DHS – Cybersecurity and Infrastructure Security Agency Mail-In Voting in 2020 Infrastructure Risk Assessment

Page Count: 11 pages
Date: July 28, 2020
Restriction: None
Originating Organization: Cybersecurity and Infrastructure Security Agency, Department of Homeland Security
File Type: pdf
File Size: 577,002 bytes
File Hash (SHA-256): 4018616B3963268F457A9A294BF1A3A04EB90025898BC3C54B4785B048C873BB

Download File

All forms of voting – in this case mail-in voting – bring a variety of cyber and infrastructure risks. Risks to mail-in voting can be managed through various policies, procedures, and controls.
The outbound and inbound processing of mail-in ballots introduces additional infrastructure and technology, which increases the potential scalability of cyber attacks. Implementation of mail-in voting infrastructure and processes within a compressed timeline may also introduce new risk. To address this risk, election officials should focus on cyber risk management activities, including access controls and authentication best practices when implementing expanded mail-in voting.

Integrity attacks on voter registration data and systems represent a comparatively higher risk in a mail-in voting environment when compared to an in-person voting environment. This is because the voter is not present at the time of casting the ballot and cannot help to answer questions regarding their eligibility or identity verification.

Operational risk management responsibility differs with mail-in voting and in-person voting processes. For mail-in voting, some of the risk under the control of election officials during in-person voting shifts to outside entities, such as ballot printers, mail processing facilities, and the United States Postal Service (USPS).

Physical access at election offices and warehouses represents a risk in a mail-in voting environment. Completed ballots are returned to the election office and must be securely stored for days or weeks before processing through voter authentication and tabulation processes. Managing risks to these processes requires implementing secure procedures for storage, access controls, and chain of custody, such as ballot accounting.
Inbound mail-in ballot processes and tabulation take longer than in-person processing, causing tabulation of results to occur more slowly and resulting in more ballots to tabulate following election night. Media, candidates, and voters should expect less comprehensive results on election night, which creates additional risk of electoral uncertainty and confidence in results.

Disinformation risk to mail-in voting infrastructure and processes is similar to that of in-person voting while utilizing different content. Threat actors may leverage limited understanding regarding mail-in voting processes to mislead and confuse the public.

Election infrastructure includes a diverse set of systems, networks, and processes. Mail-in voting is a method of administering elections. When voting by mail, authorized voters receive a ballot in the mail, either automatically or after the application process. In most implementations, the voter marks the ballot, puts the ballot in an envelope, signs an affidavit, and returns the package via mail or by dropping off at a ballot drop box or other designated location.

Currently, five states (Colorado, Hawaii, Oregon, Utah, and Washington) automatically send every registered voter a ballot by mail. At least 21 other states have laws that allow at least some elections to be conducted by mail. In addition to the five states that send every voter a ballot, five states (Arizona, California, Montana, Nevada, and New Jersey) and the District of Columbia (D.C.) allow a voter to apply to receive a mail-in ballot permanently, so that voters do not have to apply each election.1 Currently, 34 states and D.C. allow any registered voter to request a mail-in ballot. There are 16 states that require voters to have an excuse such as temporary absence from the voting district, illness, or disability or require voters to be of a certain age (typically 65+) to be eligible to receive a ballot by mail. Some states are recognizing COVID-19 as a valid excuse.

Although they perform similar functions, mail-in voting processes and infrastructure vary from state to state and often differ even between counties, parishes, towns, or cities within a state or territory. While each state manages and conducts mail-in elections differently based on state and local legal requirements, common risks and mitigations exist across states and implementations.

Voter registration and mail ballot application processing collects data used to determine voter eligibility, the type of ballot a voter receives, the location or address for mailing the ballot to the voter, and whether election officials can accept the ballot. Either an integrity attack or an availability attack on a voter registration system could result in a voter not being able to cast a ballot or a voter’s ballot not being counted. Integrity attacks on voter registration data and systems represents a comparatively higher risk in a mail-in voting environment than an in-person voting environment. This is because the voter is not present at the time of casting the ballot and cannot help to resolve questions regarding eligibility or verification. Mail-in voters whose registration records are altered or deleted in an integrity attack do not have the opportunity to be issued a provisional ballot, which are available to in-person voters.

  • An integrity attack that removed a voter from the voter registration, permanent mail, or absentee ballot request list could result in the voter not receiving a ballot, unless the voter proactively followed up to re-register, re-apply, or if the election official received the ballot as undeliverable and contacted the voter. The impact is that a voter may not receive a ballot or receipt of a ballot may be delayed, resulting in a jurisdiction potentially not accepting a voted ballot. The voter would still possess the ability to vote in person provisionally.
  • An integrity attack on a voter’s name could result in the voter receiving a ballot package that is not addressed to the proper individual. If there was an integrity attack on a voter’s identifying information (i.e., date of birth [DOB], driver’s license number [DL], last four digits of Social Security number [SSN], etc.), the voter’s proof of ID, where required, would not match the voter’s record. The voter would either need to inform the election official and update his or her voter record (assuming that the voter registration deadline has not passed), or risk having their voted ballot rejected upon receipt.
  • An integrity attack on a voter’s ballot mailing address may result in the voter not receiving a ballot, unless the voter proactively updated his or her registration with the correct address, or the election official received the ballot as undeliverable and contacted the voter. This assumes that the voter registration or ballot application deadline has not passed, allowing the voter to update his or her information. The impact is that a voter may not receive a ballot, or receipt of a ballot is delayed.
  • An integrity attack on a voter’s signature on file could result in the voter having the ballot package rejected and their ballot uncounted. If the state is one of the 19 that requires a voter to receive notification when there is a discrepancy with their signature or the signature on the return ballot envelope is missing (a.k.a. “cure process”), the voter may have an opportunity to correct the situation by being notified that the ballot was rejected and taking action to resolve the issue. This can be done by an election official notifying the voter or a voter checking a ballot tracking system, if available.
  • An availability attack on the voter registration database or specific information, such as a list of mail voters, voter names, or addresses could result in the delay of voters receiving their ballots, and further impact voters’ ability to return ballots on time to ensure they are counted. In most states, a ballot may be returned in person, in which case the impact of an availability attack may only affect the outbound process providing a measure of resilience.

Exposed – Russia Likely to Continue Seeking to Undermine Faith in US Electoral Process

Homeland Security Experts on the Biggest Threats and Challenges the U.S.  Faces in 2020 – Homeland Security Today
Page Count: 4 pages
Date: September 3, 2020
Restriction: For Official Use Only
Originating Organization: Cyber Mission Center, Office of Intelligence and Analysis, Department of Homeland Security
File Type: pdf
File Size: 167,819 bytes
File Hash (SHA-256): CD0E044E731342D57AB13DCBB9C8B56D2D5A6295D1E51F6409461D1CAB55C61A

Download File

(U//FOUO) We assess that Russia is likely to continue amplifying criticisms of vote-by-mail and shifting voting processes amidst the COVID-19 pandemic to undermine public trust in the electoral process. Decisions made by state election officials on expanding vote-by-mail and adjusting in-person voting to accommodate challenges posed by COVID-19 have become topics of public debate. This public discussion represents a target for foreign malign influence operations that seeks to undermine faith in the electoral process by spreading disinformation about the accuracy of voter data for expanded vote-by-mail, outbound/inbound mail ballot process, signature verification and cure process, modifying scale of in-person voting, and safety and health concerns at polling places, according to CISA guidance documents provided to state and local election officials. Since at least March 2020, Russian malign influence actors have been amplifying allegations of election integrity issues in new voting processes and vote-by-mail programs.

(U//FOUO) Russian state media and proxy websites in mid-August 2020 criticized the integrity of expanded and universal vote-by-mail, claiming ineligible voters could receive ballots due to out-of-date voter rolls, leaving a vast amount of ballots unaccounted for and vulnerable to tampering.b These websites also alleged that vote-by-mail processes would overburden the US Postal Service and local boards of election, delaying vote tabulation and

creating more opportunities for fraud and error.

(U//FOUO) Since March 2020, Russian state media and proxy websites have denigrated vote-by-mail processes, alleging they lack transparency and procedural oversight, creating vast opportunities for voter fraud. These outlets also claimed that state election officials and policymakers leveraged the COVID-19 pandemic to justify politically-expedient decisions made on holding primary elections and implementing new voting processes and vote-by-mail programs allegedly designed to benefit specific candidates and influence election outcomes.

(U//FOUO) Throughout the 2020 primary elections, Russian state media and proxy websites amplified public narratives about shortcomings in ballot delivery and processing, such as claims that voters would not receive their mail ballot in time to cast their vote. These websites highlighted reductions in the number of in-person polling places in large cities due to the pandemic and the long lines this caused, claiming this
would disproportionately suppress voting among African-Americans and expose them to the spread of COVID-19.

(U//FOUO) We assess that Russian state media, proxies, and Russian-controlled social media trolls are likely to promote allegations of corruption, system failure, and foreign malign interference to sow distrust in democratic institutions and election outcomes. We base this assessment on content analysis of narratives and themes promoted by Russian state media and proxy websites throughout the 2020 election cycle concerning system integrity issues and parallels with observed Russian troll activity leading up to the 2018 and 2016 elections.

