Kurz bevor die Welt-Anti-Doping-Agentur Wada am Dienstag bestätigte, dass Hacker vertrauliche Unterlagen abgreifen würden, twitterte ein Account bereits erste Dokumente. "Grüße. Wir sind das #FancyBears Hack-Team", beginnt der Tweet. Hinter dem Angriff sollen russische Hacker stecken, behauptet die Wada; die Information stamme von Ermittlungsbehörden. Der Name der Angreifer wird ebenfalls genannt: Tsar Team, auch bekannt als APT28 oder eben: Fancy Bear.
Auf ihrer Webseite inszenieren sich die Hacker als Mitglieder des führungslosen Internet-Kollektivs Anonymous, welche sich um Fair Play sorgen. Warum sie sich Fancy Bear nennen, wird nicht ausgeführt.
John Hultquist von der IT-Sicherheitsfirma Fire Eye analysiert die Gruppe seit Jahren. Im August habe Fire Eye beobachten können, dass der russischen Läuferin Julia Stepanowa gezielt Phishing-Mails geschickt wurden. Solche Mails lenken ihre Empfänger auch auf Webseiten, die die Angreifer kontrollieren.
Gibt der Geköderte dort Informationen wie sein Passwort ein, kann sich fortan auch der Angreifer in das echte Nutzerkonto seines Opfers einloggen. Auch die Sportlerin soll auf diese Weise ausgetrickst werden. Stepanowa deckte als Kronzeugin auf, dass Russlands Athleten jahrelang gedopt haben, unter Mithilfe von Staat und Geheimdienst. Hultquist behauptet, dass Fire Eye die Angriffe durch die Analyse von Webseiten auf die russische Hackergruppe Fancy Bear zurückführen konnte. "Wir haben uns angeschaut, welche Seiten bei einem bestimmten Anbieter angemeldet wurden." Dieser sei schon länger bevorzugt von APT28-Hackern verwendet worden. Es kursiert eine Liste mit 500 Webseiten, die von den russischen Hackern kontrolliert werden.
Die Initiative Wirtschaftsschutz, der auch Bundesnachrichtendienst und Bundesamt für Verfassungsschutz angehören, verschickte Ende August eine Warnung, in der es hieß: "Bei APT28 bestehen Indizien für eine Steuerung durch staatliche Stellen in Russland."
Hultquist zufolge habe Fire Eye weitere Indizien finden können, die es als wahrscheinlich erscheinen lassen, dass es sich bei den Angreifern um die APT28-Gruppe handelt: "Die Infrastruktur war übereinstimmend mit russischen Aktivitäten in der Vergangenheit."
Die Wada äußerte sich bislang nicht, von welcher Sicherheitsbehörde sie informiert wurde. Dick O'Brien vom US-amerikanischen Softwarehaus Symantec weist allerdings darauf hin, dass die Wada sich sehr sicher zu sein scheint: "Wenn Organisationen sich derart öffentlich äußern, haben sie üblicherweise überzeugende Beweise."
Symantec verfolgt APT28 seit Jahren. "Bislang war die Gruppe mit klassischer Cyber-Spionage befasst. Ihre Ziele lagen eher im Bereich des Militärs. Sie sind leise vorgegangen", sagt O'Brien. Die Angriffe auf die Wada sieht O'Brien "als Zeichen dafür, dass Fancy Bear die Strategie ändert". Und er schließt daraus: "Es handelt sich mehr um Propaganda als um Spionage."