässt der Kreml die Cyber-Gangster per „Gesellschaftsvertrag“ freien Lauf, solange sie sich auf ausländische Ziele konzentrieren. Im Kern gehe es einzig darum, den Feind im Ausland zu schwächen, heißt es.

Vermutlich gehörte die Erpresser-Gruppe DoppelSpider auch dazu. Diesen Verdacht hegt zumindest NRW-Innenminister Herbert Reul: „Auch wenn die Taten der persönlichen Bereicherung dienten, liegt die Vermutung nahe, dass sie mindestens staatlich geduldet wurden.“ Zudem sei nicht auszuschließen, „dass die abgeschöpften Daten und Gelder auch für staatliche Zwecke genutzt werden“, sagt der CDU-Politiker.

Inzwischen suchen auch die Kölner Strafverfolger weltweit nach Turashev und seinen Komplizen. Diese wiegen sich aber offenbar in Sicherheit: Die Ermittler vermuten, dass sich die Gesuchten in Russland befinden. Eine Auslieferung erscheint unmöglich.

Nachtmodus
KStA abonnieren