(U//FOUO) Russia continues to spread disinformation in the United States designed to undermine American confidence in democratic processes and denigrate a perceived anti-Russia establishment, using efforts such as Russian-controlled internet trolls and other proxies, according to an ODNI press statement. In the Iowa Caucuses in February, Russian state media and proxy websites claimed that the contest was fixed in favor of establishment candidates and that technical difficulties with the caucusing mobile voting application led to ballot manipulation. These outlets continued this narrative into March 2020, claiming that the Democratic Party made a corrupt back-room deal to orchestrate the exit of establishment candidates to consolidate the vote behind former Vice President BidenUSPER in advance of the Super Tuesday primary elections.

(U) Russian malign influence actors during the 2018 US midterm election claimed they controlled the US voting systems to prompt election integrity concerns, according to press reporting. In the 2016 US presidential election, Russian social media trolls targeted specific communities and claimed the election was rigged by the establishment, encouraging these voters to stay at home or vote for third-party candidates in order to influence the election outcome, according to reports by firms with expertise in social media network analysis.

FSBs Magnificent Seven: Neue Verbindungen zwischen Berlin und Istanbul

“Roman Davydov”, Foto aus dem slowakischen Visumantrag.


Am 23. August 2019 wurde Zelimkhan Khangoshvili, ein georgischer Asylbewerber tschetschenischer Herkunft, auf dem Rückweg vom Freitagsmoscheeservice in einem Park in der Nähe des Berliner Kleiner Tiergartens ermordet. Der Mörder war von der deutschen Polizei gefangen genommen worden, nachdem er mit dem Fahrrad vom Tatort weggelaufen war und zwei Teenager gesehen hatten, wie er seine Perücke, Kleidung und seinen Schalldämpfer in die Spree entsorgt hatte. Er ist seitdem in Haft und hat Unschuld behauptet.
In unseren früheren gemeinsamen Ermittlungen mit Der Spiegel und The Insider (Russland) haben wir den Mörder – der unter der gefälschten Identität von Vadim Sokolov (49) reiste – als Vadim Krasikov (54) identifiziert Mindestens zwei Auftragsmorde: 2007 in Karelien und 2013 in Moskau. Für diese Morde wurde er von den russischen Behörden auf einer Interpol Red Notice gesucht – bis er 2015 plötzlich fallen gelassen wurde.
Wir haben letztendlich herausgefunden, dass das Attentat vom russischen FSB, der staatlichen Sicherheitsbehörde, geplant und organisiert wurde. Die Vorbereitung des Mordes wurde direkt von hochrangigen Mitgliedern einer Veteranenstiftung ehemaliger Spetsnaz-Offiziere der Eliteeinheit FSB Vympel überwacht. Wir konnten jedoch nachweisen, dass der FSB direkt an der Planung und Unterstützung der Operation beteiligt war, da wir die wiederholte Anwesenheit des Mörders in den FSB Spetznaz-Schulungseinrichtungen in den Monaten vor seiner Reise unter einer von der Regierung ausgestellten Deckungsidentität geolokalisieren konnten im August 2019 nach Deutschland.
Zehn Monate nach dem Mord reichte die deutsche Generalstaatsanwaltschaft am 18. Juni 2020 eine offizielle Anklage gegen Vadim Krasikov ein. In der Anklageschrift wird die russische Regierung als die Partei genannt, die Krasikov wegen Mordes an Zelimkhan Khangoshvili unter Vertrag genommen hat. Die Anklage nennt auch einen potenziellen Komplizen des Mordes, der als Roman D, ein mutmaßlicher Deckname, bezeichnet wird.

Eine Untersuchung von Bellingcat, The Insider und Der Spiegel hat die Existenz eines zweiten russischen Staatsbürgers bestätigt, der am Vorabend des Attentats von Russland in die Europäische Union gereist ist. Dabei wurde die gefälschte Identität des 1981 geborenen Roman Davydov verwendet. Wesentliche Kennzeichen dafür Die Identität der Deckung überschneidet sich mit der gefälschten Identität, die Vadim Krasikov ausgestellt wurde, was bedeutet, dass sie als Teil desselben oder eines eng verknüpften Regierungsprogramms arbeiteten.

Darüber hinaus konnten wir diese Person auf der Grundlage der in der deutschen Anklageschrift zitierten Passnummernsuche und der in der deutschen Anklageschrift zitierten Geheimdienstdaten aus Tschechien mit einer Gruppe anderer russischer FSB-Spione in Verbindung bringen, die wiederum mit dem Mord an einem anderen tschetschenischen Staatsangehörigen in Istanbul in Verbindung gebracht wurden im Jahr 2015.

Unsere Ergebnisse zeigen, dass mindestens ein, aber wahrscheinlicher mehrere FSB-Mitarbeiter nach Deutschland gereist sind, um das Attentat auf Khangoshvili vorzubereiten und zu unterstützen. Diese Ergebnisse stärken auch die Verbindung des Berliner Mordes mit einer zuvor gemeldeten „Fahndungsliste“ von neunzehn in der Sowjetunion geborenen Personen, von denen die meisten tschetschenischer Abstammung sind, die der FSB 2012 mit den deutschen Geheimdiensten geteilt hat.

Roman’s Holiday (oder Roman, der an einem Tag gebaut wurde)
Am 29. Juli 2019 erschien ein Reisebüro mit einem russischen Reisepass im Namen von Roman Davydov, geboren am 9. Oktober 1981 in St. Petersburg (damals Leningrad), im Visazentrum des slowakischen Generalkonsulats in St. Petersburg und beantragte für ihre Klientin ein einjähriges Mehrfachvisum für den Schengen-Raum. Laut den russischen Visumantragsunterlagen des Kunden war er einheimisch: Er lebte in Bogatirskiy Prospect 32, Korpus 2 in St. Petersburg, und arbeitete als Bauingenieur bei einer lokalen Firma. Er hatte vor, Bratislava als Tourist zu besuchen, und hatte am folgenden Tag – dem 30. Juli – eine Buchung für einen Flug nach Wien und eine Hotelbuchung für das Falkensteiner Mittelklassehotel in der Innenstadt von Bratislava, wo er ab dem 2. August übernachten würde. Er beantragte ein einjähriges Visum für die mehrfache Einreise und brauchte es dringend, da er vorhatte, am nächsten Tag zu fliegen.

In der Tat war nichts davon wahr. Der Visumantragsteller lebte tatsächlich in Moskau unter seinem richtigen, anderen Namen. Die genaue Wohnadresse, die er auf dem Antrag angegeben hatte, existierte nicht – es gibt kein Korpus 2 in Bogatirskiy Prospect 32, und die Personen, die unter der einzigen Wohnungsnummer an dieser Adresse wohnen, die mit seiner Antragsadresse übereinstimmt, hatten noch nie von ihm gehört.

Der Mann, der sich Roman Davydov nannte, war ein digitales Neugeborenes. Eine Person mit Namen und Geburtsdatum konnte nicht in Tausenden von durchgesickerten Wohn- und Passdatenbanken russischer Einwohner gefunden werden, die von Bellingcat konsultiert wurden. Roman Davydov war gerade erst in der russischen Pass- und Steuerdatenbank erschienen. Tatsächlich wurde die Identität von Roman Davydov nur elf Tage vor diesem Besuch beim slowakischen Konsulat geschaffen: Sein internationaler Pass wurde am 18. Juli 2019 in der westrussischen Stadt Brjansk ausgestellt. Er wurde am 23. Juli 2019 – im Alter von 39 Jahren – erstmals in das russische Steuerregister eingetragen. Das Schreiben seines Arbeitgebers, das er dem Konsulat vorlegen musste, stammte von einem Unternehmen, das sich mehrere Jahre zuvor in einer Umstrukturierung befunden hatte und null eingereicht hatte -Die Lohnsteuerakten der Mitarbeiter seit 2016. Außerdem hatte „Davydov“ keine wirklichen Pläne, die Slowakei zu besuchen.

Auszug aus dem Open-Source-Unternehmensregister, aus dem hervorgeht, dass das Unternehmen ZAO RUST bei der Umstrukturierung Anfang und Ende 2019 nur einen Mitarbeiter hatte.

Keine dieser Datenlücken wurde vom slowakischen Konsulat bemerkt, und sein Visum für die mehrfache Einreise wurde ausgestellt – allerdings mit einer Verzögerung von zwei Tagen, wodurch er uneingeschränkte Reiserechte in 45 Bezirke in Europa, Lateinamerika und Asien erhielt.

„Roman Davydov“ war nicht die einzige Person, die an diesem Tag einen Antrag bei einem EU-Konsulat in Russland gestellt hat, um unter einer gefälschten Identität zu reisen. Am selben Tag, dem 29. Juli 2019, betrat ein Reisebüro – von derselben Firma, diesmal als Vertreter von „Vadim Sokolov“ (49) – das französische Konsulat in Moskau und beantragte für seinen Kunden ein Schengen-Visum für die mehrfache Einreise. Wie „Davydov“ war auch „Sokolov“ ein digitales Neugeborenes, dessen Reisepass zehn Tage zuvor am selben Tag in Brjansk ausgestellt worden war.

Die Pässe von „Davydov“ und „Sokolov“ waren nur 35 Ziffern voneinander entfernt, was zeigt, dass diese Personas zur gleichen Zeit hergestellt wurden. Beide waren am selben Tag, am 23. Juli 2019, in das Steuerregister eingetragen worden. Darüber hinaus hatten beide Arbeitsbriefe von derselben Firma in St. Petersburg vorgelegt: ZAO „RUST“, wo sie beide als „Bauingenieure“ arbeiteten. (Der CEO dieses Unternehmens sagte uns zunächst, er habe noch nie von Vadim Sokolov gehört, und als er mit der Tatsache konfrontiert wurde, dass sowohl Sokolov als auch Davydov von ihm unterzeichnete Beschäftigungsschreiben eingereicht hatten, sagte er: „Das ist Unsinn“ und legte auf.)

