Infektion aus dem Kreml: Operation „Pinball“

Wir wissen, dass die Verbreitung verfälschter Dokumente und Briefe ein immergrüner Hit in den Werkzeugkisten der aktiven Maßnahmen des Kremls ist, aber im Bezug auf Estland hat Propastop zum ersten Mal einen Grund, darüber zu berichten.

Im April dieses Jahres veröffentlichte das Sicherheitsanalyse- und Informationssicherheitsunternehmen Recorded Future einen Bericht, in dem unter anderem eine Informationsoperation gegen Estland mit dem Namen „Operation Pinball“ analysiert wurde. Laut den Autoren des Berichts war dies eine von Russland geführte Operation, deren Zielscheiben die Regierungen von Estland und Georgien waren.

Der Operation gegen Estland hat nach Einschätzung der Analytiker vier Ziele:

• Die Beziehungen Estlands zur Europäischen Union zu untergraben.
• Das Vertrauen des Volkes in seine Regierung zu verringern.
• Innerhalb der Regierung Konflikte zu schaffen.
• Die Einstellung der Menschen gegenüber Einwanderer negativ zu beeinflussen.

Um die  Ziele zu erreichen, hat der Nutzer „flokortig“ am 18. Dezember letzten Jahres ein englisch-sprachiges Dokument an die deutsch-sprachige Plattform homment.com durchsickern lassen, dass vom estnischen Minister für Wirtschaft und Infrastruktur Taavi Aasa unterzeichnet zu sein scheint. Das an Dmitris Avramopoulus, EU-Kommissar für Migration, gerichtete Schreiben bestätigt, dass der Unterzeichnete die Besorgnis des hochrangigen Eurobeamten über die Aussagen des estnischen Außenministers Urmas Reinsalu zu Flüchtlingen versteht, die angeblich nur seine persönliche Ansichten äußert und seinen Wunsch zum Ausdruck brachte, innenpolitische Punkte zu sammeln. Estland bleibt den europäischen Werten voll und ganz verpflichtet und ist bereit, seine Verpflichtungen vollständig zu erfüllen. Unter anderem, auf estnischem Boden neue Flüchtlingszentren einzurichten und ihnen Geld zuzuweisen.

Dieses auf den 12. November 2019 datierte Brief  weist deutliche Fälschungsmerkmale auf und ist in fehlerhaftem Englisch verfasst. Unter anderem wurden die englischen Titel von Taavi Aasa und Dimitris Avramopoulus falsch geschrieben. Die Autoren der Fälschung sind sich wahrscheinlich auch selbst der möglichen Mängel ihrer Arbeit bewusst und eben deshalb ist das Dokument in den deutsch-sprachigen Raum und mit einem deutsch-sprachigen Begleitschreiben gelangt. Laut der Analyse des Berichts deuten die Sprach- und Satzkonstruktionen des Briefes jedoch darauf hin, dass die Muttersprache des Verfassers der Fälschung Russisch ist.

Sekundäre Infektionen
Die Autoren des Berichts stellen fest, dass sich die von ihnen analysierten Fälle sowohl durch die Methoden, der Auswahl der Kanäle als auch mit der großen Aufmerksamkeit für die Wahrung der Anonymität der Täter, der russischen Informationsoperation „Secondary Infection“, die im vergangenen Sommer vom Digital Forensic Research Lab (DFRLab) des Atantikrates enthüllt wurde, ähneln.

Im Verlauf dieser Operation wurde im ersten Halbjahr 2019 versucht, in die sozialen Medien Narrative einzupflanzen, die verschiedene westliche Verbündete diskreditieren und spalten sollten. Das Ziel war auch, die Nachrichtenschwelle der normalen Medien zu überschreiten. Zunächst wurde ein einmaliger anonymer Nutzer in einem eher obskuren Forum oder in einer praktisch nicht moderierten Internetumgebung erstellt und die gewünschten Informationen wurden dort häufig zusammen mit gefälschten Dokumenten veröffentlicht. Danach wurden die Informationen in anderen Foren mithilfe neuer anonymer Benutzer erweitert, häufig in einer anderen Fremdsprache. Ein dritter Kreis anonymer Benutzer wurde geschaffen, um das gewünschte Narrativ in den sozialen Medien zu verstärken, mit dem Ziel, dafür die Aufmerksamkeit der traditionellen Medien zu gewinnen. Besondere Aufmerksamkeit wurde auf die Sicherheit der Operation (OPSEC) gewidmet – die meisten anonymen Benutzer wurden am selben Tag erstellt, an dem der Beitrag erstellt wurde, und später nicht mehr verwendet.

