How Russia Goes After Its Critics & Citizens Abroad

When it comes to carrying out repressions, the Russian government’s reach isn’t limited by its own borders. The Kremlin is known for going after perceived enemies abroad — especially former “insiders” and members of the political opposition. In recent years, high-profile assassinations linked to Russian agents have made headlines around the world, and Moscow has developed a reputation for abusing the Interpol notice system.

At the same time, those who flee Russia’s Chechen Republic are particularly at risk. Under regional leader Ramzan Kadyrov, this sub-national regime has carried out a unique and concerted campaign to control the Chechen diaspora. Moreover, asylum seekers from the Russian North Caucasus who seek refuge in European countries are now faced with rising xenophobia, as well as tightening migration policies that threaten to send them back to Russia.

To find out more about how the Russian — and Chechen — authorities carry out repressive activities beyond Russia’s borders, “The Naked Pravda” spoke to Nate Schenkkan, director for research strategy at Freedom House, and Kateryna Sergatskova, the editor-in-chief of Zaborona Media.

“The Naked Pravda” comes out on Saturdays (or sometimes Fridays). Catch every new episode by subscribing at Apple Podcasts, Spotify, Google Podcasts, or other platforms. If you have a question or comment about the show, please write to Kevin Rothrock at kevin@meduza.io with the subject line: “The Naked Pravda.”

Deadly – The Chilling Way Vladimir Putin Deals With His Enemies

“The Russian state goes after enemies, traitors, opponents, critics, journalists,” Buzzfeed News’ Heidi Blake told InsideEdition.com. The results are chilling, and often deadly. Blake is the author of “From Russia, With Blood: the Kremlin’s Ruthless Assassination Program and Vladimir Putin’s Secret War on the West.” Her investigative team found Russian links to over a dozen mysterious deaths on English soil, including that of exiled oligarch Boris Berezovsky.

Video – Russland: Der Fall Nawalny – Opposition in Gefahr

Die Vergiftung von Oppositionsführer Alexej Nawalny ist nicht der erste Anschlag gegen einen Putin-Kritiker. Politischer Widerstand in Russland kann lebensgefährlich sein.

Regimekritiker Michail Efremow vor dubiosem Moskauer Gericht – 11 Jahre Gefängnis gefordert

Russland: Populärer Schauspieler nach Alkoholfahrt mit tödlichem Ausgang  unter Hausarrest — RT Deutsch

Das Gericht verkündet demnächst ein Urteil über den Regimekritiker & Schauspieler Michail Efremow. Die Staatsanwaltschaft fordert, den Schauspieler wegen eines Unfalls, bei dem der 57-jährige Sergei Zakharov starb, zu 11 Jahren Gefängnis zu verurteilen.

Hintergrund: Mikhail Efremov stürzte am 8. Juni auf dem Smolenskaya-Platz in Moskau betrunken in einen Lada-Van in seinem Grand Cherokee-Jeep. Der Fahrer des Lieferwagens Der 57-jährige Kurier des Delikateska-Online-Shops, Sergei Zakharov, wurde getötet.

Zeugen:

Mikhail Efremov – Schauspieler, Angeklagter

Elman Pashayev – Efremovs Anwalt

Verwandte von Sergei Zakharov – Opfer

Alexander Dobrovinsky – Anwalt für Zakharovs Verwandte

Mehrere Dutzend Journalisten

Zuschauer

Was die Staatsanwaltschaft verlangt: Verurteilung von Yefremov zu 11 Jahren in einer Kolonie des Generalregimes – fast die Höchstdauer nach diesem Artikel des Strafgesetzbuchs. Um einen Führerschein für drei Jahre zu entziehen, zahlen Sie drei Verwandten des Verstorbenen einen Rubel und 500.000 Rubel an Zakharovs ältesten Sohn.

Was die Verteidigung verlangt: Efremov nicht seiner Freiheit zu berauben, ihn in extremen Fällen in eine Koloniesiedlung zu schicken. „11 Jahre sind sehr blutrünstig. Dies ist ein Todesurteil “, sagte Efremov selbst.

Ort und Zeit der Klage: Presnensky Court of Moscow, Beginn der Sitzung – 11:00 Uhr (russische Zeit), 8.9.2020

Nawalny aus Koma geweckt – Deutsch-russisches Verhältnis am Boden

Sein Zustand verbessert sich und er ist wieder ansprechbar: Berliner Ärzte haben den Kremlkritiker Alexej Nawalny aus dem künstlichen Koma geholt. Sein Fall hat inzwischen hohe Wellen geschlagen.

Nawalny vergiftet: Statement von Maas und Kramp-Karrenbauer zum Vorfall

Seit mehreren Tagen befindet sich der russische Kreml-Kritiker Alexej Nawalny in der Berliner Charité. Er war dorthin mit Symptomen einer Vergiftung gekommen. Nun gibt es laut Bundesregierung einen “zweifelsfreien Nachweis” für eine Vergiftung mit einem chemischen Nervenkampfstoff aus der Nowitschok-Gruppe. Das erklärte Regierungssprecher Steffen Seibert. Ein Speziallabor der Bundeswehr habe eine toxikologische Untersuchung anhand von Proben durchgeführt. Hierbei sei die Vergiftung nachgewiesen worden.

Mögliche Sanktionen gegen Russland – Navalny-Ärzte suchen Hilfe bei Novichok-Forschern

Hilferuf an Bundeswehr - Charité geht von Nervengift-Anschlag auf Nawalny aus - Politik Inland - Bild.de
Deutschlands Außenminister Heiko Maas sagte, Berlin sei bereit, diplomatische Sanktionen gegen Russland einzuführen, wenn sich herausstellen würde, dass die russischen Behörden hinter der Vergiftung des Oppositionspolitikers Alexey Navalny stecken, berichtet Reuters.

Maas unterstrich, dass die deutschen Behörden als Reaktion auf die Ermordung des ehemaligen tschetschenischen Feldkommandanten Zelimkhan Khangoshvili, der im August 2019 in Berlin erschossen wurde, genauso handeln würden. Nachdem ein russischer Staatsbürger wegen des Attentats angeklagt worden war, wies Deutschland zwei russische Diplomaten aus , die angeblich als ausländische Geheimdienstagenten für das russische Verteidigungsministerium tätig waren (Moskau reagierte mit Sachleistungen und vertrieb zwei der deutschen Bevölkerung).

Laut der deutschen Wochenzeitung Der Spiegel haben die Ärzte, die Nawalny im Charité-Krankenhaus in Berlin behandeln, heimlich Hilfe bei der Bundeswehr gesucht, die über ein eigenes Toxikologielabor in München verfügt. Die Ärzte wandten sich auch an Spezialisten des britischen Porton Down-Labors, die für die Untersuchung des versuchten Mordes an Sergey und Yulia Skripal verantwortlich waren, nachdem sie 2018 in Salisbury mit einer Substanz der Novichok-Klasse vergiftet worden waren.

Zuvor berichteten Der Spiegel und das Ermittlungsbüro Bellingcat, dass die deutschen Ärzte wegen möglicher Ähnlichkeiten zwischen der Vergiftung von Navalny und dem versuchten Mord an dem bulgarischen Waffenhändler Emilian Gebrev, der 2015 angeblich mit Novichok vergiftet worden war, auch Ärzte in Bulgarien kontaktiert hatten.

Charité: Kreml-Kritiker Nawalny mit Cholinesterase-Hemmer vergiftet

Die Ärzte der Berliner Charité haben die Wirkung eines Giftstoffs in Alexei Nawalnys Körper nachgewiesen und vermuten, dass der russische Oppositionelle mit einem Cholinesterase-Hemmer vergiftet worden ist. Sie behandeln Nawalny mit dem Gegenmittel Atropin. Wie stark sein Nervensystem geschädigt ist, sei noch nicht klar. Spätfolgen schließen die Charité-Mediziner nicht aus. In einer schriftlichen Erklärung teilten sie zudem mit, dass Alexej Nawalnys Gesundheitszustand nach wie vor ernst sei, es bestehe aber keine akute Lebensgefahr. Der bekannte Kreml-Kritiker wird seit Samstag im Berliner Klinikum Charité behandelt, nachdem er am Donnerstag ins Koma gefallen war. Den Ärzten, die Nawalny zuerst in der russischen Stadt Omsk versorgten, vertraute sein Umfeld nicht. Denn Gift hätten die Ärzte bei Blutanalysen nicht gefunden.

Nawalny-Mordanschag: Moskau mauert – und dreht den Spieß um

Während der Ruf nach Aufklärung weltweit lauter wird, mauert Moskau und will untersuchen lassen, ob eine “fremde Macht” einen russischen Staatsbürger geschädigt habe, um Moskau zu diskreditieren.

Das ist die alte Vorgehensweise der Tschekisten aus KGB, STASI und wie die einschlägigen Ost-Mördergeheimdienste sich jeweils nennen – bis hin zu STASI-GoMoPa.

Video – Boris Nemzow – Tod an der Kremlmauer

Am 27. Februar 2015 ereignete sich der Mord an dem russischen Oppositionspolitiker Boris Nemzow. Die Welle der Empörung und Anteilnahme nach der Ermordung war sowohl in Russland als auch im Ausland hoch. Russlands Präsident Putin versprach umgehende Aufklärung. Was ist seitdem passiert, und was weiß man heute über die Drahtzieher des Mordes?

Spur nach Moskau – Warum musste Litwinenko sterben

“2006 starb in London der ehemalige KGB-Offizier Alexander Litwinenko an einer Vergiftung durch radioaktives Polonium. Indizien deuten auf den russischen Geheimdienst als Auftraggeber. In einem öffentlichen Anhörungsverfahren in London wurden in den letzten Monaten viele Details des Polonium-Mordes bekannt. Russland weigert sich bis heute die beiden mutmaßlichen Mörder Andrei Lugowoi und Dmitri Kowtun nach England auszuliefern. Alexander Litwinenko starb am 23. November 2006 in der Londoner Universitätsklinik. Drei Wochen zuvor war er mit radioaktivem Polonium vergiftet worden, das seinen Körper von innen zerfraß. Die mutmaßlichen Mörder waren schnell identifiziert: Andrei Lugowoi und Dmitri Kowtun, zwei Geschäftsleute mit Verbindungen zum russischen Geheimdienst. Die britische Justiz erließ internationale Haftbefehle, doch der Kreml weigert sich, Lugowoi und Kowtun auszuliefern. In einem öffentlichen Anhörungsverfahren vor den Courts of Justice in London, für das die Witwe Marina Litwinenko jahrelang gekämpft hatte, wurden viele Einzelheiten und Umstände der Tat bekannt. Und die Indizien deuten darauf hin, dass Präsident Putin zumindest davon wusste. Egmont R. Koch geht in seiner Reportage diesen Vorwürfen nach. Er trifft in Moskau, Sankt Petersburg und an der amerikanischen Ostküste Freunde und ehemalige Kollegen von Litwinenko. Sie sind davon überzeugt, dass es sich bei dem Giftanschlag um einen Staatsmord handelte. Litwinenko und Putin trafen sich ein einziges Mal persönlich, im August 1998. Damals versuchte der Offizier des FSB (vormals KGB) seinen obersten Chef, den gerade ernannten FSB-Direktor Wladimir Putin, von der grassierenden Korruption im Geheimdienst zu überzeugen. Putin wollte davon nichts wissen, befahl stattdessen, Litwinenkos Privattelefon anzuzapfen und ihn zu überwachen. Seit diesem Ereignis herrschte eine erbitterte Feindschaft zwischen den beiden. Und blanker Hass. 2000 floh Litwinenko mit seiner Familie nach London, wo er seine Vorwürfe Richtung Kreml verschärfte. Er behauptete, Putin habe in seiner Vergangenheit mit der Russenmafia kooperiert und am Drogenschmuggel partizipiert. Aber waren diese Beschuldigungen gerechtfertigt? Oder hatte er sie erfunden, um dem Präsidenten zu schaden? „Litwinenko war besessen von der Idee, Putin als Präsident stürzen zu können“, erinnert sich sein Freund, der Historiker Juri Felshtinsky. Irgendwann habe der FSB offenbar geglaubt, ihn zum Schweigen bringen zu müssen.”

Todkranker Kreml-Kritiker Alexej Nawalny in Berlin eingetroffen – Video

Der womöglich vergiftete russische Kremlkritiker Alexej Nawalny ist zur medizinischen Behandlung in Berlin eingetroffen. Ein Spezialflug mit dem im Koma liegenden Oppositionellen sei am Samstag gelandet, sagte eine Sprecherin des 44-Jährigen. Jaka Bizilj von der Organisation Cinema For Peace, die den Transport Nawalnys aus einem Krankenhaus in der sibirischen Stadt Omsk organisiert hatte, bestätigte: «Nawalny ist in Berlin». Vorausgegangen war ein Tauziehen mit den russischen Ärzten des Oppositionellen, die sich gegen seine Verlegung ausgesprochen hatten, weil er ihrer Ansicht nach nicht stabil genug für den Transport war. Anhänger Nawalnys vermuteten dahinter aber politische Gründe und mutmaßten, dass die russische Regierung die Verlegung so lange hinauszögern wollte, bis kein Gift mehr in seinem Blut nachweisbar sei. Kreml-Sprecher Dmitri Peskow wies das zurück und sagte, es sei eine rein medizinische Entscheidung gewesen. Nawalny war am Donnerstag auf einem Flug von Sibirien nach Moskau plötzlich zusammengebrochen, das Flugzeug landete daraufhin in Omsk, wo er ins Krankenhaus gebracht wurde. Am Freitag gelangte dann ein Spezialflugzeug mit modernem medizinischen Gerät und deutschen Ärzten nach Omsk, um Nawalny in die Charité zu bringen. Es dauerte aber bis zum frühen Samstagmorgen, bis er dann auch wirklich abfliegen konnte. Nawalnys Anhänger vermuten, dass er vor dem Flug einen vergifteten Tee getrunken habe und dass der Kreml dahinterstecke. Die russischen Ärzte erklärten hingegen, es gebe keine Belege für eine Vergiftung. Die Nachrichtenseite NGS55 in Omsk veröffentlichte eine Videostellungnahme des Chefarzts des örtlichen Krankenhauses, Alexander Murachowski. Dieser sagte, eine Stoffwechselstörung sei die wahrscheinlichste Diagnose. «Sie könnte durch einen starken Abfall des Blutzuckers im Flugzeug angestoßen worden sein, was den Verlust des Bewusstseins verursacht hat», sagte er. Nawalnys Anhänger wiesen diese Theorie zurück. «Sie erlauben den Transport von Alexej nicht wegen einer Stoffwechselstörung und eines Abfalls des Blutzuckers?!», fragte der Chef von Nawalnys Stiftung für den Kampf gegen Korruption, Iwan Schdanow, auf Twitter. Auch einige Toxikologen zeigten sich skeptisch, wie man so schnell eine Vergiftung ausschließen könne. So etwas brauche Zeit, sagte Alastair Hay, ein emeritierter Professor und Experte von der Universität von Leeds. Besonders wenn es eine hochgiftige Substanz sei, wäre diese nur in geringer Konzentration im Blut und deshalb durch Tests nicht so leicht nachweisbar.

Verdächtiger Attentäter gebrauchte gefälschte Ausweisdokumente in Berlin

Vadim A. Sokolov, links ein im Verlauf der Untersuchung erhaltenes Originalbild, rechts eine Version desselben Bildes mit digital entferntem Bart

Am Freitag, 23. August 2019, wurde der in Deutschland lebende georgische Staatsbürger Zelimkhan Khangoshvili in der Berliner Innenstadt ermordet, als er auf dem Weg zu einer Moschee zum Freitagsgebet zu Mittag aß. Khangoshvili wurde mit drei Kugeln ermordet, von denen zwei aus nächster Nähe auf seinen Kopf abgefeuert wurden. Der Mörder, der sich in den nahe gelegenen Büschen versteckte, eilte mit einem Elektrofahrrad auf das Opfer zu und schoss das Opfer – einmal in die Schulter und zweimal in den Kopf – mit einer 9-mm-Glock 26 mit angebrachtem Schalldämpfer. Nachdem der Attentäter einige hundert Meter entlang der Spree vom Tatort weggerast war, hielt er an und warf das Elektrofahrrad, eine Plastiktüte mit der Mordwaffe und eine Perücke, die er benutzte, in den Fluss. Dabei wurde er von zwei Teenagern beobachtet, die die Polizei alarmierten. Ihre Tipps führen dazu, dass der Mörder einige Minuten später gefasst wird, als er in einer Menge von Touristen verschwindet – jetzt mit einem rasierten Kopf, einem Gesicht mit Schnurrbart, einem rosa T-Shirt und einem touristischen Beutel, der seinen Pass hält und etwas Bargeld hing an seinem Hals.

Medien berichteten, dass der Verdächtige, der bisher öffentlich als Vadim S, 49, bezeichnet wurde, zunächst mit einem von Frankreich ausgestellten Visum mit dem Flugzeug von Moskau nach Paris reiste, bevor er sechs Tage vor dem Mord nach Deutschland einreiste. Berichten zufolge hat er jegliche Beteiligung an dem Mord bestritten und um ein Treffen mit russischen Konsularbeamten gebeten.

Das Opfer war ein ethnisch tschetschenischer georgischer Staatsbürger, der schon lange auf der Liste der erklärten Feinde Moskaus stand. Nachdem er sich 1999-2002 freiwillig zum Kampf gegen die zentralrussischen Streitkräfte im zweiten Tschetschenienkrieg gemeldet hatte, unterstützte er in den folgenden Jahren weiterhin tschetschenische Separatisten, während er in seinem Heimatland Pankisi Valley in Georgien stationiert war. Er rekrutierte und bewaffnete auch eine Freiwilligeneinheit, um 2008 gegen den russischen Krieg in Georgien zu kämpfen, obwohl es keine Beweise dafür gibt, dass seine Einheit jemals vor Kriegsende Maßnahmen ergriffen hat. Im Jahr 2012 spielte Khangoshvili Berichten zufolge die wichtige Rolle des Vermittlers während des Vorfalls in Lapota, als eine Gruppe bewaffneter Tschetschenen mehrere Menschen in einer abgelegenen Bergregion Georgiens als Geiseln nahm. Obwohl es keine Beweise dafür gibt, dass Khangoshvili sich für eine islamistische Ideologie einsetzt oder islamistische Anliegen unterstützt, hat Russland ihn wiederholt als islamische terroristische Bedrohung gebrandmarkt. Khangoshvili kämpfte in der frühen Phase des Zweiten Tschetschenienkrieges mit Islamisten und war später Aslan Maskhadov nahe, dem ehemaligen tschetschenischen Präsidenten (2005 getötet), der eher als gemäßigter und nationalistischer als als als islamistischer Mensch bekannt war.

Zum Zeitpunkt seines Mordes wartete Khangoshvili auf das Ergebnis seiner Berufung auf ein Abschiebungsverfahren in Deutschland, wo er mit seiner Familie politisches Asyl beantragte, nachdem er zwei Attentate in Georgien verübt hatte (der letzte im Mai 2015, als er es war) erschossen in Tiflis) und mehrere Drohungen erhalten, während sie vorübergehend Zuflucht in der Ukraine suchten. Russland hat offiziell jegliche Verbindung zu den Attentaten abgelehnt.

Fotos auf Khangoshvilis Facebook-Profil. Das linke Bild wurde während des Zweiten Tschetschenienkrieges aufgenommen und zeigt ihn zusammen mit Aslan Maskhadov, dem letzten Präsidenten eines de facto unabhängigen Tschetscheniens

Eine gemeinsame Untersuchung zwischen Bellingcat, der deutschen Zeitung Der Spiegel und The Insider (Russland) hat ergeben, dass der Attentäter unter einem gültigen, nicht biometrischen russischen Pass im Namen des im August geborenen Vadim Andreevich Sokolov über Frankreich nach Berlin gereist ist 1970. Trotz der Tatsache, dass er einen legitimen Pass verwendet hat, haben wir festgestellt, dass in der umfangreichen nationalen Bürgerdatenbank Russlands keine solche Person existiert. Darüber hinaus gibt es keine Spur einer solchen Person in einer Fundgrube von Hunderten von durchgesickerten Wohndatenbanken, die zuvor von Bellingcat erhalten und aggregiert wurden. Diese Entdeckung macht Russlands Behauptung, der Mörder sei nicht mit dem russischen Staat verbunden, unplausibel, da keine Person in Russland in der Lage ist, einen gültigen russischen Pass unter einer gefälschten Identität ohne Beteiligung des staatlichen Bürokratie- und Sicherheitsapparats zu erhalten.

Darüber hinaus haben wir festgestellt, dass die Adresse, die der Mörder in seinem Visumantrag als Wohnsitz in St. Petersburg angegeben hat, nicht existiert. Diese offensichtliche Inkonsistenz und der allgemein leere digitale und datenbezogene Fußabdruck des russischen „Geisterreisenden“ werfen ernsthafte Fragen auf, wie und warum er ein vom französischen Konsulat in Moskau ausgestelltes Schengen-Visum für die mehrfache Einreise erhalten konnte.

Ein Phantomtourist
Anhand der Passdaten aus Sokolovs in Russland eingereichten und von unserem Team erhaltenen Visumantragspapieren haben wir versucht, die Anwesenheit dieser Person in verschiedenen russischen Live- und Offline-Datenbanken zu identifizieren. Wir haben über zwei separate Quellen mit direktem Zugriff auf die russische Passdatenbank überprüft, dass in dieser Datenbank keine Person mit dem Namen Vadim Andreevich Sokolov und dem in seinem Pass verwendeten Geburtsdatum vorhanden ist.

Foto von Vadim A. Sokolov aus seinen Visumantragspapieren

Die russische Passdatenbank ist eine zentralisierte, umfassende Datenbank mit Wohnadressen und Passdaten aller russischen Staatsbürger – einschließlich der vollständigen Geschichte früherer persönlicher Ausweisdokumente -, die vom russischen Innenministerium verwaltet wird. Ebenso wurde weder in einer anderen von der Polizei gepflegten Datenbank, in der nationale und internationale Reisen aller russischen Bürger erfasst werden, noch in der Datenbank der Verkehrspolizei mit Führerscheininhabern eine Anwesenheit dieser Person festgestellt. Wir haben auch Hunderte von zuvor durchgesickerten Offline-Pass-, Wohnadress-, Versicherungs- und Beschäftigungsdatenbanken durchsucht, einschließlich Datenbanken mit Daten aus dem Jahr 2018, und keine Hinweise auf eine Person mit solchen personenbezogenen Daten gefunden.

Damit dieser Mann mit einem normalen Pass mit dem Flugzeug von Moskau nach Paris gereist wäre, hätte er gleichzeitig die Passkontrolle durchlaufen müssen, bei der sein Pass gescannt und automatisch mit der russischen Passdatenbank verglichen worden wäre. Jede Inkonsistenz – wie ein fehlender Datensatz in dieser Datenbank – hätte das Alarmsystem des Grenzbeamten ausgelöst, und die Person wäre nicht zum Fortfahren berechtigt gewesen. Es kann nur zwei mögliche Szenarien geben, die diese Inkonsistenz erklären: Entweder war „Vadim Sokolov“ den Grenzbeamten als Undercover-Agent bekannt, und sie wurden angewiesen, ihn fortfahren zu lassen, oder alternativ zum Zeitpunkt der Reise – das heißt am 31. Juli 2019 – Sokolov befand sich noch in der Russland-Passdatenbank.

Beide Szenarien sind technisch möglich. Das russische Einwanderungssystem (Grenzkontrollsystem) wird vom Bundessicherheitsdienst (FSB) überwacht. Daher hätten besondere Vorkehrungen getroffen werden können, damit „Sokolov“ das routinemäßige Verfahren zur Überprüfung des Flughafens umgeht, insbesondere wenn der Mitarbeiter mit dem FSB verbunden ist.

Ebenso möglich und konsistenter mit der bisherigen Praxis wäre das zweite Szenario, in dem eine Deckungsidentität für „Sokolov“ vollständig erstellt wurde – einschließlich eines Datenbankeintrags im russischen Passsystem -, der jedoch kurz nach den Nachrichten aus den russischen Regierungsdatenbanken gelöscht wurde Die Verhaftung in Berlin brach ab. Im Fall von Skripal-verbundenen GRU-Beamten, die zuvor von Bellingcat identifiziert worden waren, waren die drei verdeckten GRU-Mitarbeiter ursprünglich doppelt in der Russia Passport-Datenbank vertreten: sowohl unter ihrer tatsächlichen als auch unter ihrer Deckungsidentität. Kurz nach ihrem öffentlichen Ausflug durch Bellingcat wurden jedoch sowohl ihre verdeckte als auch ihre wahre Identität (einschließlich der Daten ihrer unmittelbaren Familienmitglieder) aus dem russischen Pass und anderen von der Regierung geführten Datenbanken gelöscht, wodurch mehrere „Geister“ -Familien ohne Pass und Wohneigentum entstanden oder sogar Steuerinformationen (tatsächlich werden Wohnungen, die zuvor von uns als Eigentum von Col. Chepiga und Col. Mishkin, den Hauptverdächtigen von Skripal, bestätigt wurden, jetzt als Eigentum des „russischen Staates“ aufgeführt).

Ob das erste oder das zweite Szenario im Fall von „Sokolov“ verwendet wurde, könnte einen Hinweis darauf geben, welcher der beiden wichtigsten und häufig konkurrierenden Sicherheitsdienste mit dieser dreisten Attentatsoperation verbunden ist. Wie nachstehend dargelegt, hätten sich beide Agenturen, der FSB und die GRU, berechtigt gefühlt, eine solche außergerichtliche Tötung durchzuführen, wenn auch aus unterschiedlichen Gründen.

icher ist jedoch, dass die Cover-Identität hinter „Vadim Sokolov“ erst vor kurzem erstellt wurde und höchstwahrscheinlich für den jeweiligen Betrieb in Berlin maßgeschneidert wurde. Dies lässt sich aus dem Fehlen eines digitalen Fußabdrucks dieser Identität in zuvor durchgesickerten Datenbanken ableiten (zum Vergleich tauchten sowohl „Boshirov“ als auch „Petrov“ – die Deckungsidentitäten hinter den Skripal-Verdächtigen – in älteren Offline-Datenbanken auf). Diese Schlussfolgerung steht auch im Einklang mit dem ungewöhnlich jüngsten Ausstellungsdatum für den Pass von „Sokolov“ – dem 18. Juli 2019, nur zehn Tage vor der geplanten Reise. Wir haben außerdem – über Quellen mit Zugang zu nicht russischen Flugbuchungsdatenbanken – überprüft, dass eine Person mit diesem Namen und Geburtsdatum in den letzten 6 Jahren weder zu einem europäischen Ziel gereist ist noch Visa für Schengen-Staaten erhalten hat. All dies impliziert entweder eine Ad-hoc-Operation nach neu erhaltenen Informationen über den Aufenthaltsort des Ziels oder die Verwendung eines “Einmal-Attentäters”, der kein Mitarbeiter ist. Wie weiter unten erläutert, kann sich diese letztere Hypothese aufgrund der besonderen Besonderheiten des Mannes, der sich derzeit in deutscher Haft befindet, als wahr erweisen.