„Vadim Sokolov“, obwohl er ebenfalls ein digitales Neugeborenes ist, das für eine leere Hülle eines Unternehmens arbeitet, erhielt ebenfalls ein Mehrfachvisum vom französischen Konsulat. Er würde drei Wochen später von der deutschen Polizei festgenommen, kurz nachdem er Khangoshvili in Berlin tödlich erschossen hatte. „Roman Davydov“ ist nach unserem besten Wissen derzeit wieder in Russland.

Der Road Trip
Die Rolle von “Roman Davydov” bei der Vorbereitung des Berliner Mordes ist noch unklar, doch seine gefälschte Identität, die mehrfachen dokumentarischen Überschneidungen mit “Sokolov” und seine vorherige Verbindung zu einem Mord an einem anderen Tschetschenen reichten aus, damit der deutsche Staatsanwalt ihn benannte eine Person von Interesse an Vadim Krasikovs Anklage. Seine wahre Identität wurde noch nicht entdeckt.

Unsere Untersuchung der Grenzübergangsaufzeichnungen (basierend auf Daten eines Hinweisgebers mit Zugriff auf die zentralisierte Grenzdatenbank Russlands) zeigt, dass eine Person mit diesem Namen und Geburtstag die russische Grenze nur zweimal überquerte: einmal am 3. August 2019, als sie mit dem Auto überquerte die belarussisch-polnische Grenze am Kontrollpunkt Bruzgi (Grodno) und erneut 4 Tage später, als er an derselben Stelle von Polen nach Weißrussland zurückkehrte (es gibt keine kontrollierte Grenze zwischen Russland und Weißrussland). Es gibt keine Informationen über seine Bewegungen nach seiner Einreise nach Polen, das Teil des Schengen-Raums ist und keine harten Grenzen zu Deutschland hat. Angenommen, sein Ziel wäre Berlin gewesen, wäre dies eine 8-9-stündige Fahrt von der belarussisch-polnischen Grenze entfernt gewesen. Er hätte also nicht mehr als zweieinhalb Tage in Berlin verbracht – nicht lange genug für die Aufklärung und Verfolgung des Ziels, aber ausreichend, um die für das Attentat und den Mord erforderliche Ausrüstung vor Ort zu liefern oder zu beschaffen Waffe. Der Mörder war am Nachmittag des 22. August von Warschau nach Berlin gekommen, und das Attentat fand am nächsten Tag kurz vor Mittag statt – nicht genug für Krasikov, um seine Werkzeuge selbst zu beschaffen. Er hätte ein Fahrrad bekommen müssen. Der Anklageschrift zufolge wurde auch ein High-End-E-Scooter, der nicht in Deutschland verkauft wird, auf dem Fluchtweg des Mörders geparkt gefunden (ein Bewohner hatte beobachtet, dass er einen Tag vor dem Mord eingesetzt und an Ort und Stelle gesperrt wurde). Das Attentat wurde mit einer modifizierten Glock 26 durchgeführt, die auf einen estnischen Besitzer zurückgeführt wurde, der den Diebstahl gemeldet hatte.

Es steht außer Frage, dass Krasikov bei seiner Aufgabe Hilfe hatte. Die einzige Frage, die noch offen ist, ist, für wie viel dieser Hilfe „Davydov“ verantwortlich war.

Zu den Grenzübergangsaufzeichnungen gehörte das Nummernschild des Wagens „Davydov“. Unter Verwendung eines Open-Source-Telegramm-Bots, der Fahrzeugdetails und Besitzdaten bereitstellt, stellten wir fest, dass das Auto ein blauer Infinity Q50 war und einer russischen Autoleasingfirma gehörte. Wir haben das Unternehmen kontaktiert, aber keine Antwort erhalten, wer das Auto im August 2019 benutzt hat.

Der Infiniti-Fall

Der von „Roman Davydov“ verwendete Infiniti Q50, Foto einer Verkehrskamera (Dezember 2019)

Mithilfe öffentlich zugänglicher Daten von Verkehrsverstößen in Kombination mit durchgesickerten Daten aus Moskaus allgegenwärtigen Verkehrsüberwachungssystemen konnten wir Schlüsselmomente der Fahrzeugbewegungen des „Davydov“ in den Tagen vor und nach seiner Reise rekonstruieren. Diese Zeiten und Orte ermöglichten es uns, sie mit bekannten Bewegungen von Vadim Krasikov in den Tagen vor seiner Abreise aus Russland am 17. August 2019 zu vergleichen, die wir anhand seiner Handy-Metadaten rekonstruierten.

Die häufigsten Überschneidungen treten im Bereich einer der bekannten Residenzen von Krasikov in der Nähe der Osennaya-Straße auf. Im Juli 2019 wird das Infiniti-Auto mehrmals in der Nähe seiner Wohnung gefangen genommen, wo es nicht länger eine halbe Stunde bleibt, bevor es weiterfährt. In vielen Fällen bewegt sich Krasikovs Telefon gleichzeitig von seinem Zuhause weg und schlägt eine Abholung auf dem Weg von „Davydov“ vor.

Auf dem Rückweg von der belarussischen Grenze am 8. August 2019 fährt das Auto von „Davydov“ direkt zu Krasikovs Standort, wo es um 18:05 Uhr ankommt. Es geht um 6:30 weiter. Krasikovs Telefon befindet sich zuletzt um 17:25 Uhr in seinem Haus, als er eine SMS von einem anonymen SMS-Gateway erhält. Nach dieser Überschneidung, wahrscheinlich einer Abholung, ist Krasikovs Telefon bis zum 12. August 2019 für vier volle Tage ausgeschaltet. Der letzte Ort, an dem der Infiniti an diesem Abend entdeckt wurde, befindet sich auf dem Weg nach Balashikha, einer Stadt außerhalb von Moskau. In Balashikha befindet sich eine FSB-Spetznaz-Schulungsanlage, in der Krasikovs Telefon im Juli und August für längere Zeit geolokalisiert wurde. Daher gehen wir davon aus, dass „Davydov“ ihn dorthin gefahren hat, um vor der Mission zu trainieren oder zu organisieren.

Das Auto von “Davydov” kann in den folgenden Tagen mehrmals zwischen Moskau und Balashikha gesehen werden. Am 14. August – drei Tage vor der Reise – wird Krasikovs Telefon für diesen Tag wieder ausgeschaltet. An diesem Tag unternimmt Davydov seine letzten Reisen von und nach Balashikha. Eine weitere Bestätigung dieser Reise finden Sie in einem Strafzettel (zugänglich über eine offene, staatliche russische Datenbank), der am 14. August 2019 um 16:44 Uhr für das Infiniti-Auto von „Davydov“ in Balashikha ausgestellt wurde.

Geschwindigkeitsrekord von der Straße von Balashikha nach Moskau am 14. August um 16:44 Uhr.

Zwei Morde in Istanbul
Obwohl die genaue Rolle von „Davydov“ bei der Ermordung Berlins noch nicht feststeht, besteht kaum ein Zweifel daran, dass er an der Planung beteiligt war und sich mehrfach mit Krasikov getroffen hat. Die Bewegungen seines Autos sind zwar nicht so präzise wie die Metadaten von Mobiltelefonen, zeigen jedoch, dass er regelmäßig Gebiete besuchte, in denen sich Einrichtungen der Vympel Foundation und Spetsnaz-Trainingsgelände befanden, in Balashikha und in der Nähe der Stadt Orekhovo-Zuyevo. Deutsche Ermittler haben auch Beweise gefunden, die in der Anklageschrift zitiert wurden, dass „Davydov“ zusammen mit einer anderen namenlosen Person ab dem 26. August 2019 (also nach dem Mord) ein Hotel in Chamonix in den französischen Alpen gebucht hat. Grenzüberschreitungsdaten zeigen jedoch, dass er nach seiner Rückkehr am 8. August nicht gereist ist, so dass diese Reise möglicherweise Teil einer abgebrochenen, nicht verwandten Operation war.

Eine noch direktere Auswirkung auf seine Rolle bei der Ermordung könnte ein weiterer Mord vor vier Jahren sein. Am 1. November 2015 sah Abdulvakhid Edilgeriev, der sein Auto vor seiner Wohnung in einem Vorort von Istanbul mit seiner jungen Nichte neben sich startete, ein weißes Auto auf sich zu rasen, sein Auto von hinten rammen und ihn einschließen. Edilgeriev schob seine Nichte zu der Boden kurz bevor einer der Attentäter durch das Autofenster schoss – und verfehlte. Edilgeriev konnte aus seinem Auto steigen und rannte, aber einer dieser Verfolger holte ihn ein und schoss ihm in den Rücken. Er wurde tot mit fünf Pistolenschüssen in seinem Körper und Messerwunden an seinem Hals gefunden.