Ein Profilbild wurde gar nicht hochgeladen oder es wurde aus dem Internet geklaut. Eine solche Herangehensweise ermöglichte es, die tatsächliche Identität der Durchführenden zu schützen, wirkte aber jedoch negativ auf die Zuverlässigkeit der Informationen und teilweise war es eben deswegen nicht möglich, eine breitere Verbreitung der eingepflanzten Nachrichten zu erreichen.

Im Mittelpunkt der Operation „Secondary Infection“ stand die Verteilung gefälschter Dokumente und der Diebstahl von Identitäten berühmter Personen. Zum Beispiel wurden gefälschte Twitter-Nachrichten des damaligen britischen Verteidigungsministers Gavin Williamson und des US-Senators Marco Rubio sowie angebliche Dokumente des spanischen Geheimdienstes verbreitet, die einen Plan zur Ermordung von Boris Johnson enthüllten. Diese falschen Botschaften erregten jedoch größtenteils nicht die Aufmerksamkeit der Öffentlichkeit, mit Ausnahme einer rassistischen Geschichte, die in Deutschland von einer lokalen Seite der Gegner der Einwanderung aufgegriffen und mehr als 3.500 Mal in den sozialen Medien verbreitet wurde.

DFRLab nannte diese eindeutig russisch bezogene Informationsoperation „Secondary Infektion“, da der geistige Vater der Kampagne die aus der Sowjetzeit bekannte berüchtigte „Operation Infektion“ ist. Eine Desinformationskampagne des KGB in den 1980-er Jahren verbreitete Informationen, als stamme das damals die Welt erschütternde HIV/AIDS-Virus von US-Labors, die sich mit der Entwicklung biologischer Waffen beschäftigen. Auch diese Kampagne begann mit dem Einpflanzen falscher Informationen in eine damals eher obskure indische Zeitung, mit der Verstärkung von Informationen in den verschiedenen kontrollierten Kanälen und schließlich mit ihrer Verbreitung auch in den unabhängigen Nachrichtenmedien. Die Zeiten haben sich geändert, die Anzahl der Kanäle und Nachrichten ist explodiert und die Länge des Nachrichtenzyklus hat sich dramatisch verkürzt, aber die Methoden sind im Wesentlichen die gleichen geblieben.

Andauernde Infektionsgefahr
Obwohl DFRLab seinen Bericht über “Secondary Infektion” bereits letzten Sommer veröffentlichte, zeigt die Analyse “Operation Pinball” von Recorded Future, dass das Husarenregiment der Informationsoperationen des Kremls weiterhin versucht, auf demselben toten Pferd zu reiten. Im vergangenen Dezember enthüllte DFRLab, wie über die bereits bekannten homment.com und Reddit versucht wurde, gefälschte Dokumente zu verbreiten, die die lettische Regierung kompromittierten, zusätzliche 60 Millionen Euro für die Cybersicherheit bereitzustellen. Dies war zu einer Zeit, als das Gesundheitspersonal in Lettland mit Protesten von der Regierung den gleichen Betrag forderte.

Die Dokumente wurden von Jānis Sārts, Leiter des NATO-Kompetenzzentrums für strategische Kommunikation (NATO Strategic Communications Centre of Excellence) in Riga unterzeichnet. Lettland reagierte umgehend auf die Desinfektion, und noch am Tag nach der Veröffentlichung der gefälschten Dokumente gab Jānis Sārts auf Twitter in englischer und russischer Sprache bekannt, dass die Dokumente mit seiner Unterschrift gefälscht und zudem auch grammatikalisch falsch seien, und korrigierte sie deswegen mit einem roten Stift.

Die Analytiker von Recorded Future finden in der Zusammenfassung ihres Berichtes, dass Russland höchstwahrscheinlich auch in Zukunft ähnliche Informationsoperationen durchführen wird und falls die Fälscher ihre Sprachkenntnisse verbessern und ernsthafte Anstrengungen unternehmen, um die Glaubwürdigkeit falscher Konten zu erhöhen, steigt schlagartig die Wahrscheinlichkeit, dass einige Nachrichtenkanäle die Fehlinformationen aufgreifen und verbreiten. Dies könnte beispielsweise während des diesjährigen US-Präsidentschaftswahlkampfs eine besondere Bedrohung darstellen.

Fotos: Fälschung von der Plattform homment.com, Fälschung des Twitterkontos von Jānis Sārts, Grafik von der Internetseite von DFRLab.