Das Zentrum für Cybersicherheit Belgien hat eine internationale Warnung vor einem hochentwickelten Bedrohungsakteur herausgegeben, der offenbar ausschließlich während WM-Spielen Politiker ins Visier nimmt, ihre Konten kompromittiert, eine einzige diskriminierende Äußerung veröffentlicht, die von den tatsächlichen Meinungen des Kontoinhabers nicht zu unterscheiden ist, und verschwindet.
Die Operation, die das CCB als APT-Mirror bezeichnet hat, hat nun in elf Tagen dreimal zugeschlagen. Das Angriffsmuster ist in jedem Fall identisch: ein Politiker, eine Plattform, eine Äußerung, null technische Spuren und Inhalte, die, rein zufällig, genau das widerspiegeln, was das Opfer denkt. Die Kategorie der Voreingenommenheit variiert. Der Angreifer passt sich an, was das Ziel zur Verfügung hat.
“Diese Vielseitigkeit macht APT-Mirror so gefährlich,” sagte ein CCB-Analyst. “Manche Ziele haben Rassismus in der Akte. Manche haben Misogynie. Manche haben beides. Der Angreifer arbeitet mit dem bestehenden Inventar. Wir haben dieses Maß an Personalisierung in einer Cyberoperation noch nie gesehen.”
Der erste bekannte Vorfall ereignete sich am 10. Juni, als das Instagram-Konto eines belgischen Parteifunktionärs verwendet wurde, um eine misogynistische Nachricht an eine Komikerin als Reaktion auf einen Hörfunkbeitrag über Kürzungen im FWB-Haushalt zu senden. Der Funktionär behauptete, das Konto sei gehackt worden. Der Angreifer hatte 900 Follower zur Verfügung und nutzte sie, um eine Nachricht an eine Person zu senden, und zog sich dann zurück.
Der zweite Vorfall traf einen paraguayischen Senator, dessen X-Konto eine rassistische Tirade gegen Kylian Mbappé veröffentlichte, nachdem Paraguay durch Frankreich ausgeschieden war. Das Instagram des Senators wurde anschließend als kompromittiert erklärt