Passhinweise
In früheren Untersuchungen hat Bellingcat Chargen von fortlaufenden Passnummern identifiziert, die in verschiedenen Jahren an GRU-Beamte ausgegeben wurden. Die für Sokolovs Pass verwendete Passnummer kann nicht mit diesen Chargen abgeglichen werden, da sie erst im Juli 2019 ausgestellt wurde und wir keine empirischen Daten von anderen GRU-Beamten mit neuen Pässen haben. Diese Chargen wurden jedoch alle von derselben Moskauer „Zentraleinheit“ des Bundesmigrationsdienstes (jetzt in das Innenministerium integriert) ausgestellt, die anscheinend den Pass von „Sokolov“ ausgestellt hat.

Die Nummer von “Sokolov” ähnelt auch in anderer Hinsicht den Pässen der anderen GRU-Beamten: Es handelt sich um einen Pass vom “alten” Typ – d. H. Ohne eingebettete biometrische Daten. Während Russland 2009 biometrische Pässe einführte und diese bei der Beantragung eines neuen Reisedokuments die Standardwahl sind, werden auf Anfrage Pässe im „alten Stil“ ausgestellt, normalerweise in Notsituationen, in denen der Antragsteller keine Zeit hat, auf die Verschlüsselung der Fingerabdrücke zu warten Druckprozess. Alle bisher von uns identifizierten international tätigen GRU-Beamten (mehr als 20) und „Sokolov“ entschieden sich für den „Papier“ -Pass im alten Stil, höchstwahrscheinlich aufgrund des Risikos eines Konflikts zwischen den Fingerabdrücken der Undercover-Person und dem bereits vorhandenen Fingerabdruck Daten der realen Person. Im Fall von „Sokolov“ war dies möglicherweise auch der Grund oder die unvermeidliche Folge einer überstürzten Operation, da die Vorlaufzeit für den Erhalt eines biometrischen Passes mindestens eine Woche beträgt.

Ein Express-Visum für einen Geist

Unser gemeinsames Untersuchungsteam konnte die meisten Passdaten des Verdächtigen aus einer Quelle mit Zugang zu visumgebundenen Dokumenten abrufen, die von „Vadim Sokolov“ in Russland eingereicht wurden. Das Dokument zeigt, dass der Verdächtige am 29. Juli 2019 beim französischen Konsulat in Moskau ein Expressvisum beantragte – nur 11 Tage nachdem er seinen nicht biometrischen Pass erhalten hatte. Er beantragte ein 6-Monats-Visum für die mehrfache Einreise, mit dem er uneingeschränkten Zugang zu allen 26 Ländern des Schengen-Raums erhalten konnte. Ungewöhnlich und kühn gab er an, dass sein geplantes Reisedatum der 30. Juli 2019 ist – buchstäblich der Tag nach seinem Visumantragsdatum. Darüber hinaus gab er an, dass er während seines sechsmonatigen Visums für den maximal zulässigen Zeitraum von 90 Tagen in Frankreich bleiben wolle und erklärte, er plane, bis zum 25. Januar 2020 nach Frankreich und zurück zu reisen.

Trotz dieser kühnen Bestrebungen – die beantragte Visumdauer und die Wiedereintrittsbedingungen sind das Maximum, das einem Erstreisenden ausgestellt werden kann, und die Vorlaufzeit für Reisen ist ungewöhnlich kurz – hatte „Sokolov“ in Bezug auf einen nachvollziehbaren Hintergrund in Russland wenig zu zeigen . Sein Reisepass zeigte, dass er in der sibirischen Stadt Irkursk geboren wurde, aber er gab seinen Wohnort als „Alpiyskaya Street 37“ in Sankt Petersburg an. In St. Petersburg gibt es keine „Alpiyskaya-Straße“, obwohl es eine „Alpiyskiy Pereulok“ (Alpiysky-Straße) gibt, und auf Nummer 37 dieser Straße befinden sich drei gehobene Wohnhauscluster, von denen jeder eine separate Unteradresse hat ( Korpus 1, 2 oder 3), der normalerweise bei der Angabe einer Adresse angegeben wird.

Foto eines der drei Wohnblockcluster in der Alpiyskiy Lane in St. Petersburg, wie in Yandex Maps zu sehen

Der einzige Ort in der Nähe von St. Petersburg, an dem es tatsächlich eine „Alpiyskaya-Straße“ gibt, ist eine nahe gelegene Stadt namens Kudrovo, etwas außerhalb der Stadtgrenzen. Es gibt jedoch auch keine Nummer 37 in dieser Straße.

Satellitenansicht der Alpiyska-Straße in Kudrovo mit allen Hausnummern

In seiner Bewerbung führte der Verdächtige auch seinen Beruf als „leitender Angestellter des Unternehmens“ an, obwohl das vom Untersuchungsteam überprüfte Dokument nicht den Namen des Unternehmens enthielt, bei dem er angeblich beschäftigt war. Es ist nicht klar, ob er dem französischen Konsulat den Namen des Unternehmens mitgeteilt hat.

Als Ansprechpartner in Frankreich – was für Visumantragsteller aus Russland obligatorisch ist – führte der Verdächtige den Namen des Mittelklassepraktikums in Paris an. Zum Zeitpunkt der Drucklegung konnten wir keine Rückmeldung von der Hotelleitung erhalten, ob sie mit dieser Person in Kontakt stand oder sie kannte oder ob sie das Hotel während ihrer Reise nach Frankreich als beabsichtigten Wohnort genutzt hat. Als eine Hotelrezeptionistin ein Foto des Verdächtigen zeigte, sagte sie, sie habe diese Person im Hotel nicht gesehen.

Angesichts der Tatsache, dass der Verdächtige in Russland keinen digitalen oder datenbezogenen Fußabdruck hat, eine unvollständige oder falsche Adresse und Beschäftigungsdaten aufführt, einen frisch ausgestellten Pass besitzt und mindestens seit 2013 nicht nach Europa gereist ist, ist es verwirrend, dass das französische Ministerium für Foreign Affairs, das letztendlich für die Entscheidung über Visumanträge zuständig war, beschloss, dem Antrag vollständig nachzukommen, und erteilte das Mehrfachvisum ohne detaillierte Prüfung und ohne Wartezeit. Bellingcat hat zuvor über das nominell drakonische, aber empirisch durchlässige Visumantragssystem für Westeuropa berichtet, das es russischen Spionen mit gefälschten Identitäten und ohne Datenabdruck ermöglicht, fast ein Jahrzehnt lang Visa für die mehrfache Einreise und uneingeschränkte europäische Reisen zu erhalten.

Ein ungewöhnlicher Verdächtiger
Der Bericht über den inhaftierten Verdächtigen beschreibt ihn laut deutschen Sicherheitsquellen, die von unserem gemeinsamen Team befragt wurden, als 176 cm groß und 86 kg schwer. In dem Bericht heißt es außerdem, dass der Verdächtige drei Tätowierungen auf seinem Körper hat: eine Krone und einen Panther auf seinem linken Oberarm und eine Schlange auf dem rechten Unterarm.

Das Vorhandensein von Tätowierungen auf dem Körper eines Attentäters ist im Zusammenhang mit einer russischen Sicherheitsdienstoperation ungewöhnlich. Russische Sicherheitsdienste erlauben ihren Stabsoffizieren nicht, sich so zu schmücken. Dies deutet darauf hin, dass der Verdächtige kein Stabsoffizier ist oder dass er Tätowierungen im Rahmen einer langfristigen eingebetteten Undercover-Operation erhalten durfte. Eine mögliche Erklärung könnte sein, dass der Verdächtige ein ehemaliger Verurteilter war, der von einem der Geheimdienste kooptiert wurde, da der Stil der beschriebenen Tätowierungen mit einer speziellen und streng „regulierten“ Körperdekorationsnomenklatur übereinstimmt, die als „Gefängnistattoos“ bekannt ist. Ohne weitere Informationen oder Bilder der Tätowierungen – beispielsweise ob sie monochrom oder farbig sind – wäre es jedoch unmöglich zu beurteilen, ob die Körperkunst des Verdächtigen von der Art „Gefängnistätowierung“ ist.

Es ist nicht beispiellos, dass die russischen Sicherheitsdienste auf Freiberufler oder sogar Ex-Sträflinge als Attentäter zurückgreifen, wie mindestens zwei aktuelle Beispiele für (versuchte) extraterritoriale Morde in der Ukraine zeigen. In einem Fall wurde ein ehemaliger FSB-Beamter, der wegen Korruption angeklagt worden war, in die Ukraine geschickt, um ein Attentat auf ein Mitglied des ukrainischen Militärgeheimdienstes zu organisieren. In einem anderen Fall wurde ein ukrainischer Gefängnisbeamter von der russischen GRU angeworben, um einen ehemaligen ukrainischen Artillerieoffizier zu ermorden, der die georgischen Streitkräfte während des russisch-georgischen Krieges 2008 beraten hatte. Es wäre jedoch ein Präzedenzfall für einen russischen Sicherheitsdienst, einen Freiberufler in Westeuropa einzusetzen.

Wer hat den Befehl gegeben?
Die komplexe Vergangenheit des Opfers führt zu der Möglichkeit, dass er bei einer Operation des FSB, der GRU oder sogar des eigenen Sicherheitsapparats von Ramzan Kadyrov ermordet wurde. Aufgrund seiner Beteiligung am russisch-tschetschenischen Krieg und der jüngeren Qualifikation als „islamische Bedrohung“ wäre er im Fadenkreuz der FSB-Eroberungs- oder Tötungsliste gestanden.

Andererseits hätte ihn seine Beteiligung am Krieg und seine Unterstützung für Georgier im russisch-georgischen Krieg zu einem Rachemordziel für die GRU gemacht, parallel zu anderen Attentaten auf ehemalige Gegner bewaffneter Konflikte aus der Nähe Russlands. im Ausland – was in den Augen des russischen Militärs gleichbedeutend mit Verrat ist. Unabhängig davon hätte sein tschetschenischer Hintergrund und die Tatsache, dass er während des Tschetschenienkrieges auf der Seite von Aslan Mashadov stand, Khangoshvili gegen Ramzan Kadyrovs Clique ausgespielt.

In der Tat wurden die meisten Attentate auf ethnische Tschetschenen in Übersee in den letzten 10 Jahren von tschetschenischen Abgesandten begangen, die manchmal im Namen von Kadyrow handelten – wie im Fall des Attentats auf die ukrainische Staatsbürgerin Amina Okueva (die nicht überlebte) im Juni 2017 ein nachfolgendes Attentat im selben Jahr) in Kiew – Reisen unter Deckung, nicht tschetschenische Identität.

Was auch immer die Antwort sein mag, der Zugang zu einem gültigen, von Moskau ausgestellten Pass und die sofortige und umfassende Löschung aller Daten, die mit der Deckungsidentität „Vadim Sokolov“ in Verbindung stehen, sind ein klarer Hinweis auf die staatliche Beteiligung an diesem extraterritorialen Attentat, ähnlich wie in Kühnheit und mangelnde plausible Verleugnung des Skripal-Falls.

Bellingcat und seine Ermittlungspartner werden diese Geschichte weiter untersuchen, um die tatsächliche Identität der Person zu ermitteln, die unter der Person „Sokolov“ reist.

FSBs Magnificent Seven: Neue Verbindungen zwischen Berlin und Istanbul

“Roman Davydov”, Foto aus dem slowakischen Visumantrag.

 

Am 23. August 2019 wurde Zelimkhan Khangoshvili, ein georgischer Asylbewerber tschetschenischer Herkunft, auf dem Rückweg vom Freitagsmoscheeservice in einem Park in der Nähe des Berliner Kleiner Tiergartens ermordet. Der Mörder war von der deutschen Polizei gefangen genommen worden, nachdem er mit dem Fahrrad vom Tatort weggelaufen war und zwei Teenager gesehen hatten, wie er seine Perücke, Kleidung und seinen Schalldämpfer in die Spree entsorgt hatte. Er ist seitdem in Haft und hat Unschuld behauptet.
In unseren früheren gemeinsamen Ermittlungen mit Der Spiegel und The Insider (Russland) haben wir den Mörder – der unter der gefälschten Identität von Vadim Sokolov (49) reiste – als Vadim Krasikov (54) identifiziert Mindestens zwei Auftragsmorde: 2007 in Karelien und 2013 in Moskau. Für diese Morde wurde er von den russischen Behörden auf einer Interpol Red Notice gesucht – bis er 2015 plötzlich fallen gelassen wurde.
Wir haben letztendlich herausgefunden, dass das Attentat vom russischen FSB, der staatlichen Sicherheitsbehörde, geplant und organisiert wurde. Die Vorbereitung des Mordes wurde direkt von hochrangigen Mitgliedern einer Veteranenstiftung ehemaliger Spetsnaz-Offiziere der Eliteeinheit FSB Vympel überwacht. Wir konnten jedoch nachweisen, dass der FSB direkt an der Planung und Unterstützung der Operation beteiligt war, da wir die wiederholte Anwesenheit des Mörders in den FSB Spetznaz-Schulungseinrichtungen in den Monaten vor seiner Reise unter einer von der Regierung ausgestellten Deckungsidentität geolokalisieren konnten im August 2019 nach Deutschland.
Zehn Monate nach dem Mord reichte die deutsche Generalstaatsanwaltschaft am 18. Juni 2020 eine offizielle Anklage gegen Vadim Krasikov ein. In der Anklageschrift wird die russische Regierung als die Partei genannt, die Krasikov wegen Mordes an Zelimkhan Khangoshvili unter Vertrag genommen hat. Die Anklage nennt auch einen potenziellen Komplizen des Mordes, der als Roman D, ein mutmaßlicher Deckname, bezeichnet wird.

Eine Untersuchung von Bellingcat, The Insider und Der Spiegel hat die Existenz eines zweiten russischen Staatsbürgers bestätigt, der am Vorabend des Attentats von Russland in die Europäische Union gereist ist. Dabei wurde die gefälschte Identität des 1981 geborenen Roman Davydov verwendet. Wesentliche Kennzeichen dafür Die Identität der Deckung überschneidet sich mit der gefälschten Identität, die Vadim Krasikov ausgestellt wurde, was bedeutet, dass sie als Teil desselben oder eines eng verknüpften Regierungsprogramms arbeiteten.

Darüber hinaus konnten wir diese Person auf der Grundlage der in der deutschen Anklageschrift zitierten Passnummernsuche und der in der deutschen Anklageschrift zitierten Geheimdienstdaten aus Tschechien mit einer Gruppe anderer russischer FSB-Spione in Verbindung bringen, die wiederum mit dem Mord an einem anderen tschetschenischen Staatsangehörigen in Istanbul in Verbindung gebracht wurden im Jahr 2015.

Unsere Ergebnisse zeigen, dass mindestens ein, aber wahrscheinlicher mehrere FSB-Mitarbeiter nach Deutschland gereist sind, um das Attentat auf Khangoshvili vorzubereiten und zu unterstützen. Diese Ergebnisse stärken auch die Verbindung des Berliner Mordes mit einer zuvor gemeldeten „Fahndungsliste“ von neunzehn in der Sowjetunion geborenen Personen, von denen die meisten tschetschenischer Abstammung sind, die der FSB 2012 mit den deutschen Geheimdiensten geteilt hat.

Roman’s Holiday (oder Roman, der an einem Tag gebaut wurde)
Am 29. Juli 2019 erschien ein Reisebüro mit einem russischen Reisepass im Namen von Roman Davydov, geboren am 9. Oktober 1981 in St. Petersburg (damals Leningrad), im Visazentrum des slowakischen Generalkonsulats in St. Petersburg und beantragte für ihre Klientin ein einjähriges Mehrfachvisum für den Schengen-Raum. Laut den russischen Visumantragsunterlagen des Kunden war er einheimisch: Er lebte in Bogatirskiy Prospect 32, Korpus 2 in St. Petersburg, und arbeitete als Bauingenieur bei einer lokalen Firma. Er hatte vor, Bratislava als Tourist zu besuchen, und hatte am folgenden Tag – dem 30. Juli – eine Buchung für einen Flug nach Wien und eine Hotelbuchung für das Falkensteiner Mittelklassehotel in der Innenstadt von Bratislava, wo er ab dem 2. August übernachten würde. Er beantragte ein einjähriges Visum für die mehrfache Einreise und brauchte es dringend, da er vorhatte, am nächsten Tag zu fliegen.

In der Tat war nichts davon wahr. Der Visumantragsteller lebte tatsächlich in Moskau unter seinem richtigen, anderen Namen. Die genaue Wohnadresse, die er auf dem Antrag angegeben hatte, existierte nicht – es gibt kein Korpus 2 in Bogatirskiy Prospect 32, und die Personen, die unter der einzigen Wohnungsnummer an dieser Adresse wohnen, die mit seiner Antragsadresse übereinstimmt, hatten noch nie von ihm gehört.

Der Mann, der sich Roman Davydov nannte, war ein digitales Neugeborenes. Eine Person mit Namen und Geburtsdatum konnte nicht in Tausenden von durchgesickerten Wohn- und Passdatenbanken russischer Einwohner gefunden werden, die von Bellingcat konsultiert wurden. Roman Davydov war gerade erst in der russischen Pass- und Steuerdatenbank erschienen. Tatsächlich wurde die Identität von Roman Davydov nur elf Tage vor diesem Besuch beim slowakischen Konsulat geschaffen: Sein internationaler Pass wurde am 18. Juli 2019 in der westrussischen Stadt Brjansk ausgestellt. Er wurde am 23. Juli 2019 – im Alter von 39 Jahren – erstmals in das russische Steuerregister eingetragen. Das Schreiben seines Arbeitgebers, das er dem Konsulat vorlegen musste, stammte von einem Unternehmen, das sich mehrere Jahre zuvor in einer Umstrukturierung befunden hatte und null eingereicht hatte -Die Lohnsteuerakten der Mitarbeiter seit 2016. Außerdem hatte „Davydov“ keine wirklichen Pläne, die Slowakei zu besuchen.

Auszug aus dem Open-Source-Unternehmensregister, aus dem hervorgeht, dass das Unternehmen ZAO RUST bei der Umstrukturierung Anfang und Ende 2019 nur einen Mitarbeiter hatte.

Keine dieser Datenlücken wurde vom slowakischen Konsulat bemerkt, und sein Visum für die mehrfache Einreise wurde ausgestellt – allerdings mit einer Verzögerung von zwei Tagen, wodurch er uneingeschränkte Reiserechte in 45 Bezirke in Europa, Lateinamerika und Asien erhielt.

„Roman Davydov“ war nicht die einzige Person, die an diesem Tag einen Antrag bei einem EU-Konsulat in Russland gestellt hat, um unter einer gefälschten Identität zu reisen. Am selben Tag, dem 29. Juli 2019, betrat ein Reisebüro – von derselben Firma, diesmal als Vertreter von „Vadim Sokolov“ (49) – das französische Konsulat in Moskau und beantragte für seinen Kunden ein Schengen-Visum für die mehrfache Einreise. Wie „Davydov“ war auch „Sokolov“ ein digitales Neugeborenes, dessen Reisepass zehn Tage zuvor am selben Tag in Brjansk ausgestellt worden war.

Die Pässe von „Davydov“ und „Sokolov“ waren nur 35 Ziffern voneinander entfernt, was zeigt, dass diese Personas zur gleichen Zeit hergestellt wurden. Beide waren am selben Tag, am 23. Juli 2019, in das Steuerregister eingetragen worden. Darüber hinaus hatten beide Arbeitsbriefe von derselben Firma in St. Petersburg vorgelegt: ZAO „RUST“, wo sie beide als „Bauingenieure“ arbeiteten. (Der CEO dieses Unternehmens sagte uns zunächst, er habe noch nie von Vadim Sokolov gehört, und als er mit der Tatsache konfrontiert wurde, dass sowohl Sokolov als auch Davydov von ihm unterzeichnete Beschäftigungsschreiben eingereicht hatten, sagte er: „Das ist Unsinn“ und legte auf.)

„Vadim Sokolov“, obwohl er ebenfalls ein digitales Neugeborenes ist, das für eine leere Hülle eines Unternehmens arbeitet, erhielt ebenfalls ein Mehrfachvisum vom französischen Konsulat. Er würde drei Wochen später von der deutschen Polizei festgenommen, kurz nachdem er Khangoshvili in Berlin tödlich erschossen hatte. „Roman Davydov“ ist nach unserem besten Wissen derzeit wieder in Russland.

Der Road Trip
Die Rolle von “Roman Davydov” bei der Vorbereitung des Berliner Mordes ist noch unklar, doch seine gefälschte Identität, die mehrfachen dokumentarischen Überschneidungen mit “Sokolov” und seine vorherige Verbindung zu einem Mord an einem anderen Tschetschenen reichten aus, damit der deutsche Staatsanwalt ihn benannte eine Person von Interesse an Vadim Krasikovs Anklage. Seine wahre Identität wurde noch nicht entdeckt.

Unsere Untersuchung der Grenzübergangsaufzeichnungen (basierend auf Daten eines Hinweisgebers mit Zugriff auf die zentralisierte Grenzdatenbank Russlands) zeigt, dass eine Person mit diesem Namen und Geburtstag die russische Grenze nur zweimal überquerte: einmal am 3. August 2019, als sie mit dem Auto überquerte die belarussisch-polnische Grenze am Kontrollpunkt Bruzgi (Grodno) und erneut 4 Tage später, als er an derselben Stelle von Polen nach Weißrussland zurückkehrte (es gibt keine kontrollierte Grenze zwischen Russland und Weißrussland). Es gibt keine Informationen über seine Bewegungen nach seiner Einreise nach Polen, das Teil des Schengen-Raums ist und keine harten Grenzen zu Deutschland hat. Angenommen, sein Ziel wäre Berlin gewesen, wäre dies eine 8-9-stündige Fahrt von der belarussisch-polnischen Grenze entfernt gewesen. Er hätte also nicht mehr als zweieinhalb Tage in Berlin verbracht – nicht lange genug für die Aufklärung und Verfolgung des Ziels, aber ausreichend, um die für das Attentat und den Mord erforderliche Ausrüstung vor Ort zu liefern oder zu beschaffen Waffe. Der Mörder war am Nachmittag des 22. August von Warschau nach Berlin gekommen, und das Attentat fand am nächsten Tag kurz vor Mittag statt – nicht genug für Krasikov, um seine Werkzeuge selbst zu beschaffen. Er hätte ein Fahrrad bekommen müssen. Der Anklageschrift zufolge wurde auch ein High-End-E-Scooter, der nicht in Deutschland verkauft wird, auf dem Fluchtweg des Mörders geparkt gefunden (ein Bewohner hatte beobachtet, dass er einen Tag vor dem Mord eingesetzt und an Ort und Stelle gesperrt wurde). Das Attentat wurde mit einer modifizierten Glock 26 durchgeführt, die auf einen estnischen Besitzer zurückgeführt wurde, der den Diebstahl gemeldet hatte.

Es steht außer Frage, dass Krasikov bei seiner Aufgabe Hilfe hatte. Die einzige Frage, die noch offen ist, ist, für wie viel dieser Hilfe „Davydov“ verantwortlich war.

Zu den Grenzübergangsaufzeichnungen gehörte das Nummernschild des Wagens „Davydov“. Unter Verwendung eines Open-Source-Telegramm-Bots, der Fahrzeugdetails und Besitzdaten bereitstellt, stellten wir fest, dass das Auto ein blauer Infinity Q50 war und einer russischen Autoleasingfirma gehörte. Wir haben das Unternehmen kontaktiert, aber keine Antwort erhalten, wer das Auto im August 2019 benutzt hat.

Der Infiniti-Fall

Der von „Roman Davydov“ verwendete Infiniti Q50, Foto einer Verkehrskamera (Dezember 2019)

Mithilfe öffentlich zugänglicher Daten von Verkehrsverstößen in Kombination mit durchgesickerten Daten aus Moskaus allgegenwärtigen Verkehrsüberwachungssystemen konnten wir Schlüsselmomente der Fahrzeugbewegungen des „Davydov“ in den Tagen vor und nach seiner Reise rekonstruieren. Diese Zeiten und Orte ermöglichten es uns, sie mit bekannten Bewegungen von Vadim Krasikov in den Tagen vor seiner Abreise aus Russland am 17. August 2019 zu vergleichen, die wir anhand seiner Handy-Metadaten rekonstruierten.

Die häufigsten Überschneidungen treten im Bereich einer der bekannten Residenzen von Krasikov in der Nähe der Osennaya-Straße auf. Im Juli 2019 wird das Infiniti-Auto mehrmals in der Nähe seiner Wohnung gefangen genommen, wo es nicht länger eine halbe Stunde bleibt, bevor es weiterfährt. In vielen Fällen bewegt sich Krasikovs Telefon gleichzeitig von seinem Zuhause weg und schlägt eine Abholung auf dem Weg von „Davydov“ vor.

Auf dem Rückweg von der belarussischen Grenze am 8. August 2019 fährt das Auto von „Davydov“ direkt zu Krasikovs Standort, wo es um 18:05 Uhr ankommt. Es geht um 6:30 weiter. Krasikovs Telefon befindet sich zuletzt um 17:25 Uhr in seinem Haus, als er eine SMS von einem anonymen SMS-Gateway erhält. Nach dieser Überschneidung, wahrscheinlich einer Abholung, ist Krasikovs Telefon bis zum 12. August 2019 für vier volle Tage ausgeschaltet. Der letzte Ort, an dem der Infiniti an diesem Abend entdeckt wurde, befindet sich auf dem Weg nach Balashikha, einer Stadt außerhalb von Moskau. In Balashikha befindet sich eine FSB-Spetznaz-Schulungsanlage, in der Krasikovs Telefon im Juli und August für längere Zeit geolokalisiert wurde. Daher gehen wir davon aus, dass „Davydov“ ihn dorthin gefahren hat, um vor der Mission zu trainieren oder zu organisieren.

