In drei Sätzen: Russlandnahe Hacker haben in den letzten Monaten mehr als 170 E-Mail-Konten ukrainischer Staatsanwälte und Ermittler geknackt. Die Angriffe fanden zwischen September 2024 und März 2026 statt, hauptsächlich in der Ukraine, aber auch in Rumänien, Griechenland, Bulgarien und Serbien. Die britisch-amerikanische Forschergruppe Ctrl-Alt-Intel entdeckte die Daten auf einem versehentlich offenen Server der Angreifer und ermöglichte so einen seltenen Blick in die laufende russische Spionagekampagne.
Der Auslöser: Die Forschergruppe Ctrl-Alt-Intel stieß im März 2026 auf einen offenen Server der Hacker. Dort lagen Protokolle erfolgreicher Einbrüche sowie Tausende gestohlener E-Mails. Reuters prüfte die Rohdaten und veröffentlicht nun erstmals detaillierte Informationen zu den betroffenen Behörden und Personen.
Wer sagt was: Die Forscher von Ctrl-Alt-Intel erklärten: „Sie haben sich gerade einen riesigen operativen Patzer geleistet. Sie haben ihre Vordertür sperrangelweit offen gelassen.“ Keir Giles vom Londoner Think Tank Chatham House sagte nach Prüfung der Opferliste: „Eine vermeintlich enge Beziehung zu Moskau ist keine Versicherung gegen russische Spionage.“ Die russische Botschaft in Washington ließ Anfragen unbeantwortet. Moskau bestreitet generell jede Beteiligung an Hackoperationen gegen andere Staaten.
Das Sittenbild: Ukrainische Behörden müssen im laufenden Krieg gleichzeitig Korruption bekämpfen und russische Kollaborateure aufspüren. Genau diese sensiblen Stellen, darunter Militärstaatsanwälte und Vermögensverwalter, wurden nun kompromittiert. Der Vorfall legt offen, wie anfällig die Institutionen bleiben, die für innere Sicherheit und spätere Aufarbeitung entscheidend sind.
Zwischen den Zeilen:
- Die Hacker drangen in die Specialized Prosecutor’s Office in the Field of Defense ein, die Korruption im ukrainischen Militär bekämpft.
- Sie griffen auch die Asset Recovery and Management Agency ARMA an, die Vermögen von Kriminellen und russischen Kollaborateuren verwaltet.
- Im Prosecutor’s Training Center knackten sie 44 E-Mail-Postfächer, darunter jenes des stellvertretenden Direktors Oleg Duka.
- Yaroslava Maksymenko, damalige Leiterin von ARMA, gehörte zu den Opfern.
- Mindestens ein hochrangiger Mitarbeiter der Anti-Korruptionsstaatsanwaltschaft SAPO war betroffen.
- In Rumänien fielen mindestens 67 Konten der Luftwaffe, einschließlich NATO-Basen, den Angriffen zum Opfer.
- In Griechenland hackten die Täter 27 Postfächer des Hellenic National Defense General Staff.
Follow the money: Konkrete finanzielle Schäden oder Erpressungsversuche werden nicht erwähnt. Die Operation zielte rein auf Spionage. Dennoch verwalten betroffene Stellen wie ARMA Vermögenswerte in unbekannter Höhe aus Korruptionsfällen und Beschlagnahmungen russischer Kollaborateure.
Die andere Sicht: Zwei unabhängige Cybersicherheitsforscher bestätigten die russische Herkunft der Gruppe, stritten jedoch teilweise die Zuordnung zu Fancy Bear ab. Matthieu Faou von ESET und Feike Hacquebord von Trend Micro sahen die Angreifer als moskau-nah, doch Hacquebord widersprach der konkreten Fancy-Bear-Zuordnung. Russland äußerte sich nicht konkret zu diesem Vorfall.
Warum das wichtig ist: Moskau lässt selbst im Krieg die ukrainischen Korruptionsbekämpfer und Spionagejäger nicht aus den Augen. Selbst ein traditioneller Verbündeter wie Serbien bleibt vor russischer Neugier nicht verschont. Am Ende zeigt der offene Server vor allem eines: Selbst die besten russischen Hacker bauen Mist, wenn sie zu gierig werden.
Quelle:
