Über 284 Postfächer wurden zwischen September 2024 und März 2026 geknackt – zu dieser Ziffer kommen die britisch-amerikanischen Forscher von Ctrl-Alt-Intel, die einen Datenleck aufdeckten. Hacker mit Verbindungen zu Russland machten einen fatalen Fehler: Ein Server mit Protokollen erfolgreicher Einbrüche und Tausenden gestohlener Briefe war im offenen Internet zugänglich. So wurde die Operation aufgedeckt – nicht durch Geheimdienste, nicht durch CERT-UA, sondern durch eine unabhängige Forschungsgruppe.
Wer wurde angegriffen: von Korruptionsbekämpfern bis zum Krankenhaus in Pokrovsk
Unter den Opfern befinden sich gleich mehrere sensible Institutionen. Die Hacker drangen in Konten der Spezialisierten Staatsanwaltschaft im Bereich der Verteidigung ein – einer Militärbehörde, die Korruption und Spionage in den Streitkräften der Ukraine untersucht. Mindestens ein Mitarbeiter der Spezialisierten Antikorruptions-Staatsanwaltschaft (SAP) landete ebenfalls auf der Opferliste, wobei Reuters den Namen nicht nennt.
Separat wurde die Agentur für Vermögenssuche und -verwaltung (ARMA) angegriffen – eine Struktur, die Vermögen verwaltet, das von Korruptionären und Kollaborateuren beschlagnahmt wurde. Nach Angaben von Reuters gehörte zu den kompromittierten Konten das Konto der damaligen ARMA-Vorsitzenden Jaroslawa Maksimenko. Im Zentrum für die Ausbildung von Staatsanwälten wurden 44 Konten geknackt, einschließlich des Kontos des stellvertretenden Direktors Oleg Duka.
Das Ausmaß des Angriffs geht über die Ukraine hinaus. Nach Angaben von Ctrl-Alt-Intel hackten die Angreifer auch mindestens 67 Konten der rumänischen Luftwaffe – einschließlich Konten auf NATO-Luftwaffenstützpunkten und mindestens eines hochrangigen Offiziers. Darüber hinaus wurden Angriffe in Griechenland, Bulgarien und Serbien registriert.
«Die Hacker verfolgten wahrscheinlich Ermittler, um denen zuvorzukommen, die Moskaus Agenten entlarven, oder sammelten Kompromittierungsmaterial über Kiewer Beamte»
Keir Giles, assoziierter Wissenschaftler bei Chatham House (London), der die Opferliste einsehen konnte
Methode – Phishing, Zuschreibung – umstritten
Ctrl-Alt-Intel verbindet die Operation mit der bekannten Hackergruppe Fancy Bear (APT28, GRU RF). Jedoch bestätigten zwei unabhängige Forscher – Matthieu Faou vom ESET und Feike Hacquebord vom TrendAI – die Verbindung zu Moskau, waren sich aber über die konkrete Gruppe uneinig: Faou erklärte, dass er die Beteiligung von Fancy Bear nicht überprüfen kann, Hacquebord bestritt sie.
- Der Angriff dauerte mindestens von September 2024 bis März 2026
- Über 170 Konten in der Ukraine wurden gehackt, insgesamt mindestens 284 in verschiedenen Ländern
- Der Server mit Beweisen wurde von den Hackern im offenen Zugang belassen – dies ermöglichte es den Forschern, die Operation zu dokumentieren
- CERT-UA bestätigte Kenntnis von Teilen der Einbrüche und berichtete über durchgeführte Ermittlungen
Faou vom ESET warnt vor Übertreibungen: Die aufgedeckte Operation sei, nach seinen Worten, «nur ein kleiner Teil des gesamten russischen Spionage-Ökosystems». Das heißt, was bekannt wurde, ist nicht das gesamte Ausmaß, sondern nur jenes Fragment, wo die Cyberkriminellen einen Fehler machten.
Was dies für Korruptionsermittlungen bedeutet
Die SAP führt Verfahren durch, die unmittelbare Auswirkungen auf die Machthaber haben: Unter ihren aufsehenerregenden Ermittlungen ist ein Fall, der im November 2024 zur Entlassung des Chefverhandlungsführers von Präsident Selenskyj Andrej Jermak führte. Falls der Schriftverkehr von Ermittlern und Staatsanwälten dieser Institution tatsächlich kompromittiert wurde – das ist nicht nur ein Datenleck, sondern potenziell eine Möglichkeit für Moskau, die Maßnahmen der Korruptionsbekämpfungsbehörden vorherzusehen oder Druck auf wichtige Verfahrensbeteiligte auszuüben.
Alle genannten Organisationen – Maksimenko, Duka, ARMA, SAP und Staatsanwaltschaften – antworteten nicht auf Reuters-Anfragen für Stellungnahmen.
Falls CERT-UA bereits «Teile der Einbrüche untersucht hat», wie die Agentur berichtet – warum wurden die Opfer nicht informiert oder wurden andere Einrichtungen mit ähnlichem Risikoprofil nicht öffentlich gewarnt? Die Antwort auf diese Frage wird zeigen, ob dieser Vorfall nur ein operativer Fehler der Hacker war – oder auch ein systemisches Versagen der ukrainischen Reaktion auf Cyber-Bedrohungen.