Das Auto von “Davydov” kann in den folgenden Tagen mehrmals zwischen Moskau und Balashikha gesehen werden. Am 14. August – drei Tage vor der Reise – wird Krasikovs Telefon für diesen Tag wieder ausgeschaltet. An diesem Tag unternimmt Davydov seine letzten Reisen von und nach Balashikha. Eine weitere Bestätigung dieser Reise finden Sie in einem Strafzettel (zugänglich über eine offene, staatliche russische Datenbank), der am 14. August 2019 um 16:44 Uhr für das Infiniti-Auto von „Davydov“ in Balashikha ausgestellt wurde.

Geschwindigkeitsrekord von der Straße von Balashikha nach Moskau am 14. August um 16:44 Uhr.

Zwei Morde in Istanbul
Obwohl die genaue Rolle von „Davydov“ bei der Ermordung Berlins noch nicht feststeht, besteht kaum ein Zweifel daran, dass er an der Planung beteiligt war und sich mehrfach mit Krasikov getroffen hat. Die Bewegungen seines Autos sind zwar nicht so präzise wie die Metadaten von Mobiltelefonen, zeigen jedoch, dass er regelmäßig Gebiete besuchte, in denen sich Einrichtungen der Vympel Foundation und Spetsnaz-Trainingsgelände befanden, in Balashikha und in der Nähe der Stadt Orekhovo-Zuyevo. Deutsche Ermittler haben auch Beweise gefunden, die in der Anklageschrift zitiert wurden, dass „Davydov“ zusammen mit einer anderen namenlosen Person ab dem 26. August 2019 (also nach dem Mord) ein Hotel in Chamonix in den französischen Alpen gebucht hat. Grenzüberschreitungsdaten zeigen jedoch, dass er nach seiner Rückkehr am 8. August nicht gereist ist, so dass diese Reise möglicherweise Teil einer abgebrochenen, nicht verwandten Operation war.

Eine noch direktere Auswirkung auf seine Rolle bei der Ermordung könnte ein weiterer Mord vor vier Jahren sein. Am 1. November 2015 sah Abdulvakhid Edilgeriev, der sein Auto vor seiner Wohnung in einem Vorort von Istanbul mit seiner jungen Nichte neben sich startete, ein weißes Auto auf sich zu rasen, sein Auto von hinten rammen und ihn einschließen. Edilgeriev schob seine Nichte zu der Boden kurz bevor einer der Attentäter durch das Autofenster schoss – und verfehlte. Edilgeriev konnte aus seinem Auto steigen und rannte, aber einer dieser Verfolger holte ihn ein und schoss ihm in den Rücken. Er wurde tot mit fünf Pistolenschüssen in seinem Körper und Messerwunden an seinem Hals gefunden.

Es gab einige Ähnlichkeiten und einige Unterschiede zwischen den beiden Zielen. Wie Khangoshvili hatte Edilgeriev an den tschetschenisch-russischen Kriegen teilgenommen und Angriffe auf russische Spetznaz-Streitkräfte gestartet, während er im Kaukasus versteckt war. Wie Khangoshvili hatte auch er einige Zeit in der Ukraine verbracht und sogar gegen die russische Stellvertreterarmee in Donbass gekämpft. Wie Khangoshvili stand auch sein Name auf einer Fahndungsliste von neunzehn ethnischen Tschetschenen, die der FSB 2012 mit deutschen Behörden geteilt hatte. Seitdem wurden mindestens fünf Namen von dieser schwarzen Liste ermordet, wobei Khangoshvili der neueste war.

Im Gegensatz zu Khangoshvili, einem tschetschenischen Nationalisten, war Edilgeriev ein radikalisierter Islamist geworden, eine Schlüsselfigur im Kaukasus-Emirat, und hatte sogar mit Al-Nusra / Al-Qaida-Streitkräften in Syrien gekämpft. Es wurde auch berichtet, dass er Site-Administrator einer islamistischen Website, dem Kavkaz Center, ist, die in Russland verboten ist.

Was auch immer die Motivation des russischen Staates für Edilgerievs Ermordung gewesen sein mag, es war nicht beiläufig geplant. Die türkische Polizei berichtete, dass mindestens drei Russen an dem Mord beteiligt waren. Das weiße Auto war 20 Tage vor der Ermordung von einem russischen Staatsbürger gemietet worden, der unter dem Namen Aleksandr Nasyrov reiste, der am 11. September 2015 in Istanbul angekommen war, und ein weiteres Auto gemietet hatte – beide wurden auf einem Parkplatz in der Stadt geparkt westliche Provinz Yalova. Er wohnte alleine in einem Hotel in Istanbul und reiste am 16. September 2015 nach Russland zurück.

Zwei weitere Russen, die als Aleksandr Smirnov und Yury Anisimov reisten, blieben vom 11. bis 13. September 2015 zur gleichen Zeit in Yalova. Von dort zogen sie nach Istanbul und übernachteten am 14. und 16. September 2015 in separaten Hotels im Touristenviertel. Die türkische Polizei hatte Überwachungskameras gefunden, aus denen hervorgeht, dass Nasyrov Smirnov und Anisimov in der Nähe ihrer Hotels getroffen hatte.

Keiner dieser Russen wurde zwei Wochen später nach dem Attentat festgenommen, und es wird angenommen, dass sie sich nur in der Türkei befanden, um sich auf die Mission vorzubereiten, während andere Aktivisten am 1. November den Treffer erzielten. Die beiden Russen Smirnov und Anisimov kehrten jedoch ein halbes Jahr später nach Istanbul zurück und wurden kurz nach ihrer Ankunft am 6. April 2016 festgenommen. Die türkische Polizei erklärte, sie sei zurückgekehrt, um ein weiteres Attentat zu planen. Nach der Entspannung in den Beziehungen zwischen Russland und der Türkei im Jahr 2017 wurden sie im November 2017 unter dem angeblichen Vorwand eines Austauschs zwischen zwei Führern der Krimtataren nach Russland entlassen.

Unter Verwendung der von den türkischen Behörden veröffentlichten Namen konnten wir in durchgesickerten Flugreisedatenbanken die Reiseroute der drei Russen in den Jahren 2014 und 2015 aufspüren. Wir stellten fest, dass alle drei unter Pässen gereist waren, die in einer fortlaufenden Anzahl von Nummern ausgestellt wurden. Ihre Reise in die Türkei im Oktober 2015 war nicht ihre erste gewesen. Alle drei waren zuvor am frühen Morgen des 10. Dezember 2014 nach Istanbul gereist – Smirnov und Anisimov auf einem gemeinsamen Flug und Nasyrov auf einem anderen Flug von einem anderen Moskauer Flughafen. Später an diesem Tag wurde ein usbekischer Geistlicher gegen die Regierung Usbekistans, Abdullah Bukhari, in den Rücken geschossen, als er versuchte, in die Madrassah einzutreten.

Überwachungskamera-Aufnahmen in dem Moment des Mordes an Abdullah Bukhari

Eine BBC-Untersuchung aus dem Jahr 2016 ergab, dass ein Veteran der türkischen Spezialkräfte dem Reporter Anfang 2014 mitgeteilt hatte, dass er von einem Mittelsmann angesprochen wurde, der sagte, er sei vom FSB ausgebildet worden und suche nach Auftragsmördern einer Liste von fünfzehn Personen wohnhaft in der Türkei, die der FSB tot sehen wollte. Das angebliche Budget pro Person betrug 300.000 US-Dollar, und der Usbeke Bukhari war zusammen mit tschetschenischen Namen auf der Liste. Obwohl es keinen direkten Zusammenhang zwischen den Aktivitäten von Buchari und den nationalen Interessen Russlands gibt, haben Sicherheitsexperten vermutet, dass dieser Mord Teil einer Tauschvereinbarung zwischen dem Kreml und Taschkent gewesen sein könnte.

Die glorreichen Sieben
Die Namen, die die drei Russen für ihre Istanbul-Reisen verwendeten, waren falsch.

Wie bei „Sokolov“ und „Davydov“ gibt es in Russland laut Hunderten von durchgesickerten historischen Datenbanken, die wir konsultiert haben, keine Personen mit diesen Namen und Geburtstagsdaten. Aufgrund der schlampigen Praktiken der russischen Sicherheitsdienste verwendeten wir ihre Passnummern als „Startwert“ für weitere Nachforschungen und konnten vier weitere Namen nicht existierender Personen finden – alle aus derselben Passcharge mit fortlaufenden Ziffern. Darüber hinaus waren sechs der sieben im Juli und August 2015 zusammen oder unmittelbar nacheinander nach Prag gereist, wobei die früheste Ankunft am 20. Juli und die späteste Abreise am 5. August 2015 erfolgte. Fünf von ihnen überlappten sich nur an einem Tag – 23. Juli 2015

Insbesondere eine der Personen auf dieser erweiterten Liste – und die erste der Gruppe, die am 20. Juli 2015 nach Prag reiste – hieß Roman Nikolaev, geboren am 22. Dezember 1980. Dieser Römer hatte einen anderen Nachnamen und ein anderes Geburtsdatum als „Roman Davydov ”. Sein Passfoto war jedoch das gleiche wie das in den Visa-Dokumenten von „Davydov“. Aufgrund des partiellen Charakters der durchgesickerten Reisedatenbanken haben wir noch nicht festgestellt, ob Roman Nikolaev, a.k.a Davydov, später in diesem Jahr nach Istanbul gereist ist.

Mindestens eine weitere Person aus der Liste der sieben Undercover-Agenten war ebenfalls mit Khangoshvilis Ermordung verbunden. Krasikovs Telefonaufzeichnungen zeigen, dass der 1970 geborene „Andrey Mitrakov“ in den Monaten vor seiner Reise nach Berlin einer der häufigsten Anrufer von Krasikovs Telefonnummer war.

Mindestens zwei der Mitglieder der sieben fiktiven Personen des FSB reisten auch innerhalb Russlands unter ihrer Deckungsidentität – mit Reisen auf die Krim in den Jahren 2014 und 2015. Die für die Deckungsidentität dieser beiden Mitarbeiter verwendeten Passnummern stammen ebenfalls aus einer Folge Serie – und es gehört zu derselben Charge, aus der Col. Igor Egorov, ein hochrangiges Mitglied des Vympel Spetsnaz-Teams, unter der gefälschten Identität von „Igor Semenov“ reiste. Oberst Egorov, der an der Verschwörung des Mordes an einer in der Ukraine lebenden tschetschenischen Opposition beteiligt war, reist häufig nach Deutschland und war im Juli 2019, einen Monat vor dem Mord an Kleiner Tiergarten, in Deutschland. Es ist nicht bekannt, ob Egorov selbst eine Rolle bei der Vorbereitung von Khangoshvilis Ermordung gespielt hat.

Diese Passsequenz-Verknüpfung zwischen FSB-Oberst Egorov und Mitgliedern der „Prächtigen Sieben“, von denen mindestens zwei in direktem Zusammenhang mit dem Berliner Mord standen, ist ein weiterer Beweis für die Verbindung des FSB mit Khangovshvilis Ermordung.

 

Die roten Heringe

Eine weitere Parallele zwischen dem Attentat auf Berlin und dem Hit Job in Istanbul 2015 ist zu ziehen. In beiden Fällen schien es jeweils falsche Informationslecks über die inhaftierten Verdächtigen zu geben, die sowohl die Ermittler als auch die Öffentlichkeit von den russischen Sicherheitsdiensten ablenkten und dem organisierten Verbrechen näher kamen. Das russische Interesse an einer solchen Täuschung war offensichtlich, da politische Auswirkungen bei kriminellen Attentaten beseitigt oder minimiert werden können.

Kurz nach der Verhaftung von „Aleksandr Smirnov“ und „Yury Anisimov“ im April 2016 und nach den kurzzeitig schlechten Beziehungen zu Russland nach dem Abschuss des russischen Kampfflugzeugs führte die Türkei die Fotos der „russischen Spione“ in den lokalen Medien vor Staatsanwälte beantragten eine 37-jährige Haftstrafe für ihr Verbrechen.

“Smirnov” und “Anisimov”, Bildschirmaufnahmen von Überwachungskameras, die türkische Staatsanwälte den Medien zur Verfügung gestellt haben

А Der russische Mediensender Rosbalt, der für seine hervorragenden Quellen innerhalb des FSB bekannt ist, identifizierte Aleksandr Smirnov schnell als gültigen Lurakhmaev, einen berüchtigten tschetschenischen Verbrecher, der von mehreren Ländern, technisch gesehen bis heute, von Russland gesucht wurde. In der Tat hat das Foto von “Smirnov” eine sichtbare Ähnlichkeit mit dem Foto von Lurakhmaev, das auf der roten Interpol-Bekanntmachungsliste steht.

Die Erzählung, dass der Istanbuler Attentäter eine tschetschenische Kriminelle und kein russischer Spion ist, wurde nicht nur von den globalen Medien, sondern auch von ausländischen Regierungen zur anerkannten Wahrheit. Frankreich forderte die Türkei auf, Zugang zu „Validol“ zu erhalten, wie Lurakhnaev weithin bekannt war Verhör im Zusammenhang mit dem Giftpflanzenmord an dem russischen Emigranten und Whistleblower Alexander Pereplichny im Jahr 2012.

Unsere Untersuchung hat jedoch gezeigt, dass Lurakhmaev und „Aleksandr Smirnov“ nicht dieselbe Person sind. Neben dem Neunjahresunterschied zwischen Lurakhmaev und „Smirnov“, der für eine glaubwürdige „Deckungsidentität“ zu groß ist, zeigt ein Gesichtsvergleich mit dem Azure-Tool zur Gesichtsüberprüfung von Microsoft, dass es sich um unterschiedliche Personen handelt.

Ein Kontrollvergleich, der zwischen dem Bild von „Smirnov“ von diesem Bildschirmausschnitt der Flughafenkamera und einem anderen Bild desselben Russen zum Zeitpunkt seines Austauschs im Jahr 2017 durchgeführt wurde, zeigt, dass die Schlussfolgerung der Nichtübereinstimmung robust war und nicht das Ergebnis des Besonderen war Winkel des Flughafenfotos.

Zufällig oder nicht, nach der Verhaftung von „Vadim Sokolov“ in Berlin und unserer ersten Veröffentlichung mit Links zu russischen Sicherheitsdiensten erhielten Bellingcat und andere internationale Medien einen anonymen „Tipp“, in dem Insiderwissen behauptet wurde, der Attentäter sei ein ehemaliger Polizist auf niedriger Ebene der vor über zehn Jahren wegen Unterstützung eines Auftragsmordes inhaftiert worden war. Während Bellingcat und unsere Partner diese Behauptung nicht veröffentlichten – und durch einen ähnlichen Gesichtsvergleich feststellen konnten, dass der Berliner Mörder nicht dieselbe Person ist, führte die falsche Absicht – absichtlich oder nicht – erneut zu Veröffentlichungen, die den Berliner Mörder falsch identifizierten.

 

Relevanz der Befunde

Die neuen Erkenntnisse sind in mehrfacher Hinsicht wichtig. Erstens bestätigen sie erwartungsgemäß die Beteiligung von mehr als einer Person an dem Attentat. Wenn die Istanbul-Erfahrung ein Hinweis auf einen Modus Operandi ist, ist zu erwarten, dass ein Team von mindestens 5 Personen, die nach einem gestaffelten Zeitplan reisen, an der Planung beteiligt war. Diese gestaffelte Methode würde auch mit der Vorgehensweise von Mordteams der russischen GRU übereinstimmen.

Zweitens bestätigen die Ergebnisse die direkte Verbindung zwischen dem „Kill Team“ und dem FSB. Während wir in früheren Untersuchungen die Hypothese der Nichteinbeziehung des FSB als unplausibel eingeschätzt hatten, entfernen die Verwendung derselben Passserie für bestätigte hochrangige FSB-Beamte wie Oberst Igor Egorov und Mitglieder der „Magnificent Seven“ alle verbleibenden Zweifel.

Die Ergebnisse deuten auch auf ein wahrscheinliches strategisches Durchsickern falscher und irreführender „Tipps“ zur Identität gefangener Undercover-Mitarbeiter hin, um die Aufmerksamkeit der Sicherheitsdienste abzulenken. Internationale Medienoperationen sind ein Ziel solcher gezielten falschen Lecks, aber Strafverfolgungsbeamte werden wahrscheinlich auch gezielt angegriffen.

Schließlich haben unsere Ergebnisse wichtige Auswirkungen auf die strukturellen Schwachstellen des europäischen Visumausstellungssystems. Zuvor haben wir über den Missbrauch der Möglichkeit, unter gefälschten Identitäten durch Europa zu reisen, durch russische Geheimdienste – sowie durch das organisierte Verbrechen – berichtet, da auf „offizielle Dokumente“ von russischen Unternehmen oder Behörden zurückgegriffen wurde und diese weiterhin akzeptiert werden nicht biometrische Pässe. In diesem Bericht wird jedoch zum ersten Mal die Verwendung von zwei verschiedenen gefälschten Identitäten durch dieselbe Person identifiziert: „Roman Davydov“ und „Roman Nikolaev“, die zu unterschiedlichen Zeitpunkten geboren wurden. Beide Personen konnten Schengen-Visa erhalten, obwohl zumindest theoretisch die bei der Beantragung von Visa erhaltenen biometrischen Daten solche Vorfälle unmöglich gemacht haben sollten.

Wer ist Dmitry Badin, der von Deutschland angeklagte GRU-Hacker wegen der Bundestags-Hacks?

Am 5. Mai 2020 berichteten deutsche Medien, dass die deutsche Bundesanwaltschaft einen Haftbefehl gegen den russischen Staatsbürger Dmitry Badin erlassen hat, den Hauptverdächtigen beim Hacking des Deutschen Bundestages im Jahr 2015.

Was war der Bundestags-Hack 2015?
Im April 2015 erhielten Abgeordnete des Deutschen Bundestages sowie Mitglieder des Merkel-Bundestags eine E-Mail, die angeblich von den Vereinten Nationen stammte und auf dem sichtbaren Domainnamen „@ un.org“ beruhte. Die Mail trug den Titel „Der Ukraine-Konflikt mit Russland lässt die Wirtschaft in Trümmern liegen“. Die E-Mail enthielt schädlichen ausführbaren Code, der sich selbst auf dem Computer des Opfers installiert hatte.

In den nächsten Wochen hatte die schädliche Software, die Passwörter zu stehlen schien und sich über die lokalen Netzwerke verbreitete, die gesamte IT-Infrastruktur des Bundestages übernommen und den Zugriff auf ihre Onlinedienste und die externe Website unzugänglich gemacht. Im Hintergrund zeigten Protokolle später, dass über 16 Gigabyte Daten von einem Hacker aus dem Ausland aufgesaugt wurden. Dazu gehörten komplette Postfächer deutscher Parlamentarier. Medienberichten zufolge wurde auch das Parlamentsbüro von Angela Merkel verletzt.

Wer ist Dmitry Badin?
Deutsche Medien berichten, dass die Bundespolizei die Phishing-Kampagne 2015 und den anschließenden Datendiebstahl mit Dmitry Badin verknüpfen konnte, einem mutmaßlichen Mitglied der Elite-Hacking-Einheit 26165 der GRU, die unter Cyber-Sicherheitsanalysten besser als APT28 bekannt ist. Die Verknüpfung der Operationen mit ihm wurde Berichten zufolge auf der Grundlage von Protokollanalysen und „Informationen von Partnerdiensten“ hergestellt. Es wurden jedoch noch keine konkreten Beweise dafür veröffentlicht, wie die Zuschreibung vorgenommen wurde.

Dmitry Badin war bereits auf der Fahndungsliste des FBI wegen seiner angeblichen Beteiligung an mehreren Hacking-Operationen, die der APT28-Einheit der GRU zugeschrieben wurden. Zu diesen Operationen gehörten der Hack der Anti-Doping-Organisation WADA während der Untersuchung eines Doping-Verwaltungsprogramms sowie der DNC-Hack am Vorabend der US-Präsidentschaftswahlen.

Validierung der Verknüpfung von Dmitry Badin mit der GRU
In FBI-Dokumenten wird Dmitry Badin kurz als “angeblich ein russischer Geheimdienstoffizier der Einheit 26165” beschrieben, der am 15. November 1990 in Kursk geboren wurde. Sein Passfoto wurde als Teil seines Fahndungspakets veröffentlicht.

Basierend auf der Analyse von Daten aus hauptsächlich offenen Quellen können wir bestätigen, dass Dmitry Badin, geboren am 15. November 1990, tatsächlich für die GRU-Einheit 26165 arbeitet.

Using Russian social-media reverse-image search application FindClone, we found Dmitry Badin’s photographs in his wife’s VK account. We then re-validated that this is the same person by comparing the two photos in Microsoft Azure’s Face Verification tool

A search for Badin’s full name and birth date in previously leaked Moscow car registration databases provided a match: Dmitry Sergeevich Badin, born on 15 November 1990, purchased a KIA PS car in June 2018. The car registration included the owner’s passport number and place of issue (St. Petersburg), as well as his registered address. Badin’s registered address, as of 1 June 2018, was Komsomolsky Prospect 20.

 

 

Dies ist die Adresse der GRU-Militäreinheit 26165, wie aus öffentlich zugänglichen russischen Unternehmensregistern hervorgeht. Die Einheit 26165 ist auch als 85. Hauptzentrum der GRU bekannt und auf Kryptographie spezialisiert. Das Zentrum erlangte erstmals 2017 öffentliche Bekanntheit, als unser russischer Ermittlungspartner The Insider entdeckte, dass ein Beamter dieser Einheit versehentlich seine persönlichen Metadaten in einem Dokument hinterlassen hatte, das im Rahmen der sogenannten Macron Leaks durchgesickert war.

Wir haben zuvor einen Verstoß gegen die Betriebssicherheit des russischen Militärgeheimdienstes festgestellt, der die Identifizierung von mindestens 305 Offizieren ermöglichte, deren Autos unter derselben Adresse registriert waren. Dmitry Badin war nicht auf der Liste der 305 Offiziere, die wir damals identifiziert hatten, da er sein Auto gekauft hatte, nachdem die von uns im Oktober 2018 konsultierte Datenbank für die Fahrzeugregistrierung öffentlich durchgesickert war.

Scaramouche, Scaramoush!
Derzeit wissen wir nicht, wie deutsche Ermittler Dmitry Badin mit dem Bundestags-Hack in Verbindung bringen konnten. Open-Source-Beweise, die wir entdeckt haben, können jedoch auf seine Rolle bei viel mehr als den drei Hacking-Operationen hinweisen, mit denen sein Name in Verbindung gebracht wurde.

Unter Verwendung des Kennzeichens von Badins Auto durchsuchten wir eine durchgesickerte Moskauer Parkdatenbank und stellten fest, dass er sein Auto häufig in der Nähe des Schlafsaals der russischen Militärakademie in Bolshaya Pirogovskaya 51 abstellte. Die Parkprotokolle enthielten auch zwei Telefonnummern, für die er verwendet hatte mobile Zahlungen für seine Parksitzungen. Wir haben diese beiden Nummern dann in verschiedenen Telefon-Messenger- und Reverse-Search-Telefondatenbanken nachgeschlagen.

 

Eine der Zahlen erschien in der Viber-Messenger-App unter dem offensichtlich angenommenen Namen Gregor Eisenhorn, einem Charakter aus dem Fantasy-Spiel Warhammer 40.000.

Die andere Nummer erschien in zwei verschiedenen Apps zum Nachschlagen von Telefonnummern, sowohl unter seinem richtigen Namen als auch unter seinem späteren Lieblingsalias: „Nicola Tesla“.

Wir haben dann überprüft, ob diese Nummer mit einem Social-Media-Konto in Russland verknüpft ist, und festgestellt, dass sie mit einem jetzt gelöschten Konto auf VKontakte (VK) verbunden ist. Beim Durchsuchen archivierter Kopien dieses Kontos stellten wir fest, dass es ab 2016 unter dem Namen Dmitry Makarov verwendet wurde. Noch früher hatte es jedoch den Namen Nicola Tesla und auch den Benutzernamen „Scaramouche“ getragen.

Daten aus einer archivierten Kopie des inzwischen aufgelösten VK-Kontos mit zwei verknüpften Nummern, einschließlich einer Kursk-Festnetznummer

Während dieser Zeit – die wir nicht genau aus der archivierten Kopie datieren konnten – war der Benutzer des VK-Kontos in Kursk ansässig, wo Dmitry Badin geboren wurde und wo er aufwuchs, bevor er nach St. Petersburg zog. Seine Petersburger Periode, die sowohl vom Ausstellungsort seines Passes als auch von Fotos auf dem VK-Konto seiner Frau vor 2014 bestimmt werden kann, hängt wahrscheinlich mit seinem Universitätsstudium zusammen. Unsere früheren Untersuchungen an Mitgliedern des GRU-Hacking-Teams haben ergeben, dass eine große Anzahl der Hacker ihren Abschluss an den Informatikuniversitäten in St. Petersburg gemacht hat.

Wir haben auch herausgefunden, dass Badins Handynummer mit einem Skype-Konto verknüpft ist, das wie sein inzwischen aufgelöstes VK-Konto den Namen “Nicola Tesla” trägt, aber den Benutzernamen Scaramoush777 verwendet.

Scaramouche, vom italienischen Wort Scaramuccia, wörtlich „kleiner Scharmützler“, ist der übliche böse Clown aus der Commedia dell’arte aus dem 16. Jahrhundert. Das Wort ist wahrscheinlich besser bekannt aus dem bekannten Rezitativ aus Queen’s Bohemian Rhapsody. Für Cyber-Sicherheitsforscher, die Hacking-Operationen von staatlichen Akteuren untersuchen, ist dieses Wort jedoch mit einer zusätzlichen Nutzlast verbunden.

Im März 2017 veröffentlichte die Abteilung für Cyber-Bedrohungen des Cyber-Sicherheitsunternehmens SecureWorks (c) ein eigenes Whitepaper zur Zuschreibung, in dem die Schlussfolgerungen begründet wurden, dass die Hacking-Exploits von APT28 (auf die SecureWorks mit seinem eigenen Codenamen „Iron Twilight“ verweist) a staatlich geförderte Operation, die höchstwahrscheinlich mit dem militärischen Geheimdienst Russlands zusammenhängt. In seinem Bericht listet SecureWorks sowohl die Ziele auf, bei denen APT28 als angegriffen identifiziert wurde, als auch den von dieser schattigen Hacker-Gruppe verwendeten Tool-Set.

Das Endpunkt-Kit, mit dem APT28 Screenshots durchführt und die Anmeldeinformationen der Ziele stiehlt, heißt Scaramouche. Diese spezielle Malware erhielt ihren Namen von der SecureWorks Cyber ​​Threats Unit, die sie nach ihren eigenen Worten “nach dem Scaramouche-Benutzernamen im PDB-Pfad beider Tools” benannte.