Es gab einige Ähnlichkeiten und einige Unterschiede zwischen den beiden Zielen. Wie Khangoshvili hatte Edilgeriev an den tschetschenisch-russischen Kriegen teilgenommen und Angriffe auf russische Spetznaz-Streitkräfte gestartet, während er im Kaukasus versteckt war. Wie Khangoshvili hatte auch er einige Zeit in der Ukraine verbracht und sogar gegen die russische Stellvertreterarmee in Donbass gekämpft. Wie Khangoshvili stand auch sein Name auf einer Fahndungsliste von neunzehn ethnischen Tschetschenen, die der FSB 2012 mit deutschen Behörden geteilt hatte. Seitdem wurden mindestens fünf Namen von dieser schwarzen Liste ermordet, wobei Khangoshvili der neueste war.

Im Gegensatz zu Khangoshvili, einem tschetschenischen Nationalisten, war Edilgeriev ein radikalisierter Islamist geworden, eine Schlüsselfigur im Kaukasus-Emirat, und hatte sogar mit Al-Nusra / Al-Qaida-Streitkräften in Syrien gekämpft. Es wurde auch berichtet, dass er Site-Administrator einer islamistischen Website, dem Kavkaz Center, ist, die in Russland verboten ist.

Was auch immer die Motivation des russischen Staates für Edilgerievs Ermordung gewesen sein mag, es war nicht beiläufig geplant. Die türkische Polizei berichtete, dass mindestens drei Russen an dem Mord beteiligt waren. Das weiße Auto war 20 Tage vor der Ermordung von einem russischen Staatsbürger gemietet worden, der unter dem Namen Aleksandr Nasyrov reiste, der am 11. September 2015 in Istanbul angekommen war, und ein weiteres Auto gemietet hatte – beide wurden auf einem Parkplatz in der Stadt geparkt westliche Provinz Yalova. Er wohnte alleine in einem Hotel in Istanbul und reiste am 16. September 2015 nach Russland zurück.

Zwei weitere Russen, die als Aleksandr Smirnov und Yury Anisimov reisten, blieben vom 11. bis 13. September 2015 zur gleichen Zeit in Yalova. Von dort zogen sie nach Istanbul und übernachteten am 14. und 16. September 2015 in separaten Hotels im Touristenviertel. Die türkische Polizei hatte Überwachungskameras gefunden, aus denen hervorgeht, dass Nasyrov Smirnov und Anisimov in der Nähe ihrer Hotels getroffen hatte.

Keiner dieser Russen wurde zwei Wochen später nach dem Attentat festgenommen, und es wird angenommen, dass sie sich nur in der Türkei befanden, um sich auf die Mission vorzubereiten, während andere Aktivisten am 1. November den Treffer erzielten. Die beiden Russen Smirnov und Anisimov kehrten jedoch ein halbes Jahr später nach Istanbul zurück und wurden kurz nach ihrer Ankunft am 6. April 2016 festgenommen. Die türkische Polizei erklärte, sie sei zurückgekehrt, um ein weiteres Attentat zu planen. Nach der Entspannung in den Beziehungen zwischen Russland und der Türkei im Jahr 2017 wurden sie im November 2017 unter dem angeblichen Vorwand eines Austauschs zwischen zwei Führern der Krimtataren nach Russland entlassen.

Unter Verwendung der von den türkischen Behörden veröffentlichten Namen konnten wir in durchgesickerten Flugreisedatenbanken die Reiseroute der drei Russen in den Jahren 2014 und 2015 aufspüren. Wir stellten fest, dass alle drei unter Pässen gereist waren, die in einer fortlaufenden Anzahl von Nummern ausgestellt wurden. Ihre Reise in die Türkei im Oktober 2015 war nicht ihre erste gewesen. Alle drei waren zuvor am frühen Morgen des 10. Dezember 2014 nach Istanbul gereist – Smirnov und Anisimov auf einem gemeinsamen Flug und Nasyrov auf einem anderen Flug von einem anderen Moskauer Flughafen. Später an diesem Tag wurde ein usbekischer Geistlicher gegen die Regierung Usbekistans, Abdullah Bukhari, in den Rücken geschossen, als er versuchte, in die Madrassah einzutreten.

Überwachungskamera-Aufnahmen in dem Moment des Mordes an Abdullah Bukhari

Eine BBC-Untersuchung aus dem Jahr 2016 ergab, dass ein Veteran der türkischen Spezialkräfte dem Reporter Anfang 2014 mitgeteilt hatte, dass er von einem Mittelsmann angesprochen wurde, der sagte, er sei vom FSB ausgebildet worden und suche nach Auftragsmördern einer Liste von fünfzehn Personen wohnhaft in der Türkei, die der FSB tot sehen wollte. Das angebliche Budget pro Person betrug 300.000 US-Dollar, und der Usbeke Bukhari war zusammen mit tschetschenischen Namen auf der Liste. Obwohl es keinen direkten Zusammenhang zwischen den Aktivitäten von Buchari und den nationalen Interessen Russlands gibt, haben Sicherheitsexperten vermutet, dass dieser Mord Teil einer Tauschvereinbarung zwischen dem Kreml und Taschkent gewesen sein könnte.

Die glorreichen Sieben
Die Namen, die die drei Russen für ihre Istanbul-Reisen verwendeten, waren falsch.

Wie bei „Sokolov“ und „Davydov“ gibt es in Russland laut Hunderten von durchgesickerten historischen Datenbanken, die wir konsultiert haben, keine Personen mit diesen Namen und Geburtstagsdaten. Aufgrund der schlampigen Praktiken der russischen Sicherheitsdienste verwendeten wir ihre Passnummern als „Startwert“ für weitere Nachforschungen und konnten vier weitere Namen nicht existierender Personen finden – alle aus derselben Passcharge mit fortlaufenden Ziffern. Darüber hinaus waren sechs der sieben im Juli und August 2015 zusammen oder unmittelbar nacheinander nach Prag gereist, wobei die früheste Ankunft am 20. Juli und die späteste Abreise am 5. August 2015 erfolgte. Fünf von ihnen überlappten sich nur an einem Tag – 23. Juli 2015

Insbesondere eine der Personen auf dieser erweiterten Liste – und die erste der Gruppe, die am 20. Juli 2015 nach Prag reiste – hieß Roman Nikolaev, geboren am 22. Dezember 1980. Dieser Römer hatte einen anderen Nachnamen und ein anderes Geburtsdatum als „Roman Davydov ”. Sein Passfoto war jedoch das gleiche wie das in den Visa-Dokumenten von „Davydov“. Aufgrund des partiellen Charakters der durchgesickerten Reisedatenbanken haben wir noch nicht festgestellt, ob Roman Nikolaev, a.k.a Davydov, später in diesem Jahr nach Istanbul gereist ist.

Mindestens eine weitere Person aus der Liste der sieben Undercover-Agenten war ebenfalls mit Khangoshvilis Ermordung verbunden. Krasikovs Telefonaufzeichnungen zeigen, dass der 1970 geborene „Andrey Mitrakov“ in den Monaten vor seiner Reise nach Berlin einer der häufigsten Anrufer von Krasikovs Telefonnummer war.

Mindestens zwei der Mitglieder der sieben fiktiven Personen des FSB reisten auch innerhalb Russlands unter ihrer Deckungsidentität – mit Reisen auf die Krim in den Jahren 2014 und 2015. Die für die Deckungsidentität dieser beiden Mitarbeiter verwendeten Passnummern stammen ebenfalls aus einer Folge Serie – und es gehört zu derselben Charge, aus der Col. Igor Egorov, ein hochrangiges Mitglied des Vympel Spetsnaz-Teams, unter der gefälschten Identität von „Igor Semenov“ reiste. Oberst Egorov, der an der Verschwörung des Mordes an einer in der Ukraine lebenden tschetschenischen Opposition beteiligt war, reist häufig nach Deutschland und war im Juli 2019, einen Monat vor dem Mord an Kleiner Tiergarten, in Deutschland. Es ist nicht bekannt, ob Egorov selbst eine Rolle bei der Vorbereitung von Khangoshvilis Ermordung gespielt hat.

Diese Passsequenz-Verknüpfung zwischen FSB-Oberst Egorov und Mitgliedern der „Prächtigen Sieben“, von denen mindestens zwei in direktem Zusammenhang mit dem Berliner Mord standen, ist ein weiterer Beweis für die Verbindung des FSB mit Khangovshvilis Ermordung.


Die roten Heringe

Eine weitere Parallele zwischen dem Attentat auf Berlin und dem Hit Job in Istanbul 2015 ist zu ziehen. In beiden Fällen schien es jeweils falsche Informationslecks über die inhaftierten Verdächtigen zu geben, die sowohl die Ermittler als auch die Öffentlichkeit von den russischen Sicherheitsdiensten ablenkten und dem organisierten Verbrechen näher kamen. Das russische Interesse an einer solchen Täuschung war offensichtlich, da politische Auswirkungen bei kriminellen Attentaten beseitigt oder minimiert werden können.

Kurz nach der Verhaftung von „Aleksandr Smirnov“ und „Yury Anisimov“ im April 2016 und nach den kurzzeitig schlechten Beziehungen zu Russland nach dem Abschuss des russischen Kampfflugzeugs führte die Türkei die Fotos der „russischen Spione“ in den lokalen Medien vor Staatsanwälte beantragten eine 37-jährige Haftstrafe für ihr Verbrechen.

“Smirnov” und “Anisimov”, Bildschirmaufnahmen von Überwachungskameras, die türkische Staatsanwälte den Medien zur Verfügung gestellt haben

А Der russische Mediensender Rosbalt, der für seine hervorragenden Quellen innerhalb des FSB bekannt ist, identifizierte Aleksandr Smirnov schnell als gültigen Lurakhmaev, einen berüchtigten tschetschenischen Verbrecher, der von mehreren Ländern, technisch gesehen bis heute, von Russland gesucht wurde. In der Tat hat das Foto von “Smirnov” eine sichtbare Ähnlichkeit mit dem Foto von Lurakhmaev, das auf der roten Interpol-Bekanntmachungsliste steht.

Die Erzählung, dass der Istanbuler Attentäter eine tschetschenische Kriminelle und kein russischer Spion ist, wurde nicht nur von den globalen Medien, sondern auch von ausländischen Regierungen zur anerkannten Wahrheit. Frankreich forderte die Türkei auf, Zugang zu „Validol“ zu erhalten, wie Lurakhnaev weithin bekannt war Verhör im Zusammenhang mit dem Giftpflanzenmord an dem russischen Emigranten und Whistleblower Alexander Pereplichny im Jahr 2012.

Unsere Untersuchung hat jedoch gezeigt, dass Lurakhmaev und „Aleksandr Smirnov“ nicht dieselbe Person sind. Neben dem Neunjahresunterschied zwischen Lurakhmaev und „Smirnov“, der für eine glaubwürdige „Deckungsidentität“ zu groß ist, zeigt ein Gesichtsvergleich mit dem Azure-Tool zur Gesichtsüberprüfung von Microsoft, dass es sich um unterschiedliche Personen handelt.

Ein Kontrollvergleich, der zwischen dem Bild von „Smirnov“ von diesem Bildschirmausschnitt der Flughafenkamera und einem anderen Bild desselben Russen zum Zeitpunkt seines Austauschs im Jahr 2017 durchgeführt wurde, zeigt, dass die Schlussfolgerung der Nichtübereinstimmung robust war und nicht das Ergebnis des Besonderen war Winkel des Flughafenfotos.

Zufällig oder nicht, nach der Verhaftung von „Vadim Sokolov“ in Berlin und unserer ersten Veröffentlichung mit Links zu russischen Sicherheitsdiensten erhielten Bellingcat und andere internationale Medien einen anonymen „Tipp“, in dem Insiderwissen behauptet wurde, der Attentäter sei ein ehemaliger Polizist auf niedriger Ebene der vor über zehn Jahren wegen Unterstützung eines Auftragsmordes inhaftiert worden war. Während Bellingcat und unsere Partner diese Behauptung nicht veröffentlichten – und durch einen ähnlichen Gesichtsvergleich feststellen konnten, dass der Berliner Mörder nicht dieselbe Person ist, führte die falsche Absicht – absichtlich oder nicht – erneut zu Veröffentlichungen, die den Berliner Mörder falsch identifizierten.


Relevanz der Befunde

Die neuen Erkenntnisse sind in mehrfacher Hinsicht wichtig. Erstens bestätigen sie erwartungsgemäß die Beteiligung von mehr als einer Person an dem Attentat. Wenn die Istanbul-Erfahrung ein Hinweis auf einen Modus Operandi ist, ist zu erwarten, dass ein Team von mindestens 5 Personen, die nach einem gestaffelten Zeitplan reisen, an der Planung beteiligt war. Diese gestaffelte Methode würde auch mit der Vorgehensweise von Mordteams der russischen GRU übereinstimmen.

Zweitens bestätigen die Ergebnisse die direkte Verbindung zwischen dem „Kill Team“ und dem FSB. Während wir in früheren Untersuchungen die Hypothese der Nichteinbeziehung des FSB als unplausibel eingeschätzt hatten, entfernen die Verwendung derselben Passserie für bestätigte hochrangige FSB-Beamte wie Oberst Igor Egorov und Mitglieder der „Magnificent Seven“ alle verbleibenden Zweifel.

Die Ergebnisse deuten auch auf ein wahrscheinliches strategisches Durchsickern falscher und irreführender „Tipps“ zur Identität gefangener Undercover-Mitarbeiter hin, um die Aufmerksamkeit der Sicherheitsdienste abzulenken. Internationale Medienoperationen sind ein Ziel solcher gezielten falschen Lecks, aber Strafverfolgungsbeamte werden wahrscheinlich auch gezielt angegriffen.

Schließlich haben unsere Ergebnisse wichtige Auswirkungen auf die strukturellen Schwachstellen des europäischen Visumausstellungssystems. Zuvor haben wir über den Missbrauch der Möglichkeit, unter gefälschten Identitäten durch Europa zu reisen, durch russische Geheimdienste – sowie durch das organisierte Verbrechen – berichtet, da auf „offizielle Dokumente“ von russischen Unternehmen oder Behörden zurückgegriffen wurde und diese weiterhin akzeptiert werden nicht biometrische Pässe. In diesem Bericht wird jedoch zum ersten Mal die Verwendung von zwei verschiedenen gefälschten Identitäten durch dieselbe Person identifiziert: „Roman Davydov“ und „Roman Nikolaev“, die zu unterschiedlichen Zeitpunkten geboren wurden. Beide Personen konnten Schengen-Visa erhalten, obwohl zumindest theoretisch die bei der Beantragung von Visa erhaltenen biometrischen Daten solche Vorfälle unmöglich gemacht haben sollten.

Wer ist Dmitry Badin, der von Deutschland angeklagte GRU-Hacker wegen der Bundestags-Hacks?

Am 5. Mai 2020 berichteten deutsche Medien, dass die deutsche Bundesanwaltschaft einen Haftbefehl gegen den russischen Staatsbürger Dmitry Badin erlassen hat, den Hauptverdächtigen beim Hacking des Deutschen Bundestages im Jahr 2015.

Was war der Bundestags-Hack 2015?
Im April 2015 erhielten Abgeordnete des Deutschen Bundestages sowie Mitglieder des Merkel-Bundestags eine E-Mail, die angeblich von den Vereinten Nationen stammte und auf dem sichtbaren Domainnamen „@ un.org“ beruhte. Die Mail trug den Titel „Der Ukraine-Konflikt mit Russland lässt die Wirtschaft in Trümmern liegen“. Die E-Mail enthielt schädlichen ausführbaren Code, der sich selbst auf dem Computer des Opfers installiert hatte.

In den nächsten Wochen hatte die schädliche Software, die Passwörter zu stehlen schien und sich über die lokalen Netzwerke verbreitete, die gesamte IT-Infrastruktur des Bundestages übernommen und den Zugriff auf ihre Onlinedienste und die externe Website unzugänglich gemacht. Im Hintergrund zeigten Protokolle später, dass über 16 Gigabyte Daten von einem Hacker aus dem Ausland aufgesaugt wurden. Dazu gehörten komplette Postfächer deutscher Parlamentarier. Medienberichten zufolge wurde auch das Parlamentsbüro von Angela Merkel verletzt.

Wer ist Dmitry Badin?
Deutsche Medien berichten, dass die Bundespolizei die Phishing-Kampagne 2015 und den anschließenden Datendiebstahl mit Dmitry Badin verknüpfen konnte, einem mutmaßlichen Mitglied der Elite-Hacking-Einheit 26165 der GRU, die unter Cyber-Sicherheitsanalysten besser als APT28 bekannt ist. Die Verknüpfung der Operationen mit ihm wurde Berichten zufolge auf der Grundlage von Protokollanalysen und „Informationen von Partnerdiensten“ hergestellt. Es wurden jedoch noch keine konkreten Beweise dafür veröffentlicht, wie die Zuschreibung vorgenommen wurde.

Dmitry Badin war bereits auf der Fahndungsliste des FBI wegen seiner angeblichen Beteiligung an mehreren Hacking-Operationen, die der APT28-Einheit der GRU zugeschrieben wurden. Zu diesen Operationen gehörten der Hack der Anti-Doping-Organisation WADA während der Untersuchung eines Doping-Verwaltungsprogramms sowie der DNC-Hack am Vorabend der US-Präsidentschaftswahlen.

Validierung der Verknüpfung von Dmitry Badin mit der GRU
In FBI-Dokumenten wird Dmitry Badin kurz als “angeblich ein russischer Geheimdienstoffizier der Einheit 26165” beschrieben, der am 15. November 1990 in Kursk geboren wurde. Sein Passfoto wurde als Teil seines Fahndungspakets veröffentlicht.

Basierend auf der Analyse von Daten aus hauptsächlich offenen Quellen können wir bestätigen, dass Dmitry Badin, geboren am 15. November 1990, tatsächlich für die GRU-Einheit 26165 arbeitet.

Using Russian social-media reverse-image search application FindClone, we found Dmitry Badin’s photographs in his wife’s VK account. We then re-validated that this is the same person by comparing the two photos in Microsoft Azure’s Face Verification tool

A search for Badin’s full name and birth date in previously leaked Moscow car registration databases provided a match: Dmitry Sergeevich Badin, born on 15 November 1990, purchased a KIA PS car in June 2018. The car registration included the owner’s passport number and place of issue (St. Petersburg), as well as his registered address. Badin’s registered address, as of 1 June 2018, was Komsomolsky Prospect 20.



Dies ist die Adresse der GRU-Militäreinheit 26165, wie aus öffentlich zugänglichen russischen Unternehmensregistern hervorgeht. Die Einheit 26165 ist auch als 85. Hauptzentrum der GRU bekannt und auf Kryptographie spezialisiert. Das Zentrum erlangte erstmals 2017 öffentliche Bekanntheit, als unser russischer Ermittlungspartner The Insider entdeckte, dass ein Beamter dieser Einheit versehentlich seine persönlichen Metadaten in einem Dokument hinterlassen hatte, das im Rahmen der sogenannten Macron Leaks durchgesickert war.

