Das US-Justizministerium hat am 7. Juli die Anklageschrift gegen einen kasachstanischen Staatsbürger veröffentlicht, der verdächtigt wird, sich hinter dem Cyberkriminellen-Profil „Fxmsp“ zu verbergen. Das Dokument beleuchtet die Zusammenarbeit zwischen den amerikanischen, britischen und kasachstanischen Diensten bei der Verfolgung des Hackers, der für die Kompromittierung von mehreren hundert Informationssystemen auf der ganzen Welt verantwortlich ist.

Laut einem Bericht des auf IT-Sicherheit spezialisierten Portals Group-IB hat das US-Justizministerium  die Anklageschrift des Federal Bureau of Investigation (FBI) offengelegt, in der auch Andreı Turchin, ein kasachstanischer Staatsbürger aus Almaty, beschuldigt wird, hinter dem Profil des Cyberkriminellen Fxmsp zu stehen.

Novastan ist das einzige deutschsprachige Nachrichtenmagazin über Zentralasien. Wir arbeiten auf Vereinsgrundlage und Dank eurer Teilnahme. Wir sind unabhängig und wollen es bleiben, dafür brauchen wir euch! Durch jede noch so kleine Spende helft ihr uns, weiter ein realitätsnahes Bild von Zentralasien zu vermitteln.

Das Dokument, das seit dem 12. Dezember 2018 von den US-Behörden geheim gehalten worden war, beschreibt die Vorgehensweise von Fxmsp, seine Viktimologie sowie die Identität des Täters, der für die Kompromittierung von Informationssystemen verantwortlich gemacht wird. Durch den Verkauf von Zugangsdaten zu den Netzwerken von Unternehmen und Regierungseinheiten soll Turchin zwischen 2017 und 2019 mehr als anderthalb Millionen US-Dollar (1,33 Millionen Euro) eingenommen haben. Diese Verkäufe führten zu zahlreichen Hacks, Datenlecks und Ransomware-Angriffen, die auf Kunden von Fxmsp zurückzuführen sind.

Dass die US-Ermittler heute alle ihnen zur Verfügung stehenden Informationen enthüllen und a priori die öffentliche Identifizierung des Täters durch Group-IB bestätigen, könnte durch die Zusammenarbeit des FBI mit dem Komitee für Nationale Sicherheit (KNB – Kasachstans Geheimdienst, Anm. d. Red.) und der bevorstehenden Verhaftung des Hackers durch Kasachstans Behörden begründet werden.

Neue Erkenntnisse des FBI

Die 2018 vor dem Gerichtshof in Seattle, Washington, vorgelegten Ermittlungen des FBI liefern vor allem Klarheit über die gezielte Bekämpfung des Cyberkriminellen. Den Ermittlern zufolge ist Fxmsp für die Kompromittierung von fast 300 Entitäten „auf sechs Kontinenten“ verantwortlich – und nicht von lediglich etwa hundert Organisationen, wie es von Group-IB ursprünglich geschätzt wurde. Unter ihnen befinden sich eine US-amerikanische Fluggesellschaft mit Sitz in New York, das Finanzministerium eines afrikanischen Staates, das Ministerium für Bergbau und Energie eines asiatischen Landes, ein Mineralölunternehmen aus Alaska und ein Medienunternehmen aus Südostasien. Außerdem soll der Hacker angekündigt haben, den Zugang zu 200 Computernetzwerken von Regierungsstellen und Strafverfolgungsbehörden im Vereinigten Königreich zu verkaufen.

Auch wenn die Anklageschrift nicht alle technischen Details aufdeckt, die die Ermittler zu Andreı Turchin führten, erklärt das FBI, dass mehrere IP-Adressen, die für die Verbindung zu den Netzwerken der Opfer verwendet wurden, in  Kasachstans verortet und später dann direkt dem 37-jährigen kasachstanischen Staatsangehörigen zugeordnet werden konnten.

Lest auch auf Novastan: Cybersicherheit: Hacker aus Kasachstan soll 135 Organisationen in der ganzen Welt kompromittiert haben

Turchin wird darüber hinaus als ein Mitglied einer größeren Gruppe betrachtet, die in russischsprachigen Foren etwa ein Dutzend Pseudonyme für den Verkauf illegaler Zugriffe verwendet. Viele Transaktionen hätten über einen Vertriebsleiter stattgefunden, der im Bericht von Group-IB als ein Hacker namens Lampeduza ausgemacht wurde. Letzterer hätte die Verhandlungen mit potenziellen Kunden zusammengeführt und sogar interessierten Käufern die Möglichkeit gegeben, die Qualität und Zuverlässigkeit des Netzzugangs für einen begrenzten Zeitraum zu überprüfen.

Eine beispiellose Zusammenarbeit zwischen den US-Behörden und dem KNB

Der für den Fall zuständige US-Richter Brian T. Moran dankte Kasachstan für die Hilfe bei dieser Untersuchung. Bei der Verfolgung waren mehrere US-Bundesbehörden, aber auch die britische National Crime Agency (NCA), die privaten amerikanischen IT-Sicherheitsfirmen FireEye/Mandiant und Intel471, und der kasachstanische KNB beteiligt. Das FBI arbeitete auch mit den Opfern zusammen, um den Ursprung der Angriffe zurückzuverfolgen.

Diese internationale Zusammenarbeit unterstreicht die Herausforderung, die Länder des postsowjetischen Raums in die Ermittlungen gegen die von ihrem Staatsgebiet aus agierenden Cyberkriminellen einzubinden, während die meisten russischsprachigen Hacker auf amerikanischem Boden oder in Ländern, die ein Auslieferungsabkommen mit den USA haben, festgenommen werden.

Insgesamt wurde in fünf Punkten Anklage gegen Turchin erhoben, darunter Verschwörung zum Hacking, elektronischer Betrug, unbefugtem Zugriff und vorsätzliche Beschädigung eines geschützten Computers. Ihm drohen theoretisch bis zu 50 Jahre Gefängnis.

Lust auf Zentralasien in eurer Mailbox? Abonniert unseren kostenlosen wöchentlichen Newsletter mit einem Klick.

Obwohl Kasachstan und die Vereinigten Staaten seit 2015 ein Abkommen über Rechtshilfe in Strafsachen unterzeichnet haben, wird Nur-Sultan aller Voraussicht nach auch in Zukunft keine eigenen Staatsangehörigen ausliefern. So ist es möglich, dass Fxmsp, der nun von den Behörden seines Landes verfolgt wird, vor ein kasachstanisches Gericht gestellt und verurteilt wird.

Ob Fxmsp, BigPetya, Antony Moricone, Nikolay, Ares oder HeroKuma – IT-Sicherheitsforscher spekulieren weiter über Profilstrukturen und warten auf Turchins hypothetisches Wiederauftreten unter einem neuen Alias. Advanced Intelligence, eine New Yorker Firma für Risikomanagement, glaubte im vergangenen Dezember den kasachstanischen Hacker hinter einer Gruppe mit dem zumindest suggestiven Pseudonym „b. wanted“ zu erkennen.

Vadim Alinov, Redakteur für Novastan

Aus dem Französischen von Robin Roth

Noch mehr Zentralasien findet ihr auf unseren Social Media Kanälen, schaut mal vorbei bei Twitter, Facebook, Telegram, Linkedin oder Instagram. Für Zentralasien direkt in eurer Mailbox könnt ihr euch auch zu unserem wöchentlichen Newsletter anmelden.