Angesichts der Tatsache, dass Dmitry Badin den Scaramouche-Benutzernamen verwendet hat – nach allen Beweisen zu urteilen -, bevor er der GRU beigetreten ist, ist es unwahrscheinlich, dass er einen bereits vorhandenen Benutzernamen für seine VK- und Skype-Konten usurpiert hat. Dies ist klar, wenn man sich auf ein Team von GRU-Codierern namens „Scaramouche“ stützt. Viel plausibler war der von der CTU entdeckte Benutzername “scaramouche” nämlich Badins eigener Benutzername. Dies würde wiederum bedeuten, dass das von Dmitry Badin geschriebene Endpoint-Kit ein entscheidender Bestandteil der Malware war, die in allen Hacks verwendet wurde, die auf APT28 zurückzuführen sind. von Angriffen auf russische Oppositionelle und Journalisten bis hin zu westlichen Medienorganisationen (einschließlich Bellingcat), dem Untersuchungsteam MH17, dem Deutschen Bundestag und der DNC.

Es wäre klug zu fragen: Ist es plausibel, dass ein so produktiver und versierter Hacker solche Spuren hinterlässt, die ihn leicht in die serielle Cyberkriminalität verwickeln würden? Es ist nicht so schwer zu glauben, da GRU-Hacker nicht in der Lage sind, ihre eigenen Spuren zu verwischen. Badins Kollegen, die beim Versuch erwischt wurden, das Labor der OPCW in Den Haag zu hacken, führten Taxibelege weiter, auf denen explizit eine Route vom GRU-Hauptquartier zum Flughafen angegeben war. Wir konnten 305 von ihnen leicht anhand der Adresse identifizieren, unter der sie ihre Autos registriert hatten, ganz zu schweigen davon, dass Badin selbst sein Fahrzeug an der offiziellen Adresse seiner GRU-Einheit registriert hatte.

Das surrealste Fehlen von „Practice-What-You-Breach“ unter GRU-Hackern könnte in ihrer mangelnden Einstellung zu ihrem eigenen Cyber-Schutz sichtbar werden. Im Jahr 2018 wurde eine große Sammlung gehackter russischer E-Mail-Konten, einschließlich Benutzername und Passwörter, online gestellt. Dmitry Badins E-Mail, die wir aus seinem Skype-Konto herausgefunden haben, das wir wiederum von seiner Telefonnummer erhalten haben, die wir natürlich aus seiner Autokennzeichnung erhalten haben, war gehackt worden. Er hatte anscheinend das Passwort Badin1990 benutzt. Danach wurden seine E-Mail-Anmeldeinformationen im Rahmen eines größeren Hacks erneut durchgesickert, wobei wir sehen, dass er sein Passwort von Badin1990 in das viel sicherere Badin990 geändert hatte.

Der meistgesuchte Mann der Welt Jan Marsalek In Weißrussland/Russland – Datenpunkte zu russischen Intel-Links

Es ist davon auszugehen, dass Jan Marsalek derzeit einer der am meisten gejagten Menschen der Welt ist. Das Unternehmen, das er operativ beaufsichtigte, die deutsche Wirecard, brach letzten Monat über Nacht zusammen, nachdem die Wirtschaftsprüfer auf eine Lücke von fast 2 Milliarden Euro in ihrer Bilanz aufmerksam gemacht hatten. Das Loch war das Ergebnis der Erkenntnis, dass Bargeld in gleicher Höhe – von dem angenommen wurde, dass es auf Bankkonten von Drittanbietern in Ostasien – einem Codierungs- und Verarbeitungszentrum für Wirecard – tatsächlich nicht vorhanden war. Der 40-jährige österreichische Staatsbürger Jan Marsalek, seit 2010 COO von Wirecard, war für die asiatischen Aktivitäten des Unternehmens verantwortlich. Am 18. Juni 2020 wurde das Managementteam – einschließlich Jan Marsalek – entlassen. Er sagte seinen Kollegen, dass er auf die Philippinen gehen würde, um die fehlenden Milliarden zu jagen und zu finden, um seine Unschuld zu beweisen. Später an diesem Tag wurde er ebenfalls vermisst. Während Flugbuchungen und Einwanderungsunterlagen zeigten, dass er am 23. Juni nach Manila gereist war und weiter nach China gereist war, ergab eine Untersuchung der philippinischen Behörden, dass die Reise ein roter Hering gewesen war und Einwanderungsunterlagen in seinem Namen gefälscht worden waren . Seitdem wird Jan Marsalek von deutschen und österreichischen Behörden wegen Betrugs und Unterschlagung gesucht.

Bellingcat hat nun in Zusammenarbeit mit seinen Ermittlungspartnern Der Spiegel und The Insider den Ort festgelegt, an den Marsalek wenige Stunden nach seiner Entlassung geflohen ist – die Hauptstadt von Belarus, Minsk. Darüber hinaus deuten die vom russischen FSB geführten russischen Einwanderungsunterlagen und Daten darauf hin, dass der russische Sicherheitsdienst ein langjähriges Interesse an Marsalek hatte, der eine Reihe verschiedener Pässe – darunter einen Diplomatenpass aus einem Drittland – verwendete, um Russland Dutzende Male in der EU zu besuchen letzten 15 Jahre. Zumindest einmal – im Jahr 2017 – dürften die russischen Sicherheitsdienste eine lange Interaktion mit Marsalek in Moskau gehabt haben.

Was bisher bekannt ist:

Am 25. Juni 2020 meldete der deutsche Fin-Tech-Riese Wirecard Insolvenz an, nachdem in seinen Bilanzen ein Loch in Höhe von 2 Milliarden US-Dollar aufgedeckt worden war. Die Enthüllung führte zur Verhaftung und Anklage des CEO des Unternehmens, Dr. Markus Braun, wegen falscher Buchführung und Marktmanipulation. Der Niedergang von Wirecard ist auf eine Ermittlungsreihe in der Financial Times zurückzuführen, in der der spektakuläre Aufstieg des Unternehmens in Frage gestellt und auf Unregelmäßigkeiten in Bezug auf Rechnungslegung und Geschäftstätigkeit in Asien hingewiesen wurde. Wirecards Stellvertreter, der COO Jan Marsalek, der für seine Präsenz in Asien verantwortlich ist, war nirgends zu finden. Ein internationaler Haftbefehl wurde gegen ihn erlassen, aber wie FT berichtete, können die Gründe für die Vermeidung der Festnahme weit über den Buchhaltungsskandal hinausgehen.
Jan Marsalek ist jetzt eine Person von Interesse für drei westliche Geheimdienste, weil er den Verdacht hat, Verbindungen zum russischen Geheimdienst zu haben.
Seit 2015 verfolgt er Projekte in Libyen – einschließlich Investitionen in die Libya Cement Company – und hat mit russischen Beratern und europäischen Beamten Pläne für den „humanitären Wiederaufbau in Libyen“ erörtert, die von Beobachtern als Plan zur Errichtung einer Söldnertruppe angesehen werden Schutz der kommerziellen Interessen im kriegsgetriebenen Land. Marsaleks Berater bei der libyschen Initiative war der Russe Andrey Chuprygin – ein russischer Experte aus der arabischen Welt, von dem westliche Geheimdienste glauben, er sei ein ehemaliger leitender Offizier der GRU, der enge Beziehungen zur Geheimdienstgemeinschaft unterhält.
Marsalek arbeitete mit der Österreichisch-Russischen Freundschaftsgesellschaft zusammen. Die Organisation erhielt Verschlusssachen von Marsalek, die offenbar vom österreichischen Innenministerium und Sicherheitsdienst BVT erhalten wurden. Er gab auch Verschlusssachen weiter und beriet die rechtsextreme populistische Partei des Landes, die FPÖ, geopolitisch.
Im Jahr 2017 soll Jan Marsalek in einem privaten Treffen über eine Reise gerühmt haben, die er kurz nach seiner Rückeroberung durch ISIS als Gast des russischen Militärs zu den Ruinen von Palmyra in Syrien unternommen hatte. Im Jahr 2018 veröffentlichte er den Geschäftspartnern in London vier hochsensible, klassifizierte Berichte der Organisation für das Verbot chemischer Waffen nach der Vergiftung durch Skripals in Salisbury. Er behauptete auch, die vollständige Formel von Novichok zu haben, dem militärischen Gift, das von der GRU im Fall Skripals verwendet wurde.

Mit Liebe nach Russland
Nach Einwanderungsdaten von Bellingcat war Marsalek ein häufiger Besucher Russlands mit über 60 Reisen in das Land in den letzten 10 Jahren. Sein Einwanderungsdossier umfasst 597 Seiten, viel mehr als jede Ausländerakte, auf die wir in mehr als fünf Jahren Ermittlungen gestoßen sind.

Seine erste Reise war im Jahr 2004, aber nach einer sechsjährigen Pause besuchte er das Land 2010 wieder, als er Mitglied der Geschäftsleitung von Wirecard wurde. Seine Reisen beschleunigten sich 2014, als er zehnmal nach Moskau reiste und normalerweise innerhalb eines Tages ein- und ausflog. Im nächsten Jahr reiste er sieben Mal und blieb in der Regel weniger als 24 Stunden in Moskau, mit Ausnahme eines einwöchigen Besuchs in Kasan, der Hauptstadt der Republik Tatarstan, im Februar 2015.

2016 nahmen Marsaleks Reisen nach Russland mit insgesamt 16 Flügen zu. Im Gegensatz zu früheren Jahren, als er kommerzielle Flüge nutzte, flog er 2016 und später mit gecharterten Business-Jets. Die Ziele waren ebenfalls abwechslungsreich; mit Flügen direkt von verschiedenen europäischen und asiatischen Hauptstädten nach St. Petersburg, Nischni Nowgorod und erneut nach Kasan. Seine längste Reise im Jahr 2016 dauerte 3 Tage, die kürzeste war ein Tagesausflug. Eine besondere Reise zeichnet sich durch eine partyähnliche Country-Hopping-Natur aus: Am 29. September 2016 flog Marsalek um 01:55 Uhr von München nach Moskau, um am selben Morgen um 7:58 Uhr nach Athen zu fliegen. Am nächsten Tag flog er von Griechenland zurück – diesmal nach St. Petersburg, wo er nur fünfeinhalb Stunden blieb, bevor er nach Griechenland zurückkehrte – aber diesmal auf die Ferieninsel Santorini. Während dieses Windwirbels wechselte er drei verschiedene Privatjets.


Der Reiseplan 2016 von Marsalek zeigt ein fast monatliches Besuchsmuster. normalerweise an Wochentagen und normalerweise sehr kurz.

Was auch immer Marsalek in den Jahren 2015 und 2016 nach Russland gebracht hat, muss ihn 2017 eingeholt haben. Nach vier Reisen zu Beginn des Jahres – wie üblich jeweils nicht länger als ein oder zwei Tage – flog der COO von Wirecard am 9. von München nach Moskau zurück September 2017, aber erst eine Woche später verlassen. Tatsächlich durfte er nicht gehen, selbst wenn er es versuchte: Einwanderungsberichte zeigen, dass am Morgen des 15. September um 8:05 Uhr sein Versuch, das Land mit einem privaten Geschäftsjet zu verlassen, vom Grenzdienst des FSB abgelehnt wurde. Es ist nicht klar, was die Inhaftierung verursacht hat, aber es scheint, dass sein ursprünglich gebuchter Jet ohne Marsalek losgelassen werden musste.

Immerhin verließ Marsalek an diesem Nachmittag um 17:35 Uhr Russland mit einem anderen Privatjet. Dies war das letzte Mal, dass Wirecards Chef Russland besuchte. Oder zumindest das letzte Mal mit seinem österreichischen Pass.

Der Mann mit den vielen Gesichtern und Pässen

Das russische Einwanderungsdossier von Jan Marsalek ist das ungewöhnlichste, das wir geprüft haben, und nicht nur, weil es sich über Hunderte von Seiten erstreckt. Es enthält auch eine ungewöhnliche Reihe verschiedener Pässe, die alle an dieselbe Person und an ihre Besuche in Russland gebunden sind.

Marsalek reiste mit 6 verschiedenen österreichischen Pässen nach Russland – nicht ungewöhnlich angesichts der Zeitspanne und der Tatsache, dass Österreich den Besitz mehrerer Pässe erlaubt und gleichzeitig die doppelte Staatsbürgerschaft verbietet. Zusätzlich zu den Pässen seines Heimatlandes scheint er jedoch auch andere, weniger offensichtliche Ausweisdokumente eingeflogen zu haben. Insbesondere wurden alle seine Reisen im Rahmen dieser anderen Dokumente aus der grenzüberschreitenden Datenbank gelöscht, die sich von der Datenbank für Migrationsdossiers unterscheidet.

 

Drei Passfotos aus Marsaleks österreichischen Pässen

Beispielsweise enthält die Migrationsdatei von Marsalek Verweise auf weitere 3 Pässe, die in seinem Namen von einem nicht genannten Land ausgestellt wurden und deren Nummern nicht in der Grenzübergangsdatenbank aufgeführt sind. Die Nummern stimmen auch nicht mit den österreichischen Passnummerierungskonventionen überein (sie enthalten nur Nummern, während österreichische Passnummern mit einem Buchstaben beginnen).

Noch mysteriöser ist seine Verwendung eines Diplomatenpasses, der wiederum von einem namenlosen Staat ausgestellt wurde. Dieser Diplomatenpass – mit der Nummer DA0000051 – wird in der Migrationsdatei als „Diplomatenpass für Nichtstaatsangehörige“ bezeichnet. Nur wenige Länder – und kein europäischer Staat – stellen Nichtbürgern Diplomatenpässe aus. In den wenigen Ländern, in denen dies praktiziert wird, können solche Pässe legal an die Honorarkonsuln dieses Landes ausgestellt oder illegal verkauft werden. Die Nummerierung dieses speziellen Passes impliziert auch einen relativ kleinen Pool von Diplomaten.

Insbesondere in einem Chat-Austausch mit einem Ex-Kollegen einige Tage nach seinem Verschwinden, wie vom Handelsblatt berichtet, machte Marsalek einen undurchsichtigen Hinweis darauf, möglicherweise ein Honorarkonsul zu sein. Es wurde auch berichtet, dass er sich damit rühmte, “Pässe aus mehreren Ländern” zu haben.

Ein harter Beweis dafür, dass die Grenzübergangsdaten für Marsalek bei weitem nicht vollständig sind, ist der Verweis in der Migrationsakte auf den Diplomatenpass. Das Ausstellungsdatum dieses Passes ist der 20.12.2018 mit einer Gültigkeit von fünf Jahren. Dieses Startdatum liegt nach einer der im Grenzregister aufgeführten Reisen.

Eine Person von Interesse für FSB

Eine dritte Datenbank, die wir konsultiert haben, zeigt Spuren von besonderem Interesse, die Russlands wichtigste Sicherheitsagentur FSB in den Bewegungen von Jan Marsalek gezeigt hat. Dies ist eine interne FSB-Datenbank, die zur Verfolgung von Personen von Interesse verwendet wird, hauptsächlich zu Strafverfolgungszwecken. Es enthält grundlegende Daten wie Autobesitz, Wohnadressen, Passnummern und Reisedaten.

In der Regel landet jeder Ausländer, der nach Russland reist, in dieser Datenbank, jedoch lediglich mit einer Liste der Reisen nach Russland – einschließlich Herkunft und Ziel, Ankunfts- / Abflugzeiten, Flug- und Passnummern. Im Fall von Marsalek werden diese Daten um eine Reihe von Flügen erweitert, die keinen Einfluss auf Russland haben. Tatsächlich hat der FSB ab 2015 offenbar alle internationalen Reisen von Jan Marsalek überwacht und in einer durchsuchbaren Datenbank zusammengefasst (abzüglich seiner Intra-EU-Reisen, die plausibel entweder für den FSB unerreichbar waren oder zu viele, um den Überblick zu behalten).

Die überwachten Reisen umfassten häufige Flüge nach Singapur (einer der asiatischen Hubs von Wirecard befand sich im Stadtstaat), Istanbul (möglicherweise als Transit-Hub) und Dubai – einem weiteren Business-Operations-Hub für Wirecard.

 

Jan Marsaleks bekannte internationale Reisen, zusammengestellt aus dem FSB und den grenzüberschreitenden Datenbanken

Die Motivation für das Interesse des FSB an Marsaleks Weltenbummel ist unklar. Es begann im Jahr 2015, als sich seine Reisen nach Russland beschleunigten. Dies könnte darauf hindeuten, dass entweder eine Arbeitsbeziehung begann – und er wurde überwacht; oder dass er als potenzieller Rekrut verfolgt wurde. Im letzteren Szenario könnte seine offensichtliche Inhaftierung am Moskauer Flughafen im September 2017 ein Wendepunkt gewesen sein, an dem er möglicherweise durch Kompromittierung von Material oder Anreize zur Zusammenarbeit erpresst wurde. Eine dritte Erklärung für die Überwachung könnte die bereits bestehende Zusammenarbeit zwischen ihm und einer konkurrierenden Sicherheitsbehörde – wie der GRU – sein, an deren internationalen Aktivitäten der FSB möglicherweise interessiert war.

Was auch immer die Motivation sein mag, es ist offensichtlich, dass Marsalek für den FSB mehr als ein normaler Geschäfts- und Gelegenheitsbesucher war. Bisher haben wir in dieser Datenbank nur in einem anderen Fall eine weltweite Überwachung von Ausländern gesehen – der eines Geldgebers des britischen Brexit-Referendums im Jahr 2016.

Insbesondere haben die FSB-Daten Ende 2018 aufgehört, die Bewegungen von Marsalek zu verfolgen.

“Weißrussland – leicht zu lieben”
Am 18. Juni 2020 stellte Jan Marsalek fest, dass er „bis zum 30. Juni 2020 auf widerruflicher Basis außerordentlich vom Vorstand von Wirecard suspendiert wurde“. Vier Tage später wurde er unwiderruflich entlassen und als offizieller Verdächtiger mit Haftbefehl der deutschen Bundespolizei benannt.

Marsalek wartete jedoch nicht darauf, verhaftet zu werden. Als er von seiner Suspendierung erfuhr, verschwand er vom Erdboden und hinterließ eine Reihe falscher Hinweise und Hinweise darauf, ob er sich möglicherweise versteckt. Er kaufte Flugtickets und ließ jemanden auf den Philippinen Einwanderungsunterlagen fälschen, um Ermittler, die er in Asien war, in die Irre zu führen. In verschiedenen Chats mit Freunden und ehemaligen Kollegen nach dem Verschwinden spielte er an, dass er sich in einer ostasiatischen Zeitzone befindet oder auf einer sonnigen Insel Cocktails trinkt. Es war jedoch eine Antwort auf eine unerwartete Frage, die uns zu seinem tatsächlichen Ziel führte – und zu seinem wahrscheinlichen Aufenthaltsort heute. In einem vom Handelsblatt berichteten Gespräch mit einem ehemaligen Kollegen wurde er mitfühlend gefragt, ob er sich in einem „politisch stabilen Umfeld“ befinde. Marsalek lachte diese Frage aus und sagte: “Keine Sorge, die gleichen Leute sind seit 25 Jahren an der Macht.”

Nur wenige Gerichtsbarkeiten auf der ganzen Welt können sich dieser Stabilität rühmen. (Russland gehört nicht dazu, da Wladimir Putin im Jahr 2000 an die Macht kam, d. H. 5 Jahre vor seiner Beschreibung). Und während viele eilten, um seine Spuren in afrikanischen, lateinamerikanischen oder asiatischen Regimen mit Langlebigkeit zu suchen, erinnerten wir uns an eine Bastion der Stabilität, die Jan Marsaleks Heimat viel näher ist. In Belarus – nur eine Flugstunde von Deutschland entfernt – ist derselbe Präsident, Aleksander Lukaschenka, seit 25 Jahren an der Macht (tatsächlich 26 Jahre in 2 Tagen).

Mit dieser Hypothese haben wir Grenzübergangsaufzeichnungen für Weißrussland überprüft (technisch gesehen haben Weißrussland und Russland eine gemeinsame Außengrenze, wodurch Aufzeichnungen in eine kombinierte Datenbank eingespeist werden). Wir haben einen Eintrag für Jan Marsalek gefunden: Er wurde in den ersten Minuten des 19. Juni 2020 als mit einem Privatjet nach Weißrussland eingereist registriert. Laut Grenzaufzeichnungen hat er das Land danach nie mehr verlassen.

In diesem speziellen Grenzdatensatz sind weder die Flugnummer noch der Ursprung des ankommenden Flugzeugs aufgeführt. Es wird lediglich „Ankunft in einem Einweg-Privatflugzeug“ vermerkt. Dies ließ uns unsicher, wie und über welches Land Marsalek in Weißrussland hätte landen können.

Um dies herauszufinden, haben wir mehrere Ankunfts- und Abflugdatenbanken für kommerzielle Flughäfen überprüft, darunter FlighRadar, Flighstats und FlightAware. In einer der Datenbanken wurden alle Flugzeuge aufgelistet – gewerbliche und private / gecharterte -, die im Juni am Flughafen Minsk ankamen. Am 18. Juni 2020 war nur ein Privatjet gelandet: um 19:10 Uhr Ortszeit. Dieser Jet – dessen Identität auf Wunsch des Betreibers gesperrt wurde – war aus Estlands Hauptstadt Tallinn eingetroffen. Zwei Stunden nach seiner Landung in Minsk – und, wie man annehmen kann, Einwanderung und Zollabfertigung – flog der mysteriöse Jet weiter in die belarussische Stadt Vytebsk.

Mithilfe der Zeitwiedergabefunktion in FlightRadar konnten wir den Flug zurückverfolgen, der an diesem Abend aus Tallinn ankam, und feststellen, dass ein Flugzeug mit denselben Eigenschaften – ein Privatjet Embraer 650 Legacy – aus der österreichischen Stadt Klagenfurt nach Tallinn gekommen war – um 16:19 Uhr Ortszeit. Der Jet hatte Klagenfurt um 13:16 Uhr verlassen.

Ohne einen Hubschrauber hätte Marsalek Klagenfurt wahrscheinlich nicht rechtzeitig für den Flug von seinem Büro in Aschheim, einer Stadt in der Nähe von München, erreichen können, wo er am Morgen erschien, um an einer Hauptversammlung teilzunehmen und herauszufinden, dass er wird ausgesetzt.

Je nachdem, wann er sein Büro verlassen hat, hätte er möglicherweise einen Anschlussflug von München über Frankfurt nach Tallinn nehmen können. Eine halbe Stunde nachdem der Embraer in die baltische Stadt abgereist war, verließ ein Lufthansa-Flug LH882 Frankfurt nach Tallinn. Es landete um 16:55 Uhr, 25 Minuten nachdem der Privatjet gelandet war.

Weniger als 15 Minuten nach der Landung von LH882 startete der Privatjet erneut in Tallinn, diesmal in Richtung Minsk. Obwohl wir die Passagierliste von LH882 nicht haben, ist es plausibel, dass Marsalek auf diesem Flug eingeflogen ist und bei der Ankunft möglicherweise zum wartenden Privatjet gebracht wurde.

 

Links Embraer Flug von Klagenfurt nach Tallinn. Richtig, Weiterflug Tallinn nach Minsk.

Damit diese Verbindung möglich wäre, hätte Marsalek sein Büro spätestens um 10.15 Uhr verlassen müssen, um rechtzeitig zum Münchner Flughafen zu gelangen. Alternative Möglichkeiten, die Verbindung in Tallinn herzustellen, wären ein anderer Privatjet als in Tallin und eine Umstellung auf den dortigen Embraer oder die Verwendung eines völlig anderen Jets, der für kommerzielle Flughafendatenaggregatoren irgendwie unsichtbar war.

Wir haben das Unternehmen identifiziert, das den Embraer Jet betreibt – eine in Wien ansässige Charter-Jet-Leasinggesellschaft. Wir haben eine Telefonnummer kontaktiert, die als Kontaktstelle für dieses bestimmte Flugzeug übrig geblieben ist, und eine Person, die Englisch mit osteuropäischem Akzent spricht, hat uns mitgeteilt, dass sie keinen Herrn Marsalek kennt, und uns empfohlen, die Vertriebsabteilung des Unternehmens für weitere Fragen zu kontaktieren.

Angesichts der Tatsache, dass Einwanderungsdaten für Jan Marsalek aus den Philippinen erstellt wurden, wäre es eine berechtigte Frage, ob das Risiko besteht, dass auch die grenzüberschreitenden Daten aus Weißrussland und Russland manipuliert werden, um einen weiteren falschen Hinweis zu schaffen. Während dies technisch möglich ist, hat der FSB die vollständige Kontrolle über den russischen Grenzdienst und damit über die zentralisierte Grenzdatenbank Russland-Weißrussland. Daher müsste jede Manipulation von Daten auf Geheiß oder zumindest mit Zustimmung des FSB erfolgen. In diesem Fall würde dies auf eine direkte Zusammenarbeit zwischen Jan Marsalek und dem FSB hinweisen – was ironischerweise eine noch aktuellere Geschichte wäre als die Lokalisierung von Marsalek in Weißrussland.

Marsalek soll sich nunmehr in der Umgebung von Moskau unter der Kontrolle von FSB und GRU befinden…

“K” für Kurator oder Fang mich, wenn du kannst

Am 7. Juli 2020 gab der ukrainische Sicherheitsdienst (SBU) bekannt, dass er einen so genannten nicht angestellten GRU-Mitarbeiter festgenommen habe, der 2014 und 2015 eine entscheidende Rolle bei der Überwachung der sogenannten Volksrepublik Donezk (DNR) gespielt habe. Der Inhaftierte wurde identifiziert nur als „Andrey K.“, der auf der Grundlage der von der SBU veröffentlichten Telefonabhörungen zu Andrey Nikolaevich K. erweitert werden konnte. Die SBU sagte auch, dass Andrey K. aktiv an der Schaffung der “Geheimdienstabteilung des DNR” beteiligt war und als einer der Kuratoren (Handler) im Namen der russischen GRU fungierte und die Militärkommandanten des DNR in den nicht anerkannten Bereichen überwachte Donezk “Republik”.

Die SBU veröffentlichte auch eine Sammlung von Telefonabhörungen, in denen Andrey K. mit Sergey Dubinsky, Leonid Kharchenko und Vitaly Lunev spricht. Die beiden ersteren standen 2014 unter dem Kommando des militärischen Geheimdienstes des DNR und werden derzeit als Verdächtige wegen des Sturzes von MH17 angeklagt. Lunev war stellvertretender Minister für Wirtschaft und Handel in der DNR-Regierung.