Wir haben zuvor einen Verstoß gegen die Betriebssicherheit des russischen Militärgeheimdienstes festgestellt, der die Identifizierung von mindestens 305 Offizieren ermöglichte, deren Autos unter derselben Adresse registriert waren. Dmitry Badin war nicht auf der Liste der 305 Offiziere, die wir damals identifiziert hatten, da er sein Auto gekauft hatte, nachdem die von uns im Oktober 2018 konsultierte Datenbank für die Fahrzeugregistrierung öffentlich durchgesickert war.

Scaramouche, Scaramoush!
Derzeit wissen wir nicht, wie deutsche Ermittler Dmitry Badin mit dem Bundestags-Hack in Verbindung bringen konnten. Open-Source-Beweise, die wir entdeckt haben, können jedoch auf seine Rolle bei viel mehr als den drei Hacking-Operationen hinweisen, mit denen sein Name in Verbindung gebracht wurde.

Unter Verwendung des Kennzeichens von Badins Auto durchsuchten wir eine durchgesickerte Moskauer Parkdatenbank und stellten fest, dass er sein Auto häufig in der Nähe des Schlafsaals der russischen Militärakademie in Bolshaya Pirogovskaya 51 abstellte. Die Parkprotokolle enthielten auch zwei Telefonnummern, für die er verwendet hatte mobile Zahlungen für seine Parksitzungen. Wir haben diese beiden Nummern dann in verschiedenen Telefon-Messenger- und Reverse-Search-Telefondatenbanken nachgeschlagen.


Eine der Zahlen erschien in der Viber-Messenger-App unter dem offensichtlich angenommenen Namen Gregor Eisenhorn, einem Charakter aus dem Fantasy-Spiel Warhammer 40.000.

Die andere Nummer erschien in zwei verschiedenen Apps zum Nachschlagen von Telefonnummern, sowohl unter seinem richtigen Namen als auch unter seinem späteren Lieblingsalias: „Nicola Tesla“.

Wir haben dann überprüft, ob diese Nummer mit einem Social-Media-Konto in Russland verknüpft ist, und festgestellt, dass sie mit einem jetzt gelöschten Konto auf VKontakte (VK) verbunden ist. Beim Durchsuchen archivierter Kopien dieses Kontos stellten wir fest, dass es ab 2016 unter dem Namen Dmitry Makarov verwendet wurde. Noch früher hatte es jedoch den Namen Nicola Tesla und auch den Benutzernamen „Scaramouche“ getragen.

Daten aus einer archivierten Kopie des inzwischen aufgelösten VK-Kontos mit zwei verknüpften Nummern, einschließlich einer Kursk-Festnetznummer

Während dieser Zeit – die wir nicht genau aus der archivierten Kopie datieren konnten – war der Benutzer des VK-Kontos in Kursk ansässig, wo Dmitry Badin geboren wurde und wo er aufwuchs, bevor er nach St. Petersburg zog. Seine Petersburger Periode, die sowohl vom Ausstellungsort seines Passes als auch von Fotos auf dem VK-Konto seiner Frau vor 2014 bestimmt werden kann, hängt wahrscheinlich mit seinem Universitätsstudium zusammen. Unsere früheren Untersuchungen an Mitgliedern des GRU-Hacking-Teams haben ergeben, dass eine große Anzahl der Hacker ihren Abschluss an den Informatikuniversitäten in St. Petersburg gemacht hat.

Wir haben auch herausgefunden, dass Badins Handynummer mit einem Skype-Konto verknüpft ist, das wie sein inzwischen aufgelöstes VK-Konto den Namen “Nicola Tesla” trägt, aber den Benutzernamen Scaramoush777 verwendet.

Scaramouche, vom italienischen Wort Scaramuccia, wörtlich „kleiner Scharmützler“, ist der übliche böse Clown aus der Commedia dell’arte aus dem 16. Jahrhundert. Das Wort ist wahrscheinlich besser bekannt aus dem bekannten Rezitativ aus Queen’s Bohemian Rhapsody. Für Cyber-Sicherheitsforscher, die Hacking-Operationen von staatlichen Akteuren untersuchen, ist dieses Wort jedoch mit einer zusätzlichen Nutzlast verbunden.

Im März 2017 veröffentlichte die Abteilung für Cyber-Bedrohungen des Cyber-Sicherheitsunternehmens SecureWorks (c) ein eigenes Whitepaper zur Zuschreibung, in dem die Schlussfolgerungen begründet wurden, dass die Hacking-Exploits von APT28 (auf die SecureWorks mit seinem eigenen Codenamen „Iron Twilight“ verweist) a staatlich geförderte Operation, die höchstwahrscheinlich mit dem militärischen Geheimdienst Russlands zusammenhängt. In seinem Bericht listet SecureWorks sowohl die Ziele auf, bei denen APT28 als angegriffen identifiziert wurde, als auch den von dieser schattigen Hacker-Gruppe verwendeten Tool-Set.

Das Endpunkt-Kit, mit dem APT28 Screenshots durchführt und die Anmeldeinformationen der Ziele stiehlt, heißt Scaramouche. Diese spezielle Malware erhielt ihren Namen von der SecureWorks Cyber ​​Threats Unit, die sie nach ihren eigenen Worten “nach dem Scaramouche-Benutzernamen im PDB-Pfad beider Tools” benannte.

Angesichts der Tatsache, dass Dmitry Badin den Scaramouche-Benutzernamen verwendet hat – nach allen Beweisen zu urteilen -, bevor er der GRU beigetreten ist, ist es unwahrscheinlich, dass er einen bereits vorhandenen Benutzernamen für seine VK- und Skype-Konten usurpiert hat. Dies ist klar, wenn man sich auf ein Team von GRU-Codierern namens „Scaramouche“ stützt. Viel plausibler war der von der CTU entdeckte Benutzername “scaramouche” nämlich Badins eigener Benutzername. Dies würde wiederum bedeuten, dass das von Dmitry Badin geschriebene Endpoint-Kit ein entscheidender Bestandteil der Malware war, die in allen Hacks verwendet wurde, die auf APT28 zurückzuführen sind. von Angriffen auf russische Oppositionelle und Journalisten bis hin zu westlichen Medienorganisationen (einschließlich Bellingcat), dem Untersuchungsteam MH17, dem Deutschen Bundestag und der DNC.

Es wäre klug zu fragen: Ist es plausibel, dass ein so produktiver und versierter Hacker solche Spuren hinterlässt, die ihn leicht in die serielle Cyberkriminalität verwickeln würden? Es ist nicht so schwer zu glauben, da GRU-Hacker nicht in der Lage sind, ihre eigenen Spuren zu verwischen. Badins Kollegen, die beim Versuch erwischt wurden, das Labor der OPCW in Den Haag zu hacken, führten Taxibelege weiter, auf denen explizit eine Route vom GRU-Hauptquartier zum Flughafen angegeben war. Wir konnten 305 von ihnen leicht anhand der Adresse identifizieren, unter der sie ihre Autos registriert hatten, ganz zu schweigen davon, dass Badin selbst sein Fahrzeug an der offiziellen Adresse seiner GRU-Einheit registriert hatte.

Das surrealste Fehlen von „Practice-What-You-Breach“ unter GRU-Hackern könnte in ihrer mangelnden Einstellung zu ihrem eigenen Cyber-Schutz sichtbar werden. Im Jahr 2018 wurde eine große Sammlung gehackter russischer E-Mail-Konten, einschließlich Benutzername und Passwörter, online gestellt. Dmitry Badins E-Mail, die wir aus seinem Skype-Konto herausgefunden haben, das wir wiederum von seiner Telefonnummer erhalten haben, die wir natürlich aus seiner Autokennzeichnung erhalten haben, war gehackt worden. Er hatte anscheinend das Passwort Badin1990 benutzt. Danach wurden seine E-Mail-Anmeldeinformationen im Rahmen eines größeren Hacks erneut durchgesickert, wobei wir sehen, dass er sein Passwort von Badin1990 in das viel sicherere Badin990 geändert hatte.

Website Defacement Activity Indicators of Compromise and Techniques Used to Disseminate Pro-Iranian Messages

Website Defacement Activity Indicators of Compromise and Techniques Used to Disseminate Pro-Iranian Messages

Following a week ago’s US airstrikes against Iranian military initiative, the FBI watched expanded revealing of site ruination movement spreading Pro-Iranian messages. The FBI accepts a few of the site disfigurement were the consequence of digital on-screen characters misusing realized vulnerabilities in content administration frameworks (CMSs) to transfer ruination documents. The FBI exhorts associations and individuals worried about Iranian digital focusing on be acquainted with the markers, strategies, and procedures gave in this FLASH, just as strategies and methods gave in as of late spread Private Industry Notification “Notice on Iranian Cyber Tactics and Techniques” (20200109-001, 9 January 2020).

Specialized Details:

The FBI recognized malevolent on-screen characters utilizing known vulnerabilities in CMSs to transfer ruination pictures onto injured individual sites. The FBI trusts one on-screen character utilized realized vulnerabilities permitting remote execution by means of treat and remote establishment. The FBI likewise distinguished that one of the records utilized in a destruction was presented on a site where the server facilitating the undermined site was designed so outer clients could direct HTTP POSTs. The FBI watched the utilization of a HTTP PUT direction to transfer a destruction document to an injured individual server.

The FBI notes various on-screen characters directed site mutilation movement with genius Iranian messages. Accordingly, the IP locations and procedures utilized will change. The FBI distinguished the underneath groupings of destruction movement.

One lot of mutilation action utilized the beneath record:

Filename MD5



The accompanying connections, contact data, and strings were remembered for a disfigurement record:





The accompanying IP addresses are related with the on-screen character connected to the disfigurement action with the above referenced connections, contact data, and strings:

IP Address



A second arrangement of destruction movement was distinguished utilizing the underneath record:



The FBI takes note of the above mutilation picture was transferred by means of a HTTP PUT order. The accompanying IP address is related with the on-screen character connected to this arrangement of ruination action:

IP Address


A third arrangement of mutilation action was distinguished utilizing the underneath IP address:

IP Address


The FBI notes for this mutilation action, the on-screen character had the option to direct a HTTP POST of a document utilized in a destruction.

Best Practices for Network Security and Defense:

Utilize customary updates to applications and the host working framework to guarantee insurance against known vulnerabilities.

Set up, and reinforcement disconnected, a “known decent” adaptation of the pertinent server and an ordinary change-the board arrangement to empower checking for modifications to servable substance with a document honesty framework.

Utilize client input approval to confine nearby and remote record incorporation vulnerabilities.

Execute a least-benefits approach on the Webserver to:

o Reduce foes’ capacity to raise benefits or turn horizontally to different hosts.

o Control creation and execution of records specifically catalogs.

If not effectively present, consider sending a peaceful area (DMZ) between the Web-confronting frameworks and corporate system. Constraining the communication and logging traffic between the two gives a technique to recognize conceivable noxious movement.

Guarantee a protected arrangement of Webservers. Every single pointless assistance and ports ought to be incapacitated or blocked. Every essential assistance and ports ought to be confined where plausible. This can incorporate whitelisting or blocking outside access to organization boards and not utilizing default login qualifications.

Utilize a switch intermediary or elective support of limit available URL ways to known authentic ones.

Direct customary framework and application weakness sweeps to build up regions of hazard. While this strategy doesn’t secure against multi day assaults, it will feature potential zones of concern.

Convey a Web application firewall, and direct ordinary infection signature checks, application fluffing, code audits, and server arrange examination.

Cyber Criminals Use Social Engineering and Technical Attacks to Circumvent Multi-Factor Authentication

The FBI has watched digital entertainers bypassing multifaceted verification through normal social building and specialized assaults. This Stick clarifies these techniques and offers relief procedures for associations and elements utilizing multifaceted confirmation in their security endeavors. Multifaceted validation keeps on being a solid and compelling safety effort to secure online records, as long as clients play it safe to guarantee they don’t succumb to these assaults.

Multifaceted validation is the utilization of an assortment of strategies to affirm a client’s personality rather than just utilizing a username and secret phrase. Regularly this sort of verification utilizes an optional token which changes after some time to give a one-time password, yet numerous organizations currently utilize biometrics or social data, for example, time of day, geolocation, or IP address—as a type of validation.

Danger Diagram

FBI detailing distinguished a few strategies digital on-screen characters use to go around prevalent multifaceted verification systems so as to acquire the one-time password and access ensured accounts. The essential techniques are social building assaults which assault the clients and specialized assaults which target web code.

In 2019 a US banking establishment was focused by a digital assailant who had the option to exploit a blemish in the bank’s site to evade the two-factor confirmation actualized to ensure accounts. The digital assailant signed in with taken injured individual accreditations and, when arriving at the optional page where the client would typically need to enter a Stick and answer a security question, the aggressor entered a controlled string into the Internet URL setting the PC as one perceived on the record. This enabled him to sidestep the Stick and security question pages and start wire moves

from the exploited people’s records.

In 2016 clients of a US banking establishment were focused by a digital assailant who ported their telephone numbers to a telephone he possessed—an assault called SIM swapping. The aggressor considered the telephone organizations’ client care delegates, discovering some who were all the more ready to give him data to finish the SIM swap. When the aggressor had command over the clients’ telephone numbers, he called the bank to demand a wire move from the unfortunate casualties’ records to another record he possessed. The bank,

perceiving the telephone number as having a place with the client, didn’t request full security questions yet mentioned a one-time code sent to the telephone number from which he was calling. He additionally mentioned to change PINs and passwords and had the option to connect unfortunate casualties’ charge card numbers to a versatile installment application.

Through the span of 2018 and 2019, the FBI’s Web Wrongdoing Grievance Center and FBI unfortunate casualty grumblings watched the above assault—SIM swapping—as a typical strategy from digital culprits trying to go around two-factor validation. Casualties of these assaults have had their telephone numbers taken, their financial balances depleted, and their passwords and PINs changed. A large number of these assaults depend on socially building client care agents for significant telephone organizations, who offer data to the assailants.

In February 2019 a digital security master at the RSA Gathering in San Francisco, exhibited a huge assortment of plans and assaults digital on-screen characters could use to dodge multifaceted validation. The security master exhibited ongoing instances of how digital entertainers could utilize man-in-the-center assaults and session capturing to block the traffic between a client and a site to lead these assaults and keep up access for whatever length of time that conceivable. He likewise showed social building assaults, including phishing plans or fake instant messages implying to be a bank or other help to make a client sign into a phony site and surrender their private data.

At the June 2019 Hack-in-the-Crate gathering in Amsterdam, digital security specialists exhibited a couple of devices—Muraena and NecroBrowser—which worked pair to robotize a phishing plan against clients of multifaceted confirmation. The Muraena instrument captures traffic between a client and an objective site where they are mentioned to enter login qualifications and a token code not surprisingly. When validated, NecroBrowser stores the information for the casualties of this assault and seizes the session treat, permitting digital on-screen characters to sign into these private records, take them over, and change client passwords and recuperation email addresses while keeping up access as far as might be feasible.

Moderation Systems

Guarding against multifaceted confirmation assaults requires consciousness of the assaults which evade the security and consistent watchfulness for social designing assaults.

Instruct clients and heads to distinguish social building deceit—how to perceive counterfeit sites, not tap on maverick connections in email, or square those connections altogether—and show them how to deal with basic social designing strategies.

Consider utilizing extra or progressively complex types of multifaceted validation for clients and overseers, for example, biometrics or conduct verification strategies, however this may add burden to these clients.

FBI Cyber Unit Identifies Campaigns Against Students

Image result for fbi cyber crimes

The FBI has identified successful spearphishing campaigns directed at college and university students, especially during periods when financial aid funds are disbursed in large volumes. In general, the spearphishing emails request students’ login credentials for the University’s internal intranet. The cyber criminals then capture students’ login credentials, and after gaining access, change the students’ direct deposit destination to bank accounts within the threat actor’s control.


In February 2018, the FBI received notification of a spearphishing campaign targeting students at an identified University in the south eastern United States. The campaign occurred in January 2018 when an unidentified number of students attending the University received an email requesting their login credentials for the University’s internal intranet. Using the University’s intranet portal, the cyber criminals accessed a third-party vendor that manages the disbursement of financial aid to students and changed the direct deposit information for 21 identified students to bank accounts under the cyber criminal’s control. The threat actor stole approximately $75,000 from the 21 students. The student accounts were accessed by at least 13 identified US Internet Protocol (IP) addresses.

On 31 August 2018, the Department of Education identified a similar spearphishing campaign targeting multiple institutions of higher education. In this campaign, the cyber criminals sent students an email inviting them to view and confirm their updated billing statement by logging into the school’s student portal. After gaining access, the cyber criminals changed the students’ direct deposit destinations to bank accounts under the threat actor’s control.

The nature of the spearphishing emails indicates the cyber criminals conducted reconnaissance of the target institutions and understand the schools’ use of student portals and third-party vendors for processing student loan payment information. In addition, the timing of the campaigns indicates the cyber criminals almost certainly launched these campaigns to coincide with periods when financial aid funds are disseminated in large volumes.


The FBI recommends providers implement the preventative measures listed below to help secure their systems from attacks:

Notify all students of the phishing attempts and encourage them to be extra vigilant
Implement two-factor authentication for access to sensitive systems and information
Monitor student login attempts from unusual IP addresses and other anomalous activity
Educate students on appropriate preventative and reactive actions to known criminal schemes and social engineering threats
Apply extra scrutiny to e-mail messages with links or attachments directed toward students
Apply extra scrutiny to bank information initiated by the students seeking to update or change direct deposit credentials
Direct students to forward any suspicious requests for personal information to the information technology or security department

Czech Republic – Cyber & Security Warning on Huawei and ZTE

Executive Summary

The National Cyber and Information Security Agency, registered office at Mučednická 1125/31, 616 00 Brno, pursuant to §12 paragraph 1 of the Act No. 181/2014 Coll. on Cyber Security and Change of Related Acts (Act on Cyber Security), as amended, issues this

w a r n i n g :

The use of technical or program tools of the following companies, including their subsidiary companies, poses a threat to the cyber security.
– Huawei Technologies Co., Ltd., Shenzhen, People’s Republic of China
– ZTE Corporation, Shenzhen, People’s Republic of China


1) On the basis of the facts found during the execution of its competence, the National Cyber and Information Security Agency (hereinafter referred to as “NCISA”) has found that the use of the technical or program tools of the aforementioned companies poses a threat to the cyber security and therefore, pursuant to §12 paragraph 1 of the Act on Cyber Security, issues this warning.