Die Abschnitte, deren Authentizität von mindestens einem Teilnehmer – Dubinsky – bestätigt wurde, zeigen Andrey K. als einen in Moskau ansässigen, gut vernetzten „Problemlöser“ für seine in Donezk ansässigen Kollegen. Dubinsky und Kharchenko sprechen ehrerbietig mit ihm und beginnen das Telefonat normalerweise mit einem Gruß im Militärstil.

Die Anrufe sind undatiert, können jedoch im Kontext der Gespräche bis Ende 2014 und / oder Anfang 2015 chronolokalisiert werden.

In einem der Anrufe teilt Andrey K. Dubinsky mit, dass er weiß, dass er nach Moskau gerufen wird. Aus einem anderen Aufruf geht hervor, dass Dubinsky in Moskau „Wladimir Iwanowitsch“ treffen muss, den wir zuvor als Generaloberst Andrey Burlaka, stellvertretender Direktor des Grenzdienstes des FSB, identifiziert haben. Andrey K. erzählt Dubinsky, dass es bestimmte Probleme gibt, die ihn persönlich betreffen und die er zu lösen versucht, und zu diesem Zweck ein Treffen mit Vladislav Surkov, dem damaligen Adjutanten von Wladimir Putin, der für die Ukraine und Russland verantwortlich ist, arrangiert hat nicht anerkannte separatistische Republiken.

Andrey K.: Ich konnte heute und gestern nicht zu Ihnen durchkommen. Leonid Vladimirovich [Kharchenko] hat mir Ihre neue Nummer gegeben.
Dubinsky: In Ordnung.
Andrey K.: Die, die Sie jetzt verwenden.
Dubinsky: Ja.
Andrey K.: Nun, ich habe vorgestern und gestern angerufen, um Ihnen zu sagen, dass Sie gerufen werden … nach Moskau …
Dubinsky: Ok.
Andrey K.:… Ich verstehe, sie haben dich schon gerufen, oder? Weil…
Dubinsky: Ja, heute wurde ich von Borodai angerufen … er sagte, ich sollte am Donnerstag dort sein. OK..
Andrey K.: Los geht’s
Dubinsky: Ja.
Andrey K.: Wir haben unsererseits gewisse Schwierigkeiten.
Dubinsky: Von welcher Art?
Andrey K.: Nun, ich denke, wir werden diese Schwierigkeiten überwinden, aber ich möchte nicht in dieser Zeile darüber diskutieren.
Dubinsky: Wahrscheinlich mit mir verbunden, oder was?
Andrey K.: In der Tat, mit Ihnen werden wir sie im Prinzip lösen. Das ist kein Problem. Also … am Donnerstag nach dem Treffen rufen Sie mich an und wir werden das Notwendige tun. Ich werde Sie entweder telefonisch mit “S” in Verbindung setzen, oder er wird Ihnen eine Zeit mitteilen … nun, Surkov wird es tun Sagen Sie die Zeit, zu der Sie sich treffen werden.
Dubinsky: Vielen Dank, Andrey. Wenn ich das richtig verstehe, sollte es schon einige Fortschritte geben, oder?
Andrey K.: Wir werden es lösen, wir werden Druck ausüben, um es zu erledigen … Wir werden in der Lage sein, den vollständigen Prozess erst nach dem 8. in Gang zu bringen … Alles, was Sie brauchen, und ich möchte, dass Sie wissen, dass wir dieses Problem auf jeden Fall lösen werden.
Dubinsky: Klar.
Andrey K.: Weil Leute wie Sie führen und führen müssen. Akzeptiere meinen Dank und auf Wiedersehen.
Dubinsky: Klar. Danke. Auf Wiedersehen.

Dieser Anruf fand wahrscheinlich in den ersten Dezembertagen 2014 statt. Aufgrund der durchgesickerten russischen Flugreisedaten reiste Dubinsky Ende 2014 mehrmals zwischen Rostow (dem der Grenze am nächsten gelegenen russischen Flughafen) und Moskau, jedoch nur einmal – am 3. Dezember Dezember – fiel an einem Mittwochnachmittag, pünktlich zu einem Donnerstagstreffen.

Dies war jedoch nicht die früheste Kommunikation zwischen Andrey K. und Dubinsky, da sich die beiden zu kennen scheinen.

In einem weiteren veröffentlichten Aufruf, der anscheinend kurz nach Dubinskys Moskauer Treffen stattfindet, weist Andrey K. ihn an, einen Bericht zu erstellen, der – wie aus dem Aufrufkontext hervorgeht – dem Direktor des FSB, Alexander Bortnikov, vor einem anstehenden Treffen zur Verfügung gestellt wird zwischen ihm und Dubinsky.

Dubinsky: Ich höre zu, hallo.
Andrey K.: Hallo, Sergey Nikolaevich.
Dubinsky: Ja, ja, ich höre zu.
Andrey K.: Ich habe gerade mit Oleg Ivanovich Kaffee getrunken, er hat Ihnen seine herzlichen Grüße geschickt.
Dubinsky: Danke, vielen Dank.
Andrey K.: Er hat um Ihren Bericht gebeten. Sagte, Sie sollten es per E-Mail senden, ich werde Ihnen jetzt die E-Mail-Adresse senden.
Dubinsky: Ich werde den Bericht senden … was sollte es genau sein?
Andrey K.: Nun, allgemeine Daten, nichts [zu Spezifisches], nur die Grundlagen und alles.
Dubinsky: Über mich? Oder meine Vision, wie ich würde, weißt du?
Andrey K.: Nein, Sie werden Ihre Vision später persönlich vorstellen.
Dubinsky: In Ordnung.
Andrey K.: Allgemeine Informationen.
Dubinsky: Aber welche Art von allgemeinen Informationen? Geburtsdatum, Nachname, Vorname, Patronym, was genau?
Andrey K.: Ja, ja, das plus deine Reihen und alles. Und ich denke, Alexander Wassiljewitsch wird sich nach allem anderen fragen.
Dubinsky: Verstanden. Alexander Wassiljewitsch, wer ist das? Moment mal..
Andrey K.: Das ist Bortnikov.
Dubinsky: Ah, ich verstehe, ich verstehe. Aber im Prinzip sollte er alles haben, von Wladimir Iwanowitsch.

Aus dem Kontext der Anrufe geht hervor, dass Dubinsky zuvor eine positive Beziehung zu „dem anderen Dienst“ hatte (vermutlich GRU, wo Dubinsky vor seiner Pensionierung gearbeitet hat), der FSB jedoch ernsthafte Probleme mit ihm persönlich hat und Andrey K. es versucht hat eine Erwärmung dieser Beziehung zu vermitteln. Dieser Versuch scheint erfolgreich gewesen zu sein, und bis Dezember hatte Dubinsky eine direkte Beziehung zu den besten FSB-Blechbläsern. Nach einem Besuch in der FSB-Zentrale in Lubjanka berichtete er Andrey K. über ein Treffen mit dem Direktor (vermutlich Bortnikov), um einen nicht näher bezeichneten Konflikt innerhalb des DNR zu lösen. Während des Treffens wurde von Oberstleutnant Sedov, dem Leiter der zweiten Abteilung des FSB (dem sogenannten DOI oder Department of Operational Information), ein Statusbericht eingereicht.

Andrey K.: Hallo. Guten Abend … Ja, ich bin gerade aus dem Meeting ausgestiegen. Konnte nicht früher sprechen. Du … du hast nicht fertig, was du gesagt hast. Wir haben darüber gesprochen, was der Regisseur unterschrieben hat.
Dubinsky: Ja, der Regisseur hat den Auftrag unterschrieben. Ein Bericht wurde dorthin gebracht. Der Leiter der zweiten Abteilung – Sedov – unterzeichnete einen Befehl zur Freilassung und so weiter … Er gab den verschiedenen Diensten Anweisungen, wer was tun sollte. Und mir wurde gesagt, dass sie am Dienstag auch gehen werden … und bei DOI muss noch etwas getan werden. Ich habe es einfach nicht verstanden, es gab schließlich einen Befehl von Genosse “S”, was zum Teufel die Rolle von DOI ist, ich verstehe es nicht. Tatsache ist … sie sagten, sie würden versuchen, alles in ein paar Tagen zu tun. Der Punkt ist, dass der Direktor den Bericht des Leiters des zweiten Dienstes unterschrieben hat und ihm zugestimmt hat, dass ich reinkomme. Jetzt macht es keinen Sinn, wenn Leute mich dort anlügen, ein echter General aus dem zweiten Dienst.
Andrey K.: Also, was hat er unterschrieben, ich kann es nicht bekommen?
Dubinsky: Nun, etwas da … an den Abgeordneten Smirnov, Anweisungen, was dort zu gewährleisten ist, um es zu beseitigen, alles dort aufzuräumen – eine Flagge, also … und etwas, mit dem ich immer noch nicht verstehe, müssen sie etwas koordinieren DOI da, für mich ist es nicht klar, es wird am Dienstag klar sein.
Andrey K.: Ich denke auf jeden Fall, wenn dies das Format ist, werden Sie weiter gerufen und mit ihnen kommunizieren, entweder direkt dort oder auf der anderen Straßenseite.

Der Verweis auf „direkt dort oder auf der anderen Straßenseite“ kann als Hauptbüro des FSB am Lubjanka-Platz und als sekundärer Bürokomplex des FSB am anderen Ende des Platzes verstanden werden. Dieses andere Büro beherbergt den FSB-Grenzdienst und ist somit das Büro von Oberstleutnant Andrey Burlaka, der Person – basierend auf zuvor vom Joint Investigation Team veröffentlichten Abschnitten – die direkte Kontrolle über den Waffenfluss und die Prioritätszuweisung an die bewaffnete Gruppen in der Ostukraine im Sommer 2014. In einem zuvor veröffentlichten Abschnitt zwischen Igor Girkin und Sergey Aksyonov beispielsweise teilt dieser Girkin mit, dass Entscheidungen „in den beiden Gebäuden“ getroffen werden, was wiederum ein mutmaßlicher Hinweis auf diese beiden FSB ist Bürokomplexe.

Wer ist Andrey K?
Wir haben Andrey K. als Andrey Nikolaevich Kunavin identifiziert, einen ukrainischen Staatsbürger, der am 5. Juli 1984 geboren wurde. Sein Name wurde erstmals von der ukrainischen Medienagentur censor.net aufgrund eines Lecks der ukrainischen SBU gemeldet. Unsere Identifizierung erfolgte unabhängig anhand überlappender Reise- und Telefondaten mit Dubinsky und Kharchenko.

Kunavin ist in der Ukraine vorbestraft und hatte einen Durchsuchungsbefehl wegen Autodiebstahls und Unterschlagung von 200.000 Euro. Er wurde 2010 verhaftet und zu vier Jahren verurteilt. Open-Source-Daten zeigen, dass er als Gewinner eines Kunstwettbewerbs für Insassen aufgeführt ist, der im September 2014 stattfand, während er in einer Gefängniskolonie in Nikolaevsk saß. Aus den Gefängnisunterlagen geht jedoch hervor, dass er am 12. Juni 2014 freigelassen wurde, und wir haben bereits im August 2014 digitale Spuren von ihm mithilfe eines in seinem Namen registrierten Telefons gefunden. Es ist nicht klar, ob die Auflistung des Wettbewerbs ein Fehler war, wenn Kunavins Eintrag war gemacht vor seiner Freilassung oder ein Hollywood-würdiger Trick, um ein Alibi zu erstellen. Unabhängig von den Umständen des Kunstwettbewerbs begann Kunavin ab Juni 2014 seinen rasanten Aufstieg vom Verbrechen in den Kreml.

In der zweiten Hälfte des Jahres 2014 reiste Kunavin ausgiebig zwischen Russland, dem Donbass und Kiew und unternahm mehrere kurze Reisen nach Westeuropa. Reisedaten zeigen, dass er hauptsächlich in Moskau ansässig war und Tagesausflüge nach Rostow unternahm – dem nächstgelegenen Flughafen nahe der ukrainischen Grenze. Sein Reiseverlauf wurde 2015 und danach erweitert und intensiviert, mit fast wöchentlichen Reisen zu verschiedenen Zielen wie der Türkei, Deutschland, Frankreich, Bulgarien, Spanien, Griechenland, Österreich, Israel, den Niederlanden, den baltischen Ländern und vielen mehr. Moskau und Kiew blieben seine beiden Hauptziele.

2009 Polizei Fahndungsfoto, Andrey Kunavin

Zusätzlich zu seinen fünf ukrainischen Pässen unter dem Namen Andrey Kunavin verwendete er auch einen russischen Pass unter einem anderen Namen: Andrey Nikolaevich Anikeev. Er registrierte sein russisches Telefon unter diesem Namen und unterhielt ein (inaktives) VK-Konto. Er scheint jedoch mit seinem ukrainischen Pass international zu reisen, was eine visumfreie Einreise in die EU ermöglicht. Da es in Datenbanken russischer Staatsbürger, die wir konsultiert haben, keine Aufzeichnungen über die Existenz eines Andrey Anikeev mit seinem Geburtsdatum gibt, schließen wir, dass Andrey Kunavin seine wahre Identität ist und „Andrey Anikeev“ nur ein Deckname ist. Vom Concierge of Crime zum Kreml-Broker Es ist nicht sicher, wie und warum Andrey Kunavin von einem angeklagten Conman zu einem Machtvermittler zwischen pro-russischen Militanten und den Spitzenreitern im Kreml und im FSB aufstieg. Es scheint jedoch genügend Beweise dafür zu geben, dass Kunavin sich unter Kriminellen und der politischen Elite gleichermaßen wohl fühlte. Durch die Kartierung und Identifizierung von Besitzern russischer Nummern, die mit einer ukrainischen Telefonnummer interagierten, die Dubinsky in den Jahren 2014 und 2015 verwendet hatte, konnten wir die Nummer finden, die vermutlich von Kunavin für die Kommunikation mit ihm verwendet wurde. In der Crowdsourcing-Anrufer-ID-App GetContact wurde diese Nummer als Eigentum von Andrey Nikolaevich Dru D angezeigt.

 

Wir haben dann aus einer Quelle bei einem russischen Mobilfunkbetreiber Teilmetadaten (d. H. Auflistung von Anruflisten) für die von Kunavin verwendete russische Nummer erhalten. Eine erste Identifizierung einiger der Nummern, mit denen er kommunizierte, umfasste Kriminelle, Politiker und Unternehmer.

Zum Beispiel kommunizierte Kunavin intensiv mit einem gewagten internationalen Kunstdieb namens Vadim Guzhva.

Am 28. November 2018 betraten drei teuer gekleidete Männer Wiens ältestes Auktionshaus und lösten kurz vor Schließung absichtlich und ruhig Pierre-August Renoirs Landschaft Golf, Meer, Grüne Klippen ab und verließen langsam das Dorotheum. Niemand hat sie aufgehalten. Wie in einem Kunstkriminalitätsblog beschrieben:

Am Tag des Diebstahls soll ein Komplize, der als Igor Filonenko gilt, unter dem Deckmantel russischer Kunstkenner einen Wachmann mit Fragen zum Gemälde eines anderen Künstlers abgelenkt haben, um einen Trick zu schaffen, der genügend Zeit für eine Kunst bietet zweiter Komplize, der das Kunstwerk geschickt durch eine laminierte Fotokopie der Leinwand ersetzt.

Der dritte Komplize, der einfach mit dem Original ausstieg, das am nächsten Tag bis zu 200.000 Euro einbringen sollte, war Vadim Guzhva, ein 59-jähriger Ukrainer mit einer Vorgeschichte mutigen Kunstdiebstahls. Er wurde zwei Wochen später in Amsterdam festgenommen, offenbar als er versuchte, sich um den Überfall zu kümmern.

Vadim Guzhva, links. Foto: Wiener Polizei

Eine andere Person, die häufig mit Kunavin sprach, war der ehemalige russische Politiker Wassili Duma. Herr Duma war zwischen 2004 und 2011 Mitglied des russischen Senats und wurde beauftragt, die ukrainische Diaspora in Russland zu überwachen. Während seiner Wache wurden ukrainische Diaspora-Organisationen in Russland tatsächlich geschlossen. Eine Präsidentschaftsauszeichnung, die ihm die Ukraine 2019 verlieh, führte zu Protesten des ukrainischen Kongresses (Diaspora), in dem die Duma als anti-ukrainischer Kreml-Funktionär bezeichnet wurde. Duma ist möglicherweise internationaler bekannt für seine Tochter Mira Duma, die – wie im Müller-Bericht beschrieben – eine Einladung des stellvertretenden Premierministers Pryhodko an Ivanka und Donald Trump zur Teilnahme am St. Petersburg-Forum 2015 weitergeleitet hat.

Obwohl noch nicht alle Kontaktkreise von Kunavin in Moskau identifiziert wurden, geht aus dem Inhalt der Telefonabhörungen hervor, dass er eine Arbeitsbeziehung mit Putins Adjutant Surkov hatte, mit dem er Treffen sowohl für Dubinsky als auch – getrennt – für arrangierte Kharchenko. In einem Interview, das Dubinsky einer russischen Zeitung nach Veröffentlichung der Abschnitte gab, beschreibt Dubinsky Kunavin als „russischen Staatsbürger, der eine Vorgeschichte und Geschäfte mit der Ukraine hatte… der die russische Regierung vertrat“.

Dubinsky bestreitet jedoch, dass Kunavin Mitglied des russischen Militärgeheimdienstes GRU war oder für diesen gearbeitet hat. In der Tat enthält keiner der veröffentlichten Abschnitte einen direkten Hinweis auf seine Zugehörigkeit zur GRU, wie von der ukrainischen SBU behauptet. Seine Verweise auf „sie gegen uns“, wenn er sich auf den FSB bezieht, und seine behaupteten Links zu Surkov (der aus der GRU stammt) deuten jedoch darauf hin, dass möglicherweise eine Verbindung zur GRU besteht. Es ist jedoch unwahrscheinlich, dass er ein Beamter war oder von der GRU anderweitig voll vertraut wurde, die – anders als der FSB – nicht dazu neigt, über kriminelle Stimmrechtsvertreter zu operieren.

Unklar bleibt, wie Kunavin – mit seiner mittelschweren Kriminalgeschichte – das Vertrauen russischer Politiker so weit gewinnen konnte, dass er sogar eine Maklerrolle gegenüber den Donbas- „Republiken“ innehatte. Eine Theorie, die von einem ehemaligen ukrainischen Polizeibeamten vorgeschlagen wurde, der vor Jahren gegen Kunavin ermittelt und vertraulich mit uns gesprochen hat, besagt, dass Andrey Kunavin mehr als ein eigenständiger Verbrecher war, sondern in hochrangige in Russland ansässige organisierte Kriminalitätsgruppen integriert war.

Mögliche Relevanz für die MH17-Untersuchung
Kunavin dürfte in der Entscheidungskette zwischen dem Kreml und den Militanten in der Ostukraine nur eine sehr begrenzte Rolle gespielt haben. Unabhängig davon scheint er sich – zumindest für eine Weile – mitten in der Kommunikationskette zwischen zwei der Verdächtigen des MH17-Strafverfahrens und dem Kreml sowie dem FSB befunden zu haben. Er erhielt und gab Informationen zwischen Dubinsky und den stellvertretenden Direktoren des FSB weiter und ermöglichte Treffen mit Surkov und scheint mit den diskutierten Themen vertraut zu sein. Allein dieser Informationscache macht ihn zu einem wertvollen Zeugen für die MH17-Untersuchung. Sein Beitrag wäre im Hinblick auf die tatsächlichen Ereignisse und Erleichterungen, die zur Tragödie selbst geführt haben, wahrscheinlich nicht wertvoll, könnte sich jedoch als einer der am besten informierten Zeugen für die militärische und politische Befehlskette im Jahr 2014 herausstellen. Er wäre auch in der Lage einige der von der GEG bereits genannten Personen von Interesse zu identifizieren oder zusätzlich zu identifizieren, wie beispielsweise „Wladimir Iwanowitsch“.

Ausschlaggebend für seine Nützlichkeit für die Untersuchung wäre der Beginn seiner „Einfügung“ in den Kommunikationskanal zwischen Moskau und den Militanten. Je näher es dem Datum des Abschusses war – idealerweise davor – desto mehr Gewicht wird sein potenzielles Zeugnis haben. Selbst wenn er seinen – angesichts seines Hintergrunds unwahrscheinlichen – Platz Ende 2014 für unwahrscheinlich hielt, verfügt er seit Beginn des Konflikts möglicherweise über mehr Wissen aus erster Hand über die militärische Befehlskette als alle anderen verfügbaren Zeugen.

Ob Kunavin beschließt, mit den Ermittlern zu sprechen, hängt von einer Reihe von Faktoren ab – einschließlich der Wahrscheinlichkeit, dass ein mögliches „Ausstiegsszenario“ durch einen Gefangenentausch in Russland besteht. Der Fall mit Tsemakh, der kein russischer Staatsbürger war und dessen Austausch größtenteils als stillschweigendes Eingeständnis Russlands angesehen wurde, dass es einen potenziellen Zeugen aus den Händen der GEG nehmen will, legt nahe, dass der Kreml diesen Trick ein zweites Mal versuchen könnte. Ob die ukrainische Regierung bereit ist, ein politisches Risiko einzugehen, indem sie ihren eigenen Bürger an Russland abgibt – unter keiner anderen plausiblen Erklärung als der Entfernung eines Zeugen – bleibt abzuwarten.

Quelle: Bellingcat/eigene Recherche

Was ist die GU (GRU) ? Russlands Tödlicher Militärgeheimdienst Enthüllt

Was ist die GU (GRU) ? Russlands Tödlicher Militärgeheimdienst Enthüllt
Russia behind massive cyber attack on Georgia, say Western allies ...

GRU Zentrale in Moskau

Die GRU hatte nach dem russischen Krieg mit Georgien im Jahr 2008 an Geldmangel verloren und an Größe verloren, als sie nicht feststellte, dass Georgien neue Flugabwehrraketen beschafft hatte. Aber seine Spezialeinheiten spielten später eine entscheidende Rolle bei der Eroberung der Krim und der Unterstützung pro-russischer Separatisten in der Ostukraine im Jahr 2014. GRU-Hacker, genannt „Fancy Bear“, tobten im Cyberspace und drangen vom deutschen Parlament bis zur Kampagne von Emmanuel Macron für die Franzosen vor Präsidentschaft. Einige dieser Aktivitäten erwiesen sich jedoch als peinlich. Im Mai entlarvte Bellingcat, eine Ermittlungswebsite, den Namen eines GRU-Offiziers, der am Absturz eines Fluges von Malaysian Airlines über die Ukraine beteiligt war. Der unglückliche Spion hatte Online-Einkäufe an die Adresse des GRU-Hauptquartiers geschickt. Zwei Monate später enthüllte Robert Mueller, Amerikas Sonderberater, die Namen, Ränge und Adressen von einem Dutzend GRU-Hackern. Solche gelegentlichen Fehltritte können eine Organisation nicht davon abhalten, Risiken einzugehen, aber sie hat andere Gründe zur Sorge. Es wird angenommen, dass es in den letzten Jahren unter schweren Defekten gelitten hat. Massenvertreibungen haben die Reihen der russischen Spione unter diplomatischer Deckung im Westen dezimiert und die Operationen erschwert. Und Großbritannien hat auf Cyber-Angriffe auf die Kommunikation und die Finanzen der GRU hingewiesen. Möglicherweise ist es an der Zeit, dass James Bond im nächsten Film der Franchise gegen einen GRU-Bösewicht antritt.

 

GRU Chef  Igor Kostyukov

Hintergrund:
Die Hauptverwaltung des Generalstabs der Streitkräfte der Russischen Föderation (russisch: Главное управление Генерального штаба Вооружённых Сил Российской Федерации), abgekürzt GU, früher der Hauptverwaltung Aufklärung (russisch. Главное разведывательное управление, tr Glavnoye razvedyvatel ‘noye upravleniye, IPA: [ˈɡlavnəjə rɐzˈvʲɛdɨvətʲɪlʲnəjə ʊprɐˈvlʲenʲɪjə]) und immer noch allgemein bekannt unter der vorherigen Abkürzung GRU [1] (russisch: ГРУ, IPA: [ɡeeˈru]), ist der ausländische Militärgeheimdienst des Generalstabs des Generalstabs Streitkräfte der Russischen Föderation (ehemals Generalstab der UdSSR). Im Gegensatz zu anderen russischen Sicherheits- und Geheimdiensten wie dem SVR, dem FSB und dem BFS, deren Leiter direkt dem Präsidenten Russlands Bericht erstatten, untersteht der Direktor der GRU dem russischen Militärkommando, direkt dem Verteidigungsminister und der Chef des Generalstabs. Bis 2010 und ab 2013 kontrollierte die GRU den militärischen Geheimdienst und die GRU-Spezialeinheiten.

Die Direktion ist angeblich Russlands größter ausländischer Geheimdienst. Nach unbestätigten Aussagen von Stanislav Lunev, einem Überläufer der GRU, entsandte die Agentur 1997 sechsmal so viele Agenten im Ausland wie der SVR, der Nachfolger der Direktion für Auslandsoperationen des KGB (PGU KGB). Ab 1997 befehligte es auch rund 25.000 Spetsnaz-Truppen.

Das erste russische Gremium für militärische Geheimdienste aus dem Jahr 1810: Der Kriegsminister Michael Andreas Barclay de Tolly schlug dem Kaiser Alexander I. von Russland die Einrichtung eines ständigen Gremiums für strategische militärische Geheimdienste vor. Im Januar 1810 wurde die Expedition für geheime Angelegenheiten unter dem Kriegsministerium (russisch: Экспедиция секретных дел при военном министерстве) gegründet. Zwei Jahre später wurde es in Special Bureau (russisch: Особая канцелярия) umbenannt.

1815 wurde das Büro die erste Abteilung unter dem Generalstabschef. 1836 wurden die Geheimdienstfunktionen unter dem Generalstabschef an die Zweite Abteilung übertragen. Nach vielen Namensänderungen im Laufe der Jahre, im April 1906, wurde der militärische Geheimdienst von der Fünften Abteilung unter dem Generalstabschef des Kriegsministeriums durchgeführt.

Der erste Vorgänger der GRU in Sowjetrußland wurde durch den am 5. November 1918 von Jukums Vācietis, dem ersten Oberbefehlshaber der Roten Armee (RKKA), unterzeichneten geheimen Befehl und von Ephraim Sklyansky, dem damaligen Stellvertreter von Leo Trotzki (Trotzki), gegründet der zivile Führer der Roten Armee). Seit 2006 hat die Russische Föderation das Datum des 5. November offiziell als Berufsfeiertag des militärischen Geheimdienstes (russisch: День военного разведчика) in Russland begangen.

Ceremonial event to mark centenary of GRU • President of Russia

Putin mit GRU Genossen

Der so eingerichtete militärische Geheimdienst war ursprünglich als Registrierungsagentur (Registrupravlenie oder Registrupr; russisch: Региструпр) des Hauptquartiers des Revolutionären Militärrates der Republik bekannt. Simon Aralov war sein erster Kopf. In seiner Geschichte der frühen Jahre der GRU schreibt Raymond W. Leonard: “Wie ursprünglich festgelegt, war die Registrierungsabteilung nicht direkt dem Generalstab unterstellt (zu der Zeit als Feldstab der Roten Armee bezeichnet – Polevoi Shtab). Administrativ war es die dritte Abteilung der Einsatzdirektion des Außendienstes. Im Juli 1920 wurde die EVU zur zweiten von vier Hauptabteilungen in der Betriebsdirektion ernannt. Bis 1921 wurde es normalerweise als Registrupr (Registrierungsabteilung) bezeichnet. In diesem Jahr, nach dem sowjetisch-polnischen Krieg, wurde es zum zweiten (Geheimdienst-) Direktorat des Stabes der Roten Armee erhoben und war danach als Razvedupr bekannt. Dies resultierte wahrscheinlich aus seiner neuen primären Friedensverantwortung als Hauptquelle ausländischer Geheimdienste für die sowjetische Führung. Im Rahmen einer umfassenden Neuorganisation der Roten Armee wurde die RU (damals Razvedyvatelnoe Upravlenye) 1925 oder 1926 zur vierten Direktion des Geheimdienstes der Roten Armee und danach auch einfach als “Vierte Abteilung” bezeichnet. Während des größten Teils der Zwischenkriegszeit nannten es die Männer und Frauen, die für den Geheimdienst der Roten Armee arbeiteten, entweder die Vierte Abteilung, den Geheimdienst, den Razvedupr oder die RU. […] Infolge der Neuorganisation [1926], die teilweise durchgeführt wurde, um Trotzkis Einfluss auf die Armee aufzulösen, scheint die Vierte Abteilung direkt unter die Kontrolle des Staatsverteidigungsrates (Gosudarstvennaia komissiia oborony) gestellt worden zu sein oder GKO), der Nachfolger des RVSR. Danach gingen seine Analysen und Berichte direkt an die GKO und das Politbüro, anscheinend sogar unter Umgehung des Stabes der Roten Armee.”

Der erste Leiter der 4. Direktion war Yan Karlovich Berzin, der von März 1924 bis April 1935 im Amt blieb (später, 1938, wurde er verhaftet und als Trotzkist hingerichtet).

Witness in the MH17 case Colonel Geranin of the Russian GRU ...

Flug MH17 – Opfer der GRU

Der militärische Geheimdienst war in der Sowjetregierung für seine starke Unabhängigkeit von den rivalisierenden “internen Geheimdienstorganisationen” wie dem NKWD und später dem KGB bekannt. Das Hauptquartier des militärischen Geheimdienstes befand sich in der Prechistenka-Straße [ru] westlich des Kremls, während sich der NKWD im Zentrum von Moskau neben dem Gebäude befand, in dem sich das Volkskommissariat für auswärtige Angelegenheiten am Fuße von Kusnezki Most befand. Aufgrund dieser Tatsache wurde der sowjetische Militärgeheimdienst im Gegensatz zu nahen Nachbarn, d. H. Den Geheimdienstoffizieren des NKWD / KGB, in der Neigung der sowjetischen Diplomaten als entfernte Nachbarn (russisch: дальние соседи) bekannt. Nach öffentlichen Aussagen von Veteranen des sowjetischen Militärgeheimdienstes war die GRU dem KGB operativ immer untergeordnet.

Die GRU an sich (unter diesem Namen) wurde durch Joseph Stalins Befehl vom 16. Februar 1942 gegründet. Ab April 1943 befasste sich die GRU ausschließlich außerhalb der UdSSR mit menschlicher Intelligenz.

Die GRU betrieb weltweit “legale” (in sowjetischen Botschaften ansässige) und “illegale” Rezidenturas sowie die SIGINT-Station (Signals Intelligence) in Lourdes, Kuba und in den Ländern des ehemaligen Sowjetblocks.

Die Existenz der GRU wurde während der Sowjetzeit nicht veröffentlicht, aber Dokumente darüber wurden Ende der 1920er Jahre im Westen verfügbar, und sie wurde in den Memoiren des ersten OGPU-Überläufers, Georges Agabekov, von 1931 erwähnt und in der 1939 Autobiographie (Ich war Stalins Agent) von Walter Krivitsky, dem höchsten Geheimdienstoffizier der Roten Armee, der jemals übergelaufen ist. Es wurde in Russland und im Westen außerhalb der engen Grenzen der Geheimdienste während der Perestroika weithin bekannt, unter anderem dank der Schriften von “Viktor Suworow” (Vladimir Rezun), einem GRU-Offizier, der 1978 nach Großbritannien abwanderte schrieb über seine Erfahrungen im sowjetischen Militär und Geheimdienst. Laut Suworow musste sogar der Generalsekretär der Kommunistischen Partei der Sowjetunion, um das GRU-Hauptquartier zu betreten, eine Sicherheitsüberprüfung durchlaufen.

Nach der Auflösung der UdSSR im Dezember 1991 war die GRU weiterhin ein wichtiger Bestandteil der russischen Geheimdienste, zumal sie (im Gegensatz zum KGB) nie aufgeteilt wurde. Der KGB wurde aufgelöst, nachdem er 1991 einen gescheiterten Putsch gegen den damaligen sowjetischen Präsidenten Michail Gorbatschow unterstützt hatte. Es wurde inzwischen in den Foreign Intelligence Service (SVR) und den Federal Security Service (FSB) unterteilt.

Investigative journalists discover data of 305 Russian GRU ...

Enttarnte GRU Agenten im Einsatz

Im Jahr 2006 zog die GRU in einen neuen Hauptquartierkomplex in Khoroshovskoye Shosse [ru] um, dessen Bau 9,5 Milliarden Rubel kostete und 70.000 Quadratmeter umfasste.

Im April 2009 entließ Präsident Dmitri Medwedew den damaligen GRU-Chef Valentin Korabelnikov, der die GRU seit 1997 geleitet hatte, Berichten zufolge wegen Korabelnikovs Einwänden gegen vorgeschlagene Reformen.

Im Jahr 2010 wurde der offizielle Name der Einheit von “GRU” in “Hauptdirektion des russischen Generalstabschefs” oder “GU” geändert, aber “GRU” wurde weiterhin häufig in den Medien verwendet.

Der Tod des GRU-Chefs Igor Sergun Anfang Januar 2016 verursachte Spekulationen über foul play. Igor Sergun, der seit Ende 2011 an der Spitze der GRU steht, soll die Agentur nach den drastischen Kürzungen des Dienstes übernommen haben, die im Zuge einer radikalen Umstrukturierung des Militärs durch Verteidigungsminister Anatoliy Serdyukov vorgenommen wurden.

GRU erlangte einen Teil ihres früheren Einflusses zurück, insbesondere durch eine herausragende Rolle bei der Eroberung der Krim im Jahr 2014 und bei der russischen Intervention in der Ostukraine nach dem FSB- orchestrierte pro-russische Unruhen weitgehend ausliefen.

Die Amtszeit von Serguns Nachfolger Igor Korobov war geprägt von den Nachrichtenmedien, die mehrere hochkarätige Misserfolge publizierten, wie den vereitelte Staatsstreichversuch 2016 in Montenegro und die gescheiterte Salisbury-Vergiftung von 2018 sowie eine beispiellose Anzahl der offenbarten GRU-Agenten. Korobov starb am 21. November 2018 “nach einer schweren und anhaltenden Krankheit”, so die offizielle Erklärung des Verteidigungsministeriums. Sein Tod provozierte Spekulationen und unbestätigte Berichte darüber, dass er im Oktober dieses Jahres krank geworden war, nachdem Präsident Wladimir Putin sich hart gegen ihn gewandt hatte.

Der frühere CIA-Stationschef Daniel Hoffman warnte jedoch 2017, dass einige der jüngsten Operationen des russischen Geheimdienstes, die verpfuscht zu sein schienen, “Operationen mit erkennbarem Einfluss” gewesen sein könnten, d. H. Operationen, die entdeckt werden sollten. In ähnlicher Weise meinte Eerik-Niiles Kross, ein ehemaliger Geheimdienstkoordinator der estnischen Regierung (1995–2000), 2019 zu der offensichtlichen Schlamperei der GRU: “Diese Art von Geheimdienstoperation ist Teil der psychologischen Kriegsführung geworden. Sie wollen gefühlt werden. Es ist Teil des Spiels.”

Am 2. November 2018 schlug Präsident Putin vor, den früheren Namen der GU wiederherzustellen: Главное разведывательное управление (GRU).

Organisatorische Struktur

Die GRU ist in zahlreiche Direktionen organisiert. Nach den in offenen Quellen verfügbaren Daten besteht die Struktur der Hauptdirektion aus 12 Direktionen und mehreren Hilfsabteilungen.

Die Erste Direktion ist für den Geheimdienst in Europa zuständig.

Die Zweite Direktion ist geografisch für die westliche Hemisphäre verantwortlich.

Die Dritte Direktion ist geografisch für Asien zuständig.

Die Vierte Direktion ist geografisch für Afrika und den Nahen Osten zuständig.

Die fünfte Direktion ist für den Geheimdienst der militärischen Operationen zuständig, einschließlich des Geheimdienstes der Marine und der Luftwaffe.

Die Sechste Direktion ist für die Signalaufklärung (SIGINT) zuständig.

Die Siebte Direktion ist speziell für die NATO zuständig.

Die Achte Direktion befasst sich mit der Verwaltung von Sonderzwecken.

Die Neunte Direktion ist für die Militärtechnologie zuständig.

Die zehnte Direktion ist die Abteilung für Kriegsökonomie.

Die elfte Direktion ist die Abteilung für strategische Lehren und Waffen.

Die zwölfte Direktion ist für die Informationskriegsführung zuständig.

Die Einheit 54777, die alternativ als 72. Special Service Center bezeichnet wird, ist eine der wichtigsten psychologischen Kampffähigkeiten der GRU. Einheit 54777 behält mehrere Frontorganisationen, einschließlich InfoRos und des Instituts der russischen Diaspora.

SATCOM
Seit Mitte der 1970er Jahre unterhält die GRU einen Abhörposten für Satellitenkommunikation in der Nähe von Andreyevka, etwa fünfzig Meilen von Spassk-Dalny in der Region Primorsky entfernt.

GRU-Illegale
Nach einer westlichen Einschätzung der GRU, die Reuters im Herbst 2018 gesehen hatte, hatte die GRU ein langjähriges Programm, um “illegale” Spione zu führen, dh diejenigen, die ohne diplomatische Deckung arbeiten und unter einer vermuteten Identität im Ausland leben Jahre. In der Bewertung heißt es: „Es spielt eine immer wichtigere Rolle bei der Entwicklung des Informationskriegs in Russland (sowohl defensiv als auch offensiv). Es ist eine aggressive und gut finanzierte Organisation, die die direkte Unterstützung von und den Zugang zu [russischem Präsidenten Wladimir] Putin hat und Zugang zu ihren Aktivitäten und Nachsicht in Bezug auf diplomatische und legislative Kontrolle gewährt.”

Spezialeinheiten der Hauptdirektion
Spezialeinheiten der Hauptdirektion des Generalstabs der russischen Streitkräfte
Allgemein bekannt als Spetsnaz GRU, wurde sie 1949 gegründet. Nach der Auflösung der Sowjetunion im Jahr 1991 blieb die Spetsnaz GRU als Teil der russischen GRU intakt, bis sie 2010 anderen Agenturen zugewiesen wurde. Im Jahr 2013 wurde die Entscheidung jedoch rückgängig gemacht und die GRU-Einheiten von Spetsnaz wurden den GRU-Abteilungen zugewiesen und erneut unter die GRU-Autorität gestellt.

Did Batman Steal the Soviet GRU Symbol? (Or is Batman a GRU Agent ...

Putin  bei der GRU zu Besuch

Bildung
GRU-Offiziere trainieren an einer Militärakademie des Verteidigungsministeriums in der Narodnoe Opolchenie Street 50, wobei Geheimdienstagenten zusätzliche Schulungen an der Cherepovets Higher Military School für Radioelektronik erhalten. Die A.F. Mozhaysky Military-Space Academy wurde auch zur Ausbildung von GRU-Offizieren eingesetzt.

Aktivitäten nach Ländern
Laut der Federation of American Scientists: “Obwohl manchmal im Vergleich zur US Defense Intelligence Agency, umfassen die Aktivitäten der [GRU] diejenigen, die von fast allen gemeinsamen US-Militärgeheimdiensten sowie anderen nationalen US-Organisationen durchgeführt werden. Die GRU sammelt menschliche Intelligenz durch Militär Anhänge und ausländische Agenten. Außerdem werden wichtige Funktionen für Signalaufklärung (SIGINT) und Bildaufklärung (IMINT) sowie Satellitenbilder beibehalten.” Die sowjetische GRU-Direktion für Weltrauminformationen hatte mehr als 130 SIGINT-Satelliten in die Umlaufbahn gebracht. Das Netzwerk von GRU und KGB SIGINT beschäftigte rund 350.000 Spezialisten.

Austria
Am 9. November 2018 sagte der österreichische Bundeskanzler Sebastian Kurz, dass ein 70-jähriger Oberst der Armee im Ruhestand vermutlich jahrelang für Russland ausspioniert habe. Der betreffende Beamte, dessen Name nicht bekannt gegeben wurde und der möglicherweise unter falscher Flagge angesprochen wurde, soll von 1992 bis September 2018 offizielle Geheimnisse an seine GRU-Mitarbeiter verkauft haben. Im Juli 2019 bestätigte das österreichische Innenministerium, dass es sich bei dem Oberstführer um einen in Moskau geborenen GRU-Offizier, Igor Egorovich Zaytsev, einen russischen Staatsbürger handelte, für den ein internationaler Haftbefehl ausgestellt worden war.

Bulgarien
Eine Untersuchung von Bellingcat und Capital identifizierte den GRU-Offizier Denis Vyacheslavovich Sergeev (unter dem Pseudonym Sergey Vyacheslavovich Fedotov) als Verdächtigen der Vergiftung des bulgarischen Geschäftsmanns Emilian Gebrev in Sofia im Jahr 2015 nach einem Angriff, der die bei der Vergiftung von Sergei und Yulia verwendeten Techniken widerspiegelte Skripal. Dieser Angriff wurde speziell an Einheit 29155 gebunden.

Kanada
Die GRU erhielt Informationen von Jeffrey Delisle von der Royal Canadian Navy, was zur Ausweisung mehrerer Mitarbeiter der russischen Botschaft führte, einschließlich des Verteidigungsattachés in Ottawa.

Estland
Ein russischer Staatsbürger namens Artem Zinchenko wurde im Mai 2017 wegen Spionage Estlands für die GRU verurteilt. 2007 wurde Deniss Metsavas, ein in Lasnamäe geborenes Mitglied der estnischen Landstreitkräfte, bei einem Besuch in Smolensk mit einer Honigfangoperation angegriffen. Anschließend wurde er erpresst, um GRU-Handlern Informationen zur Verfügung zu stellen. Sein Vater, Pjotr ​​Volin, wurde ebenfalls von GRU-Agenten als Hebel gegen Deniss rekrutiert und diente als Kurier für Verschlusssachen. Am 5. September 2018 wurden Major Deniss Metsavas und Pjotr ​​Volin beschuldigt, der GRU Verschlusssachen gegeben zu haben. Die beiden wurden im Februar 2019 verurteilt.

Finnland
Im September 2018 führte die finnische Polizei eine groß angelegte Operation gegen zahlreiche Standorte der Airiston Helmi Oy durch, bei denen über Jahre hinweg Grundstücke und Gebäude in der Nähe von national bedeutenden Schlüsselstraßen, Häfen, Ölraffinerien und anderen strategischen Standorten sowie zwei finnische Marineschiffe angesammelt wurden . Die Sicherheitsoperation wurde parallel an mehreren Orten durchgeführt, an denen das finnische nationale Untersuchungsbüro, die örtliche Polizei, die Steuerverwaltung, der Grenzschutz und die finnischen Streitkräfte beteiligt waren. Während der Operation wurde eine Flugverbotszone über dem Turku-Archipel eingerichtet, in der sich wichtige Objekte befanden. Während der offizielle Grund für die Razzia Geldwäsche in mehreren Millionen Euro und Steuerbetrug war, spekulierten die Medien, dass das Unternehmen eine Deckung für die GRU gewesen sein könnte, die im Falle einer Konfliktsituation die Infrastruktur für einen Überraschungsangriff auf finnische Standorte vorbereitet.

Frankreich
Viktor Ilyushin, ein GRU-Agent, der als stellvertretender Luftwaffenattaché arbeitet, wurde 2014 wegen versuchter Spionage des Personals von François Hollande aus Frankreich ausgewiesen. Im August 2015 schaltete eine GRU-Einheit, die sich als islamischer Staat im Irak ausgibt, und die Levant-Anhänger namens CyberCaliphate TV5Monde für ungefähr 18 Stunden offline.

GRU-Mitarbeiter von Fancy Bear / APT 28 verwendeten gefälschte Facebook-Konten, um sich als Mitarbeiter des Wahlkampfpersonals von Emmanuel Macron auszugeben, mit dem Ziel, die französischen Präsidentschaftswahlen 2017 zu stören. Georgy Petrovich Roshka, ein Mitglied der GRU-Einheit 26165, war am Diebstahl von Macrons E-Mails und der anschließenden Verbreitung über WikiLeaks beteiligt.

Im Dezember 2019 berichtete Le Monde, dass die gemeinsamen Bemühungen der britischen, schweizerischen, französischen und US-amerikanischen Geheimdienste eine offensichtliche “hintere Basis” der GRU im Südosten Frankreichs entdeckt hatten, die vermutlich von der GRU für die geheimen Operationen in ganz Europa verwendet wurde. Die Ermittler hatten 15 Agenten identifiziert – alle Mitglieder der GRU-Einheit 29155 -, die von 2014 bis 2018 Haute-Savoie in der französischen Region Auvergne-Rhône-Alpes besuchten, darunter Alexander Petrov und Ruslan Boshirov, von denen angenommen wird, dass sie hinter der Vergiftung des ehemaligen GRU-Obersten und britischen Doppelagenten Sergei Skripal in Salisbury im Jahr 2018.

UK blames Russian GRU for cyber attacks - and vows to respond | UK ...

Putins Cyberwar wird vor allem durch GRU orchestriert

Georgia
Während der georgisch-russischen Spionage-Kontroverse 2006 wurden vier Beamte der GRU Alexander Savva, Dmitry Kazantsev, Aleksey Zavgorodny und Alexander Baranov von der Abteilung für Spionageabwehr des georgischen Innenministeriums festgenommen und wegen Spionage und Sabotage angeklagt. Dieses Spionagenetzwerk wurde von GRU-Oberst Anatoly Sinitsin aus Armenien verwaltet. Einige Tage später wurden die verhafteten Beamten über die Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) an Russland übergeben.

Die Spetsnaz GRU-Einheit Nr. 48427, eine Luftlandeeinheit, nahm am russisch-georgischen Krieg teil.

Japan
Im September 2000 wies Japan Kapitän Viktor Bogatenkov, einen Militärattaché der russischen Botschaft in Tokio, wegen Spionagevorwürfen aus. [69] Bogatenkov war ein GRU-Agent, der Verschlusssachen von Shigehiro Hagisaki (萩 嵜 繁 博) erhielt, einem Forscher am Nationalen Institut für Verteidigungsstudien.

Moldawien
Im Juni 2017 hat Moldawien fünf russische GRU-Aktivisten mit diplomatischer Deckung aus der russischen Botschaft in Chisinau ausgewiesen, da sie vermutlich versuchen, Kämpfer aus Gagausien zu rekrutieren, um im anhaltenden Konflikt mit der Ukraine zu kämpfen. Der stellvertretende russische Außenminister Grigory Karasin wies die Vorwürfe zurück.

Montenegro
Es wird angenommen, dass die beiden russischen Staatsangehörigen, die von der montenegrinischen Staatsanwaltschaft als Organisatoren des Putschversuchs in Montenegro im Oktober 2016 angeklagt wurden, GRU-Offiziere sind. Einer von ihnen, Eduard Vadimovich Shishmakov (“Shirokov”), war im Oktober 2014 offiziell als GRU identifiziert worden, als Shishmakov, der damals die Position eines stellvertretenden Militärattachés in der russischen Botschaft in Polen innehatte, von den Polen zur Persona non grata erklärt wurde Regierung.

Russland
Berichten zufolge dienten Dmitry Kozak und Vladislav Surkov, Mitglieder der Wladimir Putin-Regierung, in der GRU. Zwei Tschetschenen, Said-Magomed Kakiev und der frühere Kriegsherr Sulim Yamadayev, waren Kommandeure der Spezialbataillone Wostok und Zapad (“Ost” und “West”), die von der GRU kontrolliert wurden. Zu den Bataillonen gehörten bis zu ihrer Auflösung im Jahr 2008 jeweils fast tausend Kämpfer.

Ungefähr 300 Kommandos, Geheimdienstoffiziere und anderes GRU-Personal starben während der Kämpfe in Tschetschenien.

GRU-Abteilungen aus Tschetschenien wurden nach dem Libanonkrieg 2006 unabhängig von der Interimstruppe der Vereinten Nationen im Libanon in den Libanon versetzt.

Zelimkhan Yandarbiyev wurde von zwei GRU-Offizieren ermordet. GRU-Offiziere wurden auch beschuldigt, kriminelle Todesschwadronen geschaffen zu haben.

Spanien
Laut Berichten von Bellingcat, El País und der Civica Media Foundation untersucht die Audiencia Nacional eine GRU-Gruppe namens Unit 29155 und ihre Aktivitäten in Spanien. Die GRU-Mitglieder Denis Sergeev, Alexey Kalinin und Mikhail Opryshko sollen zur Zeit des katalanischen Unabhängigkeitsreferendums 2017 in Barcelona operiert haben.

Syrien
Siehe auch: Russische militärische Intervention im syrischen Bürgerkrieg
Die Sechste Direktion war für die Aufrechterhaltung des verdeckten Abhörpostens des Zentrums S in Syrien verantwortlich, bevor es 2014 an die Freie Syrische Armee verloren wurde. Die Sechste Direktion betreibt auch einen Signalaufklärungsposten auf der Hmeimim Air Base in der Nähe von Latakia.

Im Jahr 2015 sind Berichten zufolge Soldaten der GRU-Spezialeinheiten in Aleppo und Homs erschienen. GRU-Beamte haben auch Qamischli nahe der Grenze zur Türkei besucht.

Türkei
Im Jahr 2018 veröffentlichte die türkische Regierung Videoüberwachungsvideos von der Ermordung eines tschetschenischen Kommandanten Abdulvahid Edelgiriev, der 2015 in Istanbul getötet wurde

Ukraine
Die GRU Spetsnaz waren an der Annexion der Krim durch die Russische Föderation und am Krieg in Donbass beteiligt. Während des Vorfalls in der Kertsch-Straße im November 2018 sandte die Einheit 54777 der GRU Textnachrichten an ukrainische Männer in der Grenzregion, in denen sie aufgefordert wurden, sich zum Militärdienst zu melden.

Großbritannien
Im September 2018 ernannte die Kronstaatsanwaltschaft offiziell zwei russische Staatsangehörige, Alexander Petrov und Ruslan Boshirov (die Namen, die die Männer bei ihrer Einreise nach Großbritannien verwendeten), zu mutmaßlichen Tätern des Attentats auf den ehemaligen GRU-Offizier Sergei Skripal und seine Tochter in März 2018. Im Rahmen der Anklageerhebung veröffentlichte Scotland Yard einen detaillierten Überblick über die 48 Stunden der Personen in Großbritannien. Dies umfasste ihre Ankunft in Großbritannien am Flughafen Gatwick, die Reise nach Salisbury am Tag vor dem Angriff, die Reise nach Salisbury am Tag des Angriffs und die Rückkehr nach Moskau über den Flughafen Heathrow. Die beiden Männer verbrachten beide Nächte im City Stay Hotel an der Bow Road in East London, und Novichok wurde in ihrem Zimmer gefunden, nachdem die Polizei es am 4. Mai 2018 abgeriegelt hatte. Die britische Premierministerin Theresa May teilte den Commons am selben Tag mit, dass die Verdächtigen Teil der G.U. Der Geheimdienst (früher bekannt als GRU) und das Attentat waren keine Schurkenoperation und wurden “mit ziemlicher Sicherheit” auf hoher Ebene des russischen Staates genehmigt.

Als Nebeneffekt der Skripal-Vergiftungsuntersuchung berichteten russische und westliche Medien über Schlussfolgerungen von Open-Source-Geheimdiensten, wonach GRU-Mitarbeiter russische Auslandsreisepässe mit bestimmten Merkmalen erhalten hätten, die ihre vorläufige Identifizierung ermöglichen würden. Durch weitere Forschungen wurde “Boshirov” im Herbst 2018 öffentlich als Anatoliy Chepiga, ein ausgezeichneter GRU-Offizier, und “Petrov” als Alexander Mishkin entlarvt.

Vereinigte Staaten
Der GRU-Offizier Stanislav Lunev, der 1992 in die USA abwanderte, als er unter dem Deckmantel eines Korrespondenten der TASS-Nachrichtenagentur in Washington stationiert war, veröffentlichte in den 1990er Jahren seine Behauptungen, dass kleine Atomwaffen in einen Rucksack, eine Aktentasche oder einen Koffer passen könnten war in den USA und anderen Ländern der Welt heimlich vorpositioniert worden, um von russischen Agenten im Kriegsfall zur Sabotage eingesetzt zu werden. Der US-Kongressabgeordnete Curt Weldon verfolgte diese Behauptungen öffentlich und gab zu, dass sie vom FBI als weitgehend falsch befunden worden waren. Durchsuchungen der von Lunev identifizierten Gebiete – der zugab, in den USA niemals Waffen gepflanzt zu haben – wurden durchgeführt, “aber Strafverfolgungsbeamte haben solche Waffen-Caches mit oder ohne tragbare Atomwaffen nie gefunden”.

What is the Russian military agency GRU, accused of nefarious ...

GRU in den sozialen Medien stark aktiv – die Trolle aus Moskau agieren global

Wahlbeeinflussung
Der stellvertretende Generalstaatsanwalt der Vereinigten Staaten, Rod Rosenstein, kündigte 2018 eine Anklage gegen 12 russische Geheimdienstoffiziere wegen Hacking-Straftaten im Zusammenhang mit den US-Präsidentschaftswahlen 2016 an.
Am 29. Dezember 2016 sanktionierte das Weiße Haus die neun Unternehmen und Einzelpersonen, einschließlich der GRU und des FSB, für ihre angeblichen Aktivitäten, um Desinformation während der US-Präsidentschaftswahlen 2016 zu stören und zu verbreiten. Darüber hinaus erklärte das US-Außenministerium 35 russische Diplomaten und Beamte zur Persona non grata und verweigerte russischen Regierungsbeamten den Zugang zu zwei Einrichtungen in russischem Besitz in Maryland und New York. Am 13. Juli 2018 wurde eine Anklage gegen mehrere GRU-Mitarbeiter erhoben. Die GRU-Einheiten 26165 und 74455 sollen sich hinter der DCLeaks-Website befinden und wurden angeklagt, Zugang zu und Verbreitung von Informationen aus Daten von etwa 500.000 Wählern von einer Website des State Election Board sowie den E-Mail-Konten von John Podesta, Hillary Clinton und Freiwilligen erhalten zu haben und Mitarbeiter der Präsidentschaftskampagne der Vereinigten Staaten von Hillary Clinton, des Komitees für demokratische Kongresskampagnen und des Demokratischen Nationalkomitees (DNC). Nach Informationen von Reality Winner versuchte die GRU, den Wahlmaschinenhersteller VR Systems sowie lokale Wahlbeamte zu hacken.

Im Juli 2018 veröffentlichte der stellvertretende Generalstaatsanwalt Rod Rosenstein eine Anklageschrift, die von einer großen Jury zurückgegeben wurde, in der zwölf GRU-Beamte wegen Verschwörung zur Einmischung in die Wahlen 2016 angeklagt wurden.

Laut Microsoft-Vizepräsident Tom Burt war eine von der GRU geführte Gruppe namens Strontium (alternativ bekannt als APT28, Sofacy und Pawn Strorm sowie Fancy Bear) bei den Zwischenwahlen 2018 an Spear-Phishing-Angriffen gegen mindestens drei Kampagnen beteiligt.

Bemerkenswerte Überläufer und Doppelagenten
Igor Gouzenko, ein GRU-Chiffrierangestellter, der in Kanada übergelaufen ist
Walter Krivitsky, ein GRU-Überläufer, der voraussagte, dass Joseph Stalin und Adolf Hitler einen nationalsozialistischen Nichtangriffspakt abschließen würden, wurde 1941 tot aufgefunden
Stanislav Lunev
Oleg Penkovsky, ein GRU-Offizier, der während der Kubakrise eine Rolle spielte
Dmitri Polyakov, angeblich der ranghöchste GRU-Doppelagent, der dem sowjetischen Geheimdienst während seiner 25-jährigen Arbeit für die CIA den größten Schaden zugefügt hat
Ignace Reiss, ein GRU-Überläufer, der im Juli 1937 ein Überfallschreiben an Stalin sandte, wurde im September 1937 tot aufgefunden
Sergei Skripal
Viktor Suworow (Vladimir Bogdanovich Rezun)

Direktoren
Der Chef des russischen Militärgeheimdienstes ist ein Militäroffizier. Er ist der primäre militärische Geheimdienstberater des russischen Verteidigungsministers und des russischen Stabschefs und antwortet in gewissem Umfang auch dem russischen Präsidenten, wenn er dazu aufgefordert wird.

GRU Chef Igor Korobov (rechts) starb unter mysteriösen Umständen, links der Verteidigungsminister Sergey Shoigu

 

Nr.  Name Dienstzeit Staatschef
1 Yevgeny Timokhin November 1991 – August 1992 Boris Yeltsin
2 Fyodor Ladygin August 1992 – Mai 1997 Boris Yeltsin
3 Valentin Korabelnikov Mai 1997 – 24 April 2009 Boris Yeltsin
Vladimir Putin
Dmitry Medvedev
4 Alexander Shlyakhturov 24 April 2009 – 25 Dezember 2011 Dmitry Medvedev
5 Igor Sergun 26 Dezember 2011 – 3 Januar 2016 Dmitry Medvedev
Vladimir Putin
— vakante Position 3 Januar – 1 Februar 2016 Vladimir Putin
6 Igor Korobov 2 Februar 2016 – 21 November 2018 Vladimir Putin
7 Igor Kostyukov 22 November 2018 – gegenwärtig

Fancy Bear – Die GRU – Hacking – Abteilung Unter Der Lupe

Fancy Bear APT Uses New Cannon Trojan to Target Government Entities

Fancy Bear (auch bekannt als APT28 (von Mandiant), Pawn Storm, Sofacy Group (von Kaspersky), Sednit, Tsar Team (von FireEye) und STRONTIUM (von Microsoft)) ist eine russische Cyberspionagegruppe. Das Cybersicherheitsunternehmen CrowdStrike hat analysiert, dass es mit dem russischen Militärgeheimdienst GRU in Verbindung steht. Das britische Außen- und Commonwealth-Amt sowie die Sicherheitsfirmen SecureWorks ThreatConnect und Fireeyes Mandiant haben ebenfalls erklärt, dass die Gruppe von der russischen Regierung gesponsert wird. Im Jahr 2018 identifizierte eine Anklage des United States Special Counsel Fancy Bear als zwei GRU-Einheiten, bekannt als Unit 26165 und Unit 74455.

Der Name “Fancy Bear” stammt von einem Sicherheitsforscher des Codierungssystems, mit dem Dmitri Alperovitch Hacker identifiziert.

Die Methoden von Fancy Bear, die wahrscheinlich seit Mitte der 2000er Jahre in Betrieb sind, stimmen mit den Fähigkeiten staatlicher Akteure überein. Die Gruppe richtet sich gegen Regierungs-, Militär- und Sicherheitsorganisationen, insbesondere an transkaukasische und NATO-ausgerichtete Staaten. Fancy Bear soll für Cyber-Angriffe auf das deutsche Parlament, den französischen Fernsehsender TV5Monde, das Weiße Haus, die NATO, das Demokratische Nationalkomitee, die Organisation für Sicherheit und Zusammenarbeit in Europa und die Kampagne des französischen Präsidentschaftskandidaten Emmanuel Macron verantwortlich sein.

Die Gruppe fördert die politischen Interessen der russischen Regierung und ist dafür bekannt, E-Mails des Demokratischen Nationalkomitees hehackt zu haben, um zu versuchen, das Ergebnis der Präsidentschaftswahlen 2016 in den USA zu beeinflussen.

Fancy Bear wird von Fireeye als fortgeschrittene, anhaltende Bedrohung eingestuft. Unter anderem werden Zero-Day-Exploits, Spear-Phishing und Malware verwendet, um Zielpersonen zu gefährden.

Trend Micro hat die Akteure hinter der Sofacy-Malware am 22. Oktober 2014 als Operation Pawn Storm bezeichnet. Der Name war darauf zurückzuführen, dass die Gruppe “zwei oder mehr verbundene Werkzeuge / Taktiken einsetzte, um ein bestimmtes Ziel anzugreifen, das der Schachstrategie ähnelt”, das als Bauernsturm bekannt ist.

Das Netzwerksicherheitsunternehmen FireEye veröffentlichte im Oktober 2014 einen detaillierten Bericht über Fancy Bear. In dem Bericht wurde die Gruppe als “Advanced Persistent Threat 28” (APT28) bezeichnet und beschrieben, wie die Hacking-Gruppe Zero-Day-Exploits des Microsoft Windows-Betriebssystems und von Adobe Flash verwendete. Der Bericht enthielt betriebliche Details, die darauf hinweisen, dass die Quelle ein “Regierungsgesponsor mit Sitz in Moskau” ist. Von FireEye gesammelte Beweise deuten darauf hin, dass die Malware von Fancy Bear hauptsächlich in einer russischsprachigen Build-Umgebung kompiliert wurde und hauptsächlich während der Arbeitszeit parallel zur Moskauer Zeitzone auftrat. Laura Galante, Direktorin für Bedrohungsinformationen bei FireEye, bezeichnete die Aktivitäten der Gruppe als “Staatsspionage” und sagte, dass zu den Zielen auch “Medien oder Influencer” gehören.

Der Name “Fancy Bear” leitet sich von dem Codierungssystem ab, das Dmitri Alperovitch für Hacker-Gruppen verwendet. “Bär” zeigt an, dass die Hacker aus Russland stammen. Fancy bezieht sich auf “Sofacy”, ein Wort in der Malware, das den Analysten, der es gefunden hat, an Iggy Azaleas Song “Fancy” erinnerte.

Zu den Zielen von Fancy Bear gehörten osteuropäische Regierungen und Militärs, das Land Georgien und der Kaukasus, die Ukraine, sicherheitsrelevante Organisationen wie die NATO sowie US-amerikanische Verteidigungsunternehmen Academi (früher bekannt als Blackwater) und Science Applications International Corporation (SAIC), Boeing, Lockheed Martin und Raytheon. Fancy Bear hat auch Bürger der Russischen Föderation angegriffen, die politische Feinde des Kremls sind, darunter den ehemaligen Ölmagnaten Mikhail Khodorkovsky und Maria Alekhina von der Band Pussy Riot. SecureWorks, ein Cybersicherheitsunternehmen mit Hauptsitz in den USA, kam zu dem Schluss, dass die Zielliste “Fancy Bear” von März 2015 bis Mai 2016 nicht nur das Demokratische Nationalkomitee der USA, sondern Zehntausende Feinde Putins und des Kremls in den USA umfasste USA, Ukraine, Russland, Georgien und Syrien. Es wurden jedoch nur eine Handvoll Republikaner ins Visier genommen. Eine AP-Analyse von 4.700 E-Mail-Konten, die von Fancy Bear angegriffen worden waren, ergab, dass kein anderes Land als Russland daran interessiert sein würde, so viele sehr unterschiedliche Ziele zu hacken, die nichts anderes gemeinsam zu haben schienen, als dass sie für die russische Regierung von Interesse waren.

The West fights back against Putin's cyber war - NEWSCABAL

Fancy Bear scheint auch zu versuchen, politische Ereignisse zu beeinflussen, damit Freunde oder Verbündete der russischen Regierung an die Macht kommen.

In den Jahren 2011–2012 war die Malware von Fancy Bear in der ersten Phase das Implantat “Sofacy” oder SOURFACE. Im Jahr 2013 fügte Fancy Bear weitere Werkzeuge und Hintertüren hinzu, darunter CHOPSTICK, CORESHELL, JHUHUGIT und ADVSTORESHELL.

Von Mitte 2014 bis Herbst 2017 richtete sich Fancy Bear gegen zahlreiche Journalisten in den USA, der Ukraine, Russland, Moldawien, dem Baltikum und anderen Ländern, die Artikel zur Diskreditierung Putins und des Kremls veröffentlicht hatten. Laut AP und SecureWorks ist diese Gruppe von Journalisten nach diplomatischem Personal und US-Demokraten die drittgrößte Gruppe, auf die Fancy Bear abzielt. Auf der Zielliste von Fancy Bear stehen Adrian Chen, die armenische Journalistin Maria Titizian, Eliot Higgins von Bellingcat, Ellen Barry und mindestens 50 andere Reporter der New York Times, mindestens 50 in Moskau ansässige Auslandskorrespondenten, die für unabhängige Nachrichtenagenturen arbeiteten, Josh Rogin, der Kolumnist der Washington Post, Shane Harris, ein Daily Beast-Autor, der 2015 über Geheimdienstfragen berichtete, Michael Weiss, ein CNN-Sicherheitsanalyst, Jamie Kirchick von der Brookings Institution, 30 Medienziele in der Ukraine, viele von der Kyiv Post, Reporter, die über den Russen berichteten -unterstützter Krieg in der Ostukraine sowie in Russland, wo die Mehrheit der von den Hackern angegriffenen Journalisten für unabhängige Nachrichten (z. B. Novaya Gazeta oder Vedomosti) wie Ekaterina Vinokurova bei Znak.com und die russischen Mainstream-Journalisten Tina Kandelaki, Ksenia Sobchak, arbeitete. und der russische Fernsehmoderator Pavel Lobkov, der alle für Dozhd arbeitete.

DMITRIY SERGEYEVICH BADIN — FBI

Fancy Bear soll für einen sechsmonatigen Cyber-Angriff auf das deutsche Parlament verantwortlich gewesen sein, der im Dezember 2014 begann. Am 5. Mai 2020 erließ die deutsche Bundesanwaltschaft im Zusammenhang mit den Anschlägen einen Haftbefehl gegen Dmitry Badin. Der Angriff hat die IT-Infrastruktur des Bundestages im Mai 2015 vollständig gelähmt. Um ihn zu stoppen, musste das gesamte Parlament tagelang offline geschaltet werden. IT-Experten schätzen, dass im Rahmen des Angriffs insgesamt 16 Gigabyte Daten aus dem Parlament heruntergeladen wurden.

Es wird auch vermutet, dass die Gruppe im August 2016 hinter einem Spear-Phishing-Angriff auf Mitglieder des Bundestages und mehrere politische Parteien wie die Linken-Fraktionsführerin Sahra Wagenknecht, die Junge Union und die CDU des Saarlandes steckt. Die Behörden befürchteten, dass Hacker sensible Informationen sammeln könnten, um die Öffentlichkeit später vor Wahlen wie den nächsten Bundestagswahlen in Deutschland, die im September 2017 stattfinden sollten, zu manipulieren.

CYBER-STASI – Page 10 – BERNDPULCH.ORG – BERND-PULCH.ORG – Stasi ...

Zudem scheint Fancy Bear wohl auch mit der berüchtigten Neo-STASI-Organisation “GoMoPa” zu kooperieren, speziell mit dem in Berlin ansässigen und in Dresden geborenen Sven Schmidt (Eagle IT).

 

Weitere Attacken von Fancy Bear:

Fünf Ehefrauen von US-Militärangehörigen erhielten am 10. Februar 2015 Morddrohungen von einer Hacker-Gruppe, die sich “CyberCaliphate” nennt und behauptet, eine Tochtergesellschaft des islamischen Staates zu sein. Später wurde festgestellt, dass dies ein Angriff unter falscher Flagge von Fancy Bear war, als festgestellt wurde, dass die E-Mail-Adressen der Opfer in der Phishing-Zielliste von Fancy Bear enthalten waren. Es ist auch bekannt, dass russische Social-Media-Trolle die Gefahr potenzieller Terroranschläge des islamischen Staates auf US-amerikanischem Boden übertreiben und Gerüchte verbreiten, um Angst und politische Spannungen zu säen.

Am 8. April 2015 wurde das französische Fernsehsender TV5Monde Opfer eines Cyber-Angriffs einer Hacker-Gruppe, die sich “CyberCaliphate” nennt und behauptet, Verbindungen zur Terrororganisation Islamischer Staat Irak und Levante (ISIL) zu haben. Französische Ermittler lehnten später die Theorie ab, dass militante Islamisten hinter dem Cyberangriff stecken, und vermuteten stattdessen die Beteiligung von Fancy Bear.

Hacker verstießen gegen die internen Systeme des Netzwerks, möglicherweise unterstützt durch Passwörter, die offen von TV5 ausgestrahlt wurden, und überschrieben das Rundfunkprogramm der 12 Kanäle des Unternehmens über drei Stunden lang. Der Dienst wurde in den frühen Morgenstunden des folgenden Morgens nur teilweise wiederhergestellt, und die normalen Rundfunkdienste wurden bis spät in den 9. April unterbrochen. Verschiedene computergestützte interne Verwaltungs- und Support-Systeme, einschließlich E-Mail, wurden aufgrund des Angriffs ebenfalls immer noch heruntergefahren oder waren auf andere Weise nicht zugänglich. Die Hacker entführten auch die Facebook- und Twitter-Seiten von TV5Monde, um die persönlichen Informationen von Verwandten französischer Soldaten, die an Aktionen gegen ISIS beteiligt waren, sowie Nachrichten zu veröffentlichen, die Präsident François Hollande kritisierten, und argumentierten, dass die Terroranschläge vom Januar 2015 “Geschenke” für seinen “unverzeihlichen Fehler” seien “an Konflikten teilzunehmen, die” keinen Zweck erfüllen “.

Der Generaldirektor von TV5Monde, Yves Bigot, sagte später, dass der Angriff das Unternehmen fast zerstört hätte: Wenn die Wiederherstellung des Rundfunks länger gedauert hätte, hätten Satellitenvertriebskanäle wahrscheinlich ihre Verträge gekündigt. Der Angriff sollte sowohl die Ausrüstung als auch das Unternehmen selbst zerstören und nicht wie die meisten anderen Cyber-Angriffe Propaganda oder Spionage betreiben. Der Angriff wurde sorgfältig geplant; Die erste bekannte Durchdringung des Netzwerks erfolgte am 23. Januar 2015. Die Angreifer führten dann eine Aufklärung von TV5Monde durch, um die Art und Weise zu verstehen, in der sie ihre Signale sendeten, und entwickelten maßgeschneiderte schädliche Software, um die mit dem Internet verbundene Hardware, die den Betrieb des Fernsehsenders kontrollierte, wie z. B. die Encodersysteme, zu beschädigen und zu zerstören. Sie verwendeten sieben verschiedene Einstiegspunkte, nicht alle Teil von TV5Monde oder sogar in Frankreich – einer war ein in den Niederlanden ansässiges Unternehmen, das die ferngesteuerten Kameras lieferte, die in den Studios von TV5 verwendet wurden. Zwischen dem 16. Februar und dem 25. März sammelten die Angreifer Daten auf internen TV5-Plattformen, einschließlich des internen IT-Wikis, und überprüften, ob die Anmeldeinformationen noch gültig waren. Während des Angriffs führten die Hacker eine Reihe von Befehlen aus, die aus TACACS-Protokollen extrahiert wurden, um die Firmware von Switches und Routern zu löschen.

Obwohl der Angriff angeblich vom IS stammte, forderte die französische Cyber-Agentur Bigot auf, nur zu sagen, dass die Nachrichten angeblich vom IS stammen. Später wurde ihm mitgeteilt, dass Beweise dafür gefunden worden seien, dass es sich bei den Angreifern um die APT 28-Gruppe russischer Hacker handele. Es wurde kein Grund für die Ausrichtung von TV5Monde gefunden, und die Quelle des Angriffsbefehls und die Finanzierung dafür sind nicht bekannt. Es wurde spekuliert, dass es wahrscheinlich ein Versuch war, Formen von Cyberwaffen zu testen. Die Kosten wurden im ersten Jahr auf 5 Mio. EUR (5,6 Mio. USD; 4,5 Mio. GBP) geschätzt, gefolgt von wiederkehrenden jährlichen Kosten von über 3 Mio. EUR (3,4 Mio. USD; 2,7 Mio. GBP) für neuen Schutz. Die Arbeitsweise des Unternehmens musste sich mit der Authentifizierung von E-Mails, der Überprüfung von Flash-Laufwerken vor dem Einfügen usw. ändern, was die Effizienz eines Nachrichtenmedienunternehmens, das Informationen verschieben muss, erheblich beeinträchtigte.

Die Sicherheitsfirma root9B veröffentlichte im Mai 2015 einen Bericht über Fancy Bear, in dem die Entdeckung eines gezielten Spear-Phishing-Angriffs gegen Finanzinstitute angekündigt wurde. In dem Bericht wurden internationale Bankinstitute aufgeführt, auf die abgezielt wurde, darunter die United Bank für Afrika, die Bank of America, die TD Bank und die UAE Bank. Laut root9B begannen die Vorbereitungen für die Angriffe im Juni 2014, und die verwendete Malware trug “spezifische Signaturen, die historisch nur für eine Organisation, Sofacy, einzigartig waren”. Der Sicherheitsjournalist Brian Krebs stellte die Richtigkeit der Behauptungen von root9B in Frage und postulierte dies Die Angriffe stammten tatsächlich von nigerianischen Phishern. Im Juni 2015 veröffentlichte der angesehene Sicherheitsforscher Claudio Guarnieri einen Bericht, der auf seiner eigenen Untersuchung eines gleichzeitigen SOFACY-Exploits gegen den Deutschen Bundestag basiert, und schrieb root9B die Meldung zu, dass “dieselbe IP-Adresse wie der Command & Control-Server in der Angriff gegen den Bundestag (176.31.112.10) “und fuhr fort, dass aufgrund seiner Untersuchung des Bundestag-Angriffs” zumindest einige “Indikatoren im Bericht von root9B korrekt erschienen, einschließlich eines Vergleichs des Hashs der Malware-Stichprobe von beiden Vorfälle. root9B veröffentlichte später einen technischen Bericht, in dem Claudios Analyse von SOFACY-zugeschriebener Malware mit ihrer eigenen Stichprobe verglichen wurde, was die Richtigkeit ihres ursprünglichen Berichts erhöht.

EFF-Parodie, Angriff des Weißen Hauses und der NATO (August 2015)
Im August 2015 nutzte Fancy Bear einen Zero-Day-Exploit von Java, um die Electronic Frontier Foundation zu fälschen und Angriffe auf das Weiße Haus und die NATO zu starten. Die Hacker verwendeten einen Spear-Phishing-Angriff und leiteten E-Mails an die falsche URL electronicfrontierfoundation.org.

Im August 2016 meldete die Welt-Anti-Doping-Agentur den Empfang von Phishing-E-Mails, die an Benutzer ihrer Datenbank gesendet wurden und behaupteten, offizielle WADA-Mitteilungen zu sein, in denen ihre Anmeldedaten angefordert wurden. Nach Durchsicht der beiden von der WADA bereitgestellten Domains wurde festgestellt, dass die Registrierungs- und Hosting-Informationen der Websites mit der russischen Hacking-Gruppe Fancy Bear übereinstimmten. Laut WADA waren einige der von den Hackern veröffentlichten Daten gefälscht worden.

Hacker Whois: Fancy Bear. Russian State Hackers - YouTube

Aufgrund von Hinweisen auf weit verbreitetes Doping durch russische Athleten empfahl die WADA, russischen Athleten die Teilnahme an den Olympischen und Paralympischen Spielen 2016 in Rio zu verweigern. Analysten sagten, sie glaubten, der Hack sei teilweise ein Akt der Vergeltung gegen die Whistleblowing-Sportlerin Yuliya Stepanova, deren persönliche Informationen im Rahmen des Verstoßes veröffentlicht wurden. Im August 2016 gab die WADA bekannt, dass gegen ihre Systeme verstoßen wurde, und erklärte, dass Hacker von Fancy Bear ein vom Internationalen Olympischen Komitee (IOC) erstelltes Konto verwendet hatten, um Zugriff auf ihre ADAMS-Datenbank (Anti-Doping Administration and Management System) zu erhalten. Die Hacker nutzten dann die Website Fantasiebear.net, um die olympischen Drogentestdateien mehrerer Athleten zu veröffentlichen, die Ausnahmen von der therapeutischen Verwendung erhalten hatten, darunter die Turnerin Simone Biles, die Tennisspieler Venus und Serena Williams sowie die Basketballspielerin Elena Delle Donne. Die Hacker haben sich auf Athleten konzentriert, denen von der WADA aus verschiedenen Gründen Ausnahmen gewährt worden waren. Nachfolgende Lecks schlossen Athleten aus vielen anderen Ländern ein.

Eliot Higgins und andere Journalisten, die mit Bellingcat in Verbindung stehen, einer Gruppe, die den Abschuss von Malaysia Airlines Flug 17 über der Ukraine untersucht, wurden von zahlreichen Spearphishing-E-Mails angesprochen. Die Nachrichten waren gefälschte Google Mail-Sicherheitshinweise mit verkürzten Bit.ly- und TinyCC-URLs. Laut ThreatConnect stammten einige der Phishing-E-Mails von Servern, die Fancy Bear bei früheren Angriffen an anderer Stelle verwendet hatte. Bellingcat ist am besten dafür bekannt, Russland beschuldigt zu haben, für den Abschuss von MH17 verantwortlich zu sein, und wird in den russischen Medien häufig verspottet.

The fur is not gonna fly: Uncle Sam charges seven Russians with ...

Ähnliche Phishing E-Mails erhielt der Autor dieser Zeilen, neben Morddrohungen seit mehr als 10 Jahren.

Die Gruppe richtete sich vor und nach der Veröffentlichung des Abschlussberichts des Boards an die niederländische Sicherheitsbehörde, die die offizielle Untersuchung des Absturzes durchführte. Sie richten gefälschte SFTP- und VPN-Server ein, um die eigenen Server des Boards nachzuahmen, wahrscheinlich um Benutzernamen und Passwörter zu speeren. Ein Sprecher des DSB sagte, die Angriffe seien nicht erfolgreich gewesen.

Demokratisches Nationalkomitee (2016)
Fancy Bear führte im ersten Quartal 2016 Spear-Phishing-Angriffe auf E-Mail-Adressen des Demokratischen Nationalkomitees durch. Am 10. März kamen Phishing-E-Mails an, die hauptsächlich an alte E-Mail-Adressen der Mitarbeiter der Demokratischen Kampagne 2008 gerichtet waren. Eines dieser Konten hat möglicherweise aktuelle Kontaktlisten geliefert. Am nächsten Tag weiteten sich Phishing-Angriffe auf die nicht öffentlichen E-Mail-Adressen hochrangiger Beamter der Demokratischen Partei aus. Die Adressen von Hillaryclinton.com wurden angegriffen, für den Zugriff war jedoch eine Zwei-Faktor-Authentifizierung erforderlich. Der Angriff wurde am 19. März auf Google Mail-Konten umgeleitet. Das Google Mail-Konto von Podesta wurde am selben Tag mit 50.000 gestohlenen E-Mails verletzt. Die Phishing-Angriffe verschärften sich im April, obwohl die Hacker für den Tag am 15. April, der in Russland ein Feiertag zu Ehren der elektronischen Kriegsdienste des Militärs war, plötzlich inaktiv zu werden schienen. Die bei dem Angriff verwendete Malware hat gestohlene Daten an dieselben Server gesendet, die für den Angriff der Gruppe 2015 auf das deutsche Parlament verwendet wurden.

Am 14. Juni veröffentlichte CrowdStrike einen Bericht, in dem der DNC-Hack veröffentlicht und Fancy Bear als Schuldige identifiziert wurde. Dann erschien eine Online-Person, Guccifer 2.0, die den alleinigen Verdienst für den Verstoß geltend machte.