2) NCISA’s competence to issue this warning is embedded within the provisions of §22, b), of the Act on Cyber Security, which empowers it to issue measures. Pursuant to §11 paragraph 2 of the Act on Cyber Security, these measures also include a warning under §12 of the Act on Cyber Security.

3) This warning has been issued based on the following findings.

4) The legal and political environment of the People’s Republic of China (“PRC”) in which the companies primarily operate and whose laws are required to comply with, requires private companies to cooperate in meeting the interests of the PRC, including participation in intelligence activities etc. At the same time, these companies usually do not refrain from such cooperation with the state; in this environment, efforts to protect customers’ interests at the expense of the interests of the PRC are significantly reduced. According to available information, there is an organizational and personal link between these companies and the state. Therefore, this raises concerns that the interests of the PRC may be prioritized over the interests of the users of these companies’ technologies.

5) The PRC actively promotes its interests in the territory of the Czech Republic, including a conduct of influence and espionage intelligence activities (see, for example, Security Information Service Annual Report for 2017).

6) The security community’s findings on the activities of these companies in the Czech Republic and around the world, which are available to NCISA, raise reasonable concerns about the existence of potential risks in using the technical or program tools they provide to their customers in order to support the interests of the PRC.

7) The technical and program tools of the aforementioned companies are being supplied to the information and communication systems that are or may be of strategic importance from the national security standpoint. Disruption of information security, i.e. disruption of the availability, integrity, or confidentiality of information in such information and communication systems can have a significant impact on the security of the Czech Republic and its interests.

8) These facts, in their entirety, lead to reasonable concerns about possible security risks in the use of these companies’ technologies. The degree of potential risk due to the possible impact of information security breaches on information and communication systems relevant to the state is not negligible.

9) NCISA points out that the authorities or persons required to implement security measures under the Act on Cyber Security in connection with risk management pursuant to §5 paragraph 1 h) article 3 of the Decree No. 82/2018 Coll. on Security Measures, Cyber Security Incidents, Reactive Measures, Cyber Security and Data Disposal Submission Requirements (Cyber Security Regulation) in risk assessment and risk management plan shall take into account measures pursuant to §11 of the Act on Cyber Security. One of these measures is also a warning pursuant to §12 of the Act on Cyber Security.

10) NCISA points out that the authorities or persons required to implement security measures under the Act on Cyber Security in connection with risk management pursuant to §4 paragraph 1 c) and paragraph 2 c) of the Decree No. 316/2014 Coll. on Security Measures, Cyber Security Incidents, Reactive Measures, and Cyber Security Submission Requirements (Cyber Security Regulation) shall take into account threats and vulnerabilities. With regard to the transitional provision in §35 of the Decree No. 82/2018 Coll. on Security Measures, Cyber Security Incidents, Reactive Measures, Cyber Security and Data Disposal Submission Requirements (Cyber Security Regulation), these are the administrators and operators of the Critical Information Infrastructure information systems and the administrators and operators of the Critical Information Infrastructure communication systems, in case these systems were designated before May 28, 2018, as well as the administrators and operators of important information systems that met the criteria before May 28, 2018.

11) NCISA further points out that, pursuant to §4 paragraph 4 of the Act on Cyber Security, the authorities and persons referred to in §3 c) to f) of the Act on Cyber Security are required to take into account requirements arising from security measures during the selection of a supplier for their information or communication system, and include these requirements in a contract concluded with the supplier. Taking into account the requirements arising from security measures under the first sentence to the extent necessary to meet the obligations under the Act on Cyber Security cannot be considered an unlawful restriction of competition or an unjustified obstacle to competition.


Home Security – Removal Of Kaspersky Products in American Institutions


(U//FOUO) DHS Final Decision on Removal of Kaspersky-Branded Products

The following assessment was included in court filings made by Kaspersky in their case against the U.S. Government for banning the use of Kaspersky products.

Financial Decision on Binding Operational Directive 17-01, Removal of Kaspersky-Branded Products

Page Count: 25 pages

Date: December 4, 2017

Restriction: For Official Use Only

Originating Organization: Department of Homeland Security, Office of Cybersecurity and Communications

File Type: pdf

File Size: 504,629 bytes

File Hash (SHA-256): 6F6A660D2CFCD36CBDFAE3675E6F7C76CEEF404DB26736D44AD196A139592100

BOD 17-01 requires all federal executive branch departments and agencies to (1) identify the use or presence of “Kaspersky-branded products” on all federal information systems within 30 days of BOD issuance (i.e., by October 13); (2) develop and provide to DHS a detailed plan of action to remove and discontinue present and future use of all Kaspersky-branded products within 60 days of BOD issuance (i.e., by November 12); and (3) begin to implement the plan of action at 90 days after BOD issuance (i.e., December 12), unless directed otherwise by DHS in light of new information obtained by DHS, including but not limited to new information submitted by Kaspersky.

The Secretary of Homeland Security is authorized to issue BODs, in consultation with the Director of the Office of Management and Budget, for the purpose of safeguarding federal information and information systems from a known or reasonably suspected information security threat, vulnerability, or risk. I recommended issuing the BOD in the Information Memorandum, and the rationale for issuance of the BOD was summarized in your Decision Memorandum. As described further below, your decision to issue BOD 17-01 was based on three interrelated concerns that rested on expert judgments concerning national security: the broad access to files and elevated privileges of anti-virus software, including Kaspersky software; ties between Kaspersky officials and Russian government agencies; and requirements under Russian law that allow Russian intelligence agencies to request or compel assistance from Kaspersky and to intercept communications transiting between Kaspersky operations in Russia and Kaspersky customers, including U.S. government customers. Because of these interrelated concerns, you determined that Kaspersky-branded products present a “known or reasonably suspected information security threat, vulnerability, or risk.” In addition, you found that these risks exist regardless of whether Kaspersky-branded products have ever been exploited for malicious purposes. The BOD is a tool for protecting federal information and information systems from any “known or reasonably suspected information security threat, vulnerability, or risk,” and the Department’s authority to issue it does not depend on whether Kaspersky-branded products have been exploited by the Russian Government or Kaspersky to date.

BRG evaluated specific Kaspersky products according to the following objectives:

(1) To evaluate whether it is feasible for an intelligence agency to passively monitor and decrypt traffic between users of Kaspersky-branded products and the Kaspersky Security Network (“KSN”), a cloud-based network that receives and analyzes information about possible threats from installed Kaspersky software;

(2) To determine whether turning KSN off ― or using the Kaspersky Private Security Network (“KPSN”) ― can reliably prevent potentially sensitive data from being transmitted inadvertently to Kaspersky; and

(3) To evaluate whether a malicious actor leveraging KSN can conduct targeted searches of Kaspersky users for specific information.

As explained in the NCCIC Supplemental Assessment, the BRG analysis not only is largely unresponsive to DHS’s security concerns, but also supports DHS’s concerns in certain areas. For example, on objective (1), BRG analyzed only to the security of the connection between the antivirus software and the KSN; BRG did not address the security of communications within the KSN or between KSN and Kaspersky’s non-KSN IT infrastructure, such as Kaspersky offices and datacenters. BRG also evaluated the potential for “passive” interception of communications by intelligence agencies, but DHS is concerned about “active” operations involving access by Russian intelligence to Kaspersky offices and servers in Russia, as discussed in Section III.A.4 below and Part III.E of the Information Memorandum.

3. Kaspersky Ties to the Russian Government

In the Information Memorandum, I described certain ties, past and present, between Kaspersky officials and Russian government agencies. Kaspersky concedes key aspects of this account, such as Eugene Kaspersky’s former studies at an institute overseen by the KGB and other state institutions and his service as a software engineer at a Ministry of Defense institute. It also admits that its officials might have “acquaintances, friends, and professional relationships within the [Russian] government,” although Kaspersky states that, “in itself,” does not mean that these connections were or are “inappropriate” or “improper.” Furthermore, Kaspersky does not deny various connections to Russian intelligence described in the Information Memorandum, including that Eugene Kaspersky has saunas with a group that usually includes Russian intelligence officials; that Kaspersky’s Chief Legal Officer Igor Chekunov manages a team of specialists who provide technical support to the FSB and other Russian agencies; that the team can gather identifying information from individual computers; and that this technology has been used to aid the FSB in investigations

Professor Maggs makes a number of significant conclusions. Specifically, Professor Maggs

concludes that:

(a) Russian law requires FSB bodies to carry out their activities in collaboration with various entities in Russia, including private enterprises, and thus including Kaspersky.

(b) Private enterprises, including Kaspersky, are under a legal obligation to assist FSB bodies in the execution of the duties assigned to FSB bodies, including counterintelligence and intelligence activity.

(c) Russian law permits FSB service personnel to be seconded to private enterprises, including Kaspersky, with the consent of the head of the enterprise and with the FSB personnel remaining in FSB military service status during the secondment.

(d) Kaspersky qualifies as an “organizer of the dissemination of information on the Internet” and, as such, is required (1) to store in Russia and provide to authorized state bodies, including the FSB, metadata currently and content as of July 1, 2018; and, based on this or other laws, (2) to install equipment and software that enables the FSB and potentially other state authorities to monitor all data transmissions between Kaspersky’s computers in Russia and Kaspersky customers, including U.S. government customers.