IRON TWILIGHT Supports Active Measures | Secureworks

Eine andere hoch entwickelte Hacking-Gruppe, die der Russischen Föderation zugeschrieben wird, mit dem Spitznamen Cosy Bear, war zur gleichen Zeit auch auf den Servern der DNC präsent. Die beiden Gruppen schienen sich jedoch der anderen nicht bewusst zu sein, da jede unabhängig voneinander dieselben Passwörter stahl und ihre Bemühungen auf andere Weise verdoppelte. Cosy Bear scheint eine andere Agentur zu sein, die sich mehr für traditionelle Langzeitspionage interessiert. Ein CrowdStrike-Forensikteam stellte fest, dass Cosy Bear zwar seit über einem Jahr im DNC-Netzwerk war, Fancy Bear jedoch nur wenige Wochen dort.

Laut CrowdStrike nutzte die Gruppe von 2014 bis 2016 Android-Malware, um auf die Raketentruppen und die Artillerie der ukrainischen Armee abzuzielen. Sie verteilten eine infizierte Version einer Android-App, deren ursprünglicher Zweck darin bestand, die Zieldaten für die D-30-Haubitzenartillerie zu steuern. Die von ukrainischen Offizieren verwendete App wurde mit der X-Agent-Spyware geladen und online in Militärforen veröffentlicht. CrowdStrike behauptete zunächst, dass mehr als 80% der ukrainischen D-30-Haubitzen im Krieg zerstört wurden, der höchste prozentuale Verlust aller Artilleriegeschütze in der Armee (ein Prozentsatz, der zuvor noch nie gemeldet worden war und den Verlust fast des gesamten Arsenals bedeuten würde des größten Artilleriegeschützes der ukrainischen Streitkräfte. Nach Angaben der ukrainischen Armee waren die Zahlen von CrowdStrike falsch und die Verluste an Artillerie-Waffen “lagen weit unter den gemeldeten” und diese Verluste “haben nichts mit der angegebenen Ursache zu tun”. CrowdStrike hat diesen Bericht inzwischen überarbeitet, nachdem das Internationale Institut für strategische Studien (IISS) seinen ursprünglichen Bericht abgelehnt hatte und behauptete, dass die Malware-Hacks zu Verlusten von 15 bis 20% statt zu ihrer ursprünglichen Zahl von 80% geführt hätten.

Fancy Bear: Russische Hacker griffen 200 Journalisten an | ZEIT ONLINE

Windows Zero-Day (Oktober 2016)
Am 31. Oktober 2016 hat die Threat Analysis Group von Google in den meisten Microsoft Windows-Versionen eine Zero-Day-Sicherheitsanfälligkeit festgestellt, die Gegenstand aktiver Malware-Angriffe ist. Am 1. November 2016 veröffentlichte Terry Myerson, Executive Vice President der Windows- und Gerätegruppe von Microsoft, einen Beitrag im Microsoft-Blog für Bedrohungsforschung und -reaktion, in dem er die Sicherheitsanfälligkeit anerkannte und erklärte, dass in einer “Spear-Phishing-Kampagne mit geringem Volumen” für bestimmte Benutzer zwei verwendet wurden Zero-Day-Schwachstellen in Adobe Flash und im Windows-Kernel auf niedrigerer Ebene. ” Microsoft wies auf Fancy Bear als Bedrohungsakteur hin und bezog sich auf die Gruppe mit ihrem internen Codenamen STRONTIUM.

Niederländische Ministerien (Februar 2017)
Im Februar 2017 gab der niederländische General Intelligence and Security Service (AIVD) bekannt, dass Fancy Bear und Cosy Bear in den vergangenen sechs Monaten mehrere Versuche unternommen hatten, sich in niederländische Ministerien, einschließlich des Ministeriums für allgemeine Angelegenheiten, einzumischen. Rob Bertholee, Leiter der AIVD, sagte auf EenVandaag, dass die Hacker Russen seien und versucht hätten, Zugang zu geheimen Regierungsdokumenten zu erhalten.

In einem Briefing an das Parlament kündigte der niederländische Innen- und Königreichsminister Ronald Plasterk an, dass die Stimmen für die niederländischen Parlamentswahlen im März 2017 von Hand gezählt würden.

IAAF-Hack (Februar 2017)
Die Beamten des Internationalen Verbandes der Leichtathletikverbände (IAAF) gaben im April 2017 an, dass seine Server von der Gruppe “Fancy Bear” gehackt wurden. Der Angriff wurde von der Cybersicherheitsfirma Context Information Security entdeckt, die feststellte, dass am 21. Februar ein nicht autorisierter Fernzugriff auf die Server der IAAF stattgefunden hatte. Die IAAF gab an, dass die Hacker auf die Anträge auf Ausnahmegenehmigung für die therapeutische Verwendung zugegriffen hatten, die für die Verwendung von von der WADA verbotenen Medikamenten erforderlich waren.

FANCY BEAR Archives - Security AffairsSecurity Affairs

Forscher von Trend Micro veröffentlichten 2017 einen Bericht, in dem die Versuche von Fancy Bear, Zielgruppen im Zusammenhang mit den Wahlkämpfen von Emmanuel Macron und Angela Merkel anzusprechen, beschrieben wurden. Dem Bericht zufolge haben sie die Macron-Kampagne mit Phishing und dem Versuch, Malware auf ihrer Website zu installieren, ins Visier genommen. Die Cybersicherheitsbehörde ANSSI der französischen Regierung bestätigte, dass diese Angriffe stattgefunden haben, konnte jedoch die Verantwortung von APT28 nicht bestätigen. Die Kampagne von Marine Le Pen scheint nicht von APT28 ins Visier genommen worden zu sein, was möglicherweise auf die russische Präferenz für ihre Kampagne hinweist. Putin hatte zuvor die Vorteile für Russland angepriesen, wenn Marine Le Pen gewählt wurde.

Dem Bericht zufolge richteten sie sich dann gegen die deutsche Konrad-Adenauer-Stiftung und die Friedrich-Ebert-Stiftung, Gruppen, die mit der Christlich-Demokratischen Union von Angela Merkel bzw. der Sozialdemokratischen Partei der Opposition verbunden sind. Fancy Bear hat Ende 2016 gefälschte E-Mail-Server eingerichtet, um Phishing-E-Mails mit Links zu Malware zu senden.

Internationales Olympisches Komitee
Am 10. Januar 2018 hat die Online-Persona “Fancy Bears Hack Team” die scheinbar gestohlenen E-Mails des Internationalen Olympischen Komitees (IOC) und des US-amerikanischen Olympischen Komitees von Ende 2016 bis Anfang 2017 als offensichtliche Vergeltung für das Verbot des IOC durchgesickert von russischen Athleten von den Olympischen Winterspielen 2018 als Sanktion für Russlands systematisches Dopingprogramm. Der Angriff ähnelt den früheren Lecks der World Anti-Doping Agency (WADA). Es ist nicht bekannt, ob die E-Mails vollständig authentisch sind, da Fancy Bear in der Vergangenheit gestohlene E-Mails mit Desinformation gesalzen hat. Die Art des Angriffs war ebenfalls nicht bekannt, war aber wahrscheinlich Phishing.

Cyber-Sicherheitsexperten haben auch behauptet, dass Angriffe offenbar auch auf das professionelle Abfüllunternehmen für Sportdrogentests gerichtet waren, das als Berlinger Group bekannt ist.

Fancy Bear verwendet fortschrittliche Methoden, die den Fähigkeiten staatlicher Akteure entsprechen. Sie verwenden Spear-Phishing-E-Mails, als Nachrichtenquellen getarnte Websites zum Löschen von Malware und Zero-Day-Schwachstellen. Eine Forschungsgruppe für Cybersicherheit stellte fest, dass 2015 nicht weniger als sechs verschiedene Zero-Day-Exploits verwendet wurden. Dies ist eine beachtliche technische Leistung, die eine große Anzahl von Programmierern erfordern würde, die nach bisher unbekannten Schwachstellen in kommerzieller Software der Spitzenklasse suchen. Dies ist ein Zeichen dafür, dass Fancy Bear ein staatliches Programm ist und keine Bande oder ein einsamer Hacker.

The Newcomer's Guide to Cyber Threat Actor Naming - Florian Roth ...

Eines der bevorzugten Ziele von Fancy Bear sind webbasierte E-Mail-Dienste. Ein typischer Kompromiss besteht darin, dass webbasierte E-Mail-Benutzer eine E-Mail erhalten, in der sie dringend aufgefordert werden, ihre Kennwörter zu ändern, um nicht gehackt zu werden. Die E-Mail enthält einen Link zu einer gefälschten Website, die eine echte Webmail-Oberfläche imitiert. Benutzer versuchen, sich anzumelden, und ihre Anmeldeinformationen werden gestohlen. Die URL wird häufig als verkürzter bit.ly-Link verdeckt, um Spamfilter zu umgehen. Fancy Bear sendet diese Phishing-E-Mails hauptsächlich montags und freitags. Sie senden auch E-Mails, die angeblich Links zu Nachrichten enthalten, aber stattdessen Links zu Malware-Drop-Sites, die Toolkits auf dem Computer des Ziels installieren. Fancy Bear registriert auch Domains, die legitimen Websites ähneln, und erstellt dann eine Parodie der Website, um ihren Opfern Anmeldeinformationen zu stehlen. Es ist bekannt, dass Fancy Bear seinen Befehlsverkehr über Proxy-Netzwerke von Opfern weiterleitet, die es zuvor kompromittiert hat.

Zu der von Fancy Bear verwendeten Software gehören ADVSTORESHELL, CHOPSTICK, JHUHUGIT und XTunnel. Fancy Bear verwendet eine Reihe von Implantaten, darunter Foozer, WinIDS, X-Agent, X-Tunnel, Sofacy und DownRange-Tropfer. Basierend auf den Kompilierungszeiten kam FireEye zu dem Schluss, dass Fancy Bear seine Malware seit 2007 ständig aktualisiert hat. Um die Erkennung zu verhindern, kehrt Fancy Bear in die Umgebung zurück, um die Implantate zu wechseln, die Befehls- und Kontrollkanäle zu ändern und die persistenten Methoden zu ändern. Die Bedrohungsgruppe implementiert Gegenanalysetechniken, um ihren Code zu verschleiern. Sie fügen codierten Strings Junk-Daten hinzu, was das Decodieren ohne den Junk-Entfernungsalgorithmus schwierig macht. Fancy Bear ergreift Maßnahmen, um eine forensische Analyse seiner Hacks zu verhindern, die Zeitstempel für Dateien zurückzusetzen und die Ereignisprotokolle regelmäßig zu löschen.

Javelin vs. APT28 (Fancy Bear) – Javelin Networks Blog

Laut einer Anklage des United States Special Counsel wurde X-Agent von GRU-Leutnant Captain Nikolay Yuryevich Kozachek “entwickelt, angepasst und überwacht”.

Es ist bekannt, dass Fancy Bear Implantate für Zielumgebungen zuschneidet und sie beispielsweise für die Verwendung lokaler E-Mail-Server neu konfiguriert. Im August 2015 entdeckte und blockierte Kaspersky Lab eine Version des ADVSTORESHELL-Implantats, mit der Verteidigungsunternehmen angegriffen wurden. Eineinhalb Stunden nach dem Block hatten die Schauspieler von Fancy Bear eine neue Hintertür für das Implantat zusammengestellt und geliefert.

Bildung
Einheit 26165 war an der Gestaltung des Lehrplans an mehreren öffentlichen Schulen in Moskau beteiligt, einschließlich der Schule 1101.

Verwandte Personas
Fancy Bear erstellt manchmal Online-Personas, um Desinformation zu säen, Schuldzuweisungen abzulenken und plausible Leugnung für ihre Aktivitäten zu schaffen.

Guccifer 2.0
Eine Online-Person, die zum ersten Mal auftauchte und die Verantwortung für die DNC-Hacks übernahm, am selben Tag, an dem die Geschichte bekannt wurde, dass Fancy Bear verantwortlich war. Guccifer 2.0 behauptet, ein rumänischer Hacker zu sein, aber als sie vom Motherboard-Magazin interviewt wurden, wurden ihnen Fragen auf Rumänisch gestellt und sie schienen nicht in der Lage zu sein, die Sprache zu sprechen. Einige Dokumente, die sie veröffentlicht haben, scheinen Fälschungen zu sein, die aus Material früherer Hacks und öffentlich zugänglichen Informationen zusammengeschustert und dann mit Desinformation gesalzen wurden.

Fancy Bears ‘Hack Team
Eine Website, die erstellt wurde, um Dokumente zu verlieren, die bei den WADA- und IAAF-Angriffen aufgenommen wurden, wurde mit einem kurzen Manifest vom 13. September 2016 versehen, in dem verkündet wurde, dass die Website dem “Fancy Bears ‘Hack-Team” gehört, das angeblich ein “internationales Hack-Team” ist. die “für Fairplay und sauberen Sport stehen”. Die Seite übernahm die Verantwortung für das Hacken der WADA und versprach, “einen sensationellen Beweis dafür zu liefern, dass berühmte Athleten Dopingsubstanzen einnehmen”, beginnend mit der US-Olympiamannschaft, die “ihren Namen durch verdorbene Siege beschämt” habe. Die WADA sagte, einige der unter diesem Namen durchgesickerten Dokumente seien Fälschungen, und diese Daten seien geändert worden.

Russia hacked French election, Trend Micro says in report on ...

Anonymes Polen
Ein Twitter-Account mit dem Namen “Anonymous Poland” (@anpoland) übernahm die Verantwortung für den Angriff auf die Welt-Anti-Doping-Agentur und veröffentlichte Daten, die vom Schiedsgericht für Sport, einem sekundären Ziel, gestohlen wurden. ThreatConnect unterstützt die Ansicht, dass das anonyme Polen eine Strohpuppe von Fancy Bear ist, und bemerkt den Wechsel von einem historischen Fokus auf die Innenpolitik. Ein von Anonymous Poland hochgeladenes Screenshot-Video zeigt ein Konto mit polnischen Spracheinstellungen, aber der Browserverlauf hat gezeigt, dass sie in Google.ru (Russland) und Google.com (USA) gesucht hatten, aber nicht in Google.pl (Polen).

Fancy Bear zielte auf europäische Think Tanks ab

Internet of Things: Neue Angriffe der Hackergruppe Fancy Bear ...

In einem Blogbeitrag gab Microsoft bekannt, dass Hacker Ende letzten Jahres versucht haben, Konten europäischer Think Tanks zu verletzen. Während der laufenden Ermittlungen ist Microsoft “zuversichtlich”, dass viele der Versuche von der Spionagegruppe Fancy Bear stammen, die die US-Regierung Russland zugeschrieben hat.

Das große Ganze: Fancy Bear – oder wie Microsoft die Gruppe Strontium nennt – ist in den USA am bekanntesten dafür, dass er das Democratic National Committee und andere politische Ziele während der Wahlen 2016 gehackt hat. Insbesondere betreibt der German Marshall Fund eine russische Desinformations-Tracking-Site für soziale Medien namens Hamilton 68.

Die europäischen Hacking-Versuche fanden laut Microsoft zwischen September und Dezember statt.

Die Hacker richteten sich gegen 104 Konten von Mitarbeitern des Deutschen Rates für auswärtige Beziehungen sowie gegen die europäischen Büros des Aspen Institute und des German Marshall Fund in Belgien, Frankreich, Deutschland, Polen, Rumänien und Serbien.
Die Hacker versuchten, mithilfe von Phishing-Websites und E-Mails Anmeldeinformationen zu stehlen und Malware bereitzustellen.
Microsoft hat die betroffenen Think Tanks schnell benachrichtigt.
Think Tanks sind ein wertvolles Ziel für Spione, da sie häufig enge Beziehungen zu Regierungsbeamten und Daten über die Regierungsführung oder von der Regierung hinter den Kulissen haben.

Die Hacking-Gruppe “Fancy Bear” fügt neue Funktionen und Ziele hinzu

Russian Fancy Bear hackers' UK link revealed - BBC News

Die in Russland ansässige Cyberspionage-Gruppe Fancy Bear, die in den letzten Jahren hochkarätige Cyberangriffe gegen Regierungen und Botschaften geführt hat, hat laut Untersuchungen des Sicherheitsunternehmens ESET eine Phishing-Kampagne gestartet, die eine neu gestaltete Hintertür (backdoor) umfasst.

Die Kampagne von Fancy Bear, auch bekannt als APT28, Sofacy, Strontium und Tsar Team, ist seit dem 20. August 2018 aktiv. Die Gruppe, die dem russischen Militärgeheimdienst GRU angeschlossen ist, war an den Hack des Demokratischen Nationalkomitees federführend beteiligt.

Jetzt zielt Fancy Bear hauptsächlich auf Außenministerien und Botschaften in Osteuropa und Zentralasien ab, sagen die Forscher. Die Ermittler fanden auch Hinweise auf eine neu gestaltete Hintertür sowie einen neuen Downloader, den die Hacker mit Nim erstellt haben, einer neuen Art von Programmiersprache, die Aspekte von Python, Ada und Modula kombiniert.

Diese neueste Kampagne beinhaltet Phishing-E-Mails an Opfer, die einen böswilligen Anhang enthalten, sagen die Forscher. Wenn das Ziel den Anhang öffnet, werden Downloader gestartet, die mit der Installation der Hintertür auf einem infizierten Gerät enden, heißt es in dem Bericht.

iese Hintertür ist in der Programmiersprache Golang oder Go geschrieben – eine weitere Ergänzung zum Toolset der Gruppe, so die Forscher.

Taktik überarbeiten
ESET-Forscher haben den Namen der Botschaften, auf die sich diese letzte Kampagne bezieht, nicht bekannt gegeben, aber der Bericht stellt fest, dass die Kampagne weiterhin aktiv ist.

Ein Grund, warum ESET diese neue Hintertür jetzt erkannt hat, ist, dass Fancy Bear-Hacker beschlossen haben, Taktiken und Tools zu wechseln, um der Sicherheitserkennung durch die Organisationen, auf die die Gruppe abzielt, besser zu entgehen. Dies ist ein Grund, warum Fancy Bear Tools wie die Programmiersprachen Golang und Nim verwendet, sagen ESET-Forscher.

“Während es für uns unmöglich ist, genau zu wissen, warum sie es tun, besteht eine wahrscheinliche Erklärung darin, Sicherheitslösungen zu umgehen, die bereits andere Varianten ihrer Tools erkennen”, sagt ein ESET-Forscher gegenüber der Information Security Media Group. “Es könnte auch die Zuordnung erschweren, da es einfacher ist, einer Gruppe eine Variation eines bestimmten Werkzeugs zuzuweisen, das in einer bestimmten Sprache geschrieben ist, als wenn eines in einer völlig neuen Sprache geschrieben ist.”

Phishing-Schema
Die Angriffe im August begannen mit einer Phishing-E-Mail, die ein angehängtes Microsoft Word-Dokument enthielt, obwohl es dem Opfer nach Ansicht der Forscher den Anschein hatte, dass diese bestimmte Datei leer ist. Die E-Mail enthält auch einen Verweis auf eine Dropbox-Vorlage, die laut Bericht einen Link – wordData.dotm – enthält.

Neben der Verwendung der neuen Programmiersprachen zum Umschreiben ihrer schädlichen Tools ist laut ESET auch die Verwendung von Dropbox durch Fancy Bear zur Bereitstellung von zusätzlichem Code neu.

“Der anfängliche Kompromissvektor bleibt unverändert, aber die Verwendung eines Dienstes wie Dropbox zum Herunterladen einer Remote-Vorlage ist für die Gruppe ungewöhnlich”, heißt es in dem Bericht.

Wenn ein Opfer auf den Link für die Dropbox-Vorlage klickt, werden im Hintergrund schädliche Makros heruntergeladen, die den Nim-basierten Downloader sowie einen Trojaner enthalten, den ESET Zebrocy aufruft.

Der Nim-basierte Downloader ist nur ein Teil eines sechsstufigen Prozesses dieses Angriffs. Sobald alle diese anderen Komponenten heruntergeladen sind, wird die endgültige Nutzlast geliefert: Die Hintertür, die in Golang geschrieben ist, sagen die Forscher.

Diese neue Hintertür ähnelt früheren Hintertüren, die von der Fancy Bear-Gruppe bereitgestellt wurden, ist jedoch in einer anderen Programmiersprache geschrieben. Neben dem Zurücksenden von Daten an den Befehls- und Steuerungsserver und der Verwendung der Verschlüsselung zum Ausblenden der Kommunikation umfassen diese anderen gemeinsamen Funktionen:

Dateimanipulation wie Erstellen, Ändern und Löschen;
Screenshot-Funktionen;
Laufwerksaufzählung;
Befehlsausführung.
Planen von Aufgaben in einem Teil von Windows, mit denen die Angreifer die Persistenz auf einem infizierten Gerät aufrechterhalten können.
“Es scheint, dass [Fancy Bear] den Originalcode in andere Sprachen portiert oder in andere Sprachen implementiert, in der Hoffnung, der Erkennung zu entgehen”, heißt es im ESET-Bericht.

Fancy Bear verfolgen
Fancy Bear ist seit etwa 2004 aktiv und hat Berichten zufolge Verbindungen zur russischen Regierung sowie zur Hauptnachrichtendirektion für das russische Militär oder zur GRU.

Die Gruppe war an mehrere hochkarätige Angriffe gebunden, darunter das Hacken von E-Mails des Demokratischen Nationalkomitees während der US-Präsidentschaftswahlen 2016 (siehe: Feds klagen 7 Russen wegen Hacking und Desinformation an).

Im Jahr 2017 versuchte Fancy Bear angeblich, die französischen Präsidentschaftswahlen 2017 zu beeinflussen, indem er einen Dump mit gehackten Daten veröffentlichte, die den Mitarbeitern des damaligen Präsidentschaftskandidaten Emmanuel Macron gehörten. Zu den gehackten Daten gehörten E-Mails, Buchhaltungsdokumente und Verträge der Personen, die an Macrons Kampagnenbewegung beteiligt waren (siehe: Au Revoir, angebliche russische “Fancy Bear” -Hacker).

Im November 2018 richtete die Gruppe ihre Aufmerksamkeit wieder auf die USA und führte einen gezielten Angriff gegen den Senat durch. Laut einem Bericht von Trend Micro startete die Gruppe mehrere Phishing-Sites, die die Active Directory Federation Services des Senats imitierten, um Zugriffsrechte auf verschiedene Regierungssysteme und -anwendungen zu erhalten

GRU-KGB Mord an Putin-Feind mitten in Berlin – die Spur führt nach Moskau

GRU-KGB Mord an Putin-Feind mitten in Berlin – die Spur führt nach Moskau

Langsam dämmert es auch den Mainstream-Medien, das GRU/KGB und Neo-STASI weiterhin aktiv sind und unbequeme Gegner überall auf der Welt ermorden – auch in BERLIN. So berichtet nunmehr auch die wachgeküsste Tagesschau:

“Zelimkhan Khangoshvili fürchtete um sein Leben. Der russische Staat sei hinter ihm her, berichtete der Tschetschene mit georgischem Pass bei seiner Asylanhörung im brandenburgischen Eisenhüttenstadt im Januar 2017. Mehrere Mordanschläge habe es in den vergangenen Jahren auf ihn gegeben, so der ehemalige Rebellenkommandeur. Er sei ein gesuchter Mann – im Kaukasus und darüber hinaus. Was er denn befürchte, wenn er nach Russland zurückkehren müsste, wollte der Mitarbeiter des Bundesamtes für Migration und Flüchtlinge (BAMF) von ihm wissen. Khangoshvilis Antwort: “Die russischen Organe werden einen Mord inszenieren.”

Am 23. August 2019, gegen 11:58 Uhr, wurde Zelimkhan Khangoshvili schließlich ermordet. Nicht in Russland oder im Kaukasus, sondern mitten in Berlin. Im Kleinen Tiergarten im Ortsteil Moabit war der 40-Jährige gerade auf dem Weg zum Freitagsgebet in der Moschee, als sich ein Mann auf einem Fahrrad näherte und ihm aus kurzer Distanz mit einer Pistole samt Schalldämpfer in den Kopf schoss. Khangoshvili war sofort tot.

Der Mord an dem Georgier gibt seitdem Rätsel auf: Wer steckt hinter dem Attentat? War es ein Auftragsmord aus dem kriminellen Milieu? Eine Fehde unter Kaukasiern? Oder gar ein Attentat im Auftrag des Kreml?

Der mutmaßliche Todesschütze hatte nach der Tat versucht mit einem E-Roller zu fliehen, war jedoch festgenommen worden: Es ist ein stämmiger Mann mit Schnauzbart und auffälligen Tätowierungen. Laut Pass handelt es sich um den russischen Staatsbürger Vadim Sokolov. Er sitzt in Berlin in Untersuchungshaft und schweigt. Einmal soll er Besuch von Diplomaten aus der russischen Botschaft bekommen haben, die ihn konsularisch betreuen.

Die Ermittlungen in dem Fall führt das Berliner Landeskriminalamt (LKA). Der Vorwurf gegen den festgenommenen Tatverdächtigen lautete bislang: Mord. Weil die Tat aber eine so große Brisanz birgt, lässt sich der Generalbundesanwalt seit Beginn an über den Stand der Ermittlungen informieren. Und auch das Bundeskriminalamt (BKA) ist beteiligt.

Jetzt könnte der Fall allerdings eine neue Dimension bekommen: Die Bundesanwaltschaft will das Verfahren nach Informationen von WDR, NDR und “Süddeutscher Zeitung” noch in dieser Woche übernehmen. Und zwar wegen eines möglichen Geheimdienst-Hintergrunds. In Karlsruhe geht man inzwischen davon aus, dass der russische Staat den Mord in Berlin-Moabit in Auftrag gegeben haben könnte. Auch der “Spiegel” hatte darüber berichtet.

Ein Abgleich der biometrischen Daten der damaligen Fahndungsbilder ergab nun eine hohe Ähnlichkeit mit dem in Berlin festgenommenen Tatverdächtigen Sokolov. Auffällig war allerdings: Russland hatte die internationale Fahndung nach Vadim K. im Jahr 2015 ganz plötzlich eingestellt. Der Verdacht der deutschen Ermittler ist nun: Russische Dienste könnten den mutmaßlichen Mörder gefunden und für ein Attentat rekrutiert haben. Und schufen daraufhin die Falschidentität Sokolov.”

In Geheimdienstkreisen ist man sich sicher, es war Putins langer Arm in Berlin.

Must See Video – Russian GRU-Agent Colonel Georgy Viktorovich Kleban meets Serbian Spy

Russian spies are corrupting Serbia. This is video of the Russian military main intelligence directorate (GRU) officer Colonel Georgy Viktorovich Kleban paying his Serbian agent who is senior Serbian official. Kleban works in Russian Embassy in Belgrade. This is what the Russians do to us, there ‘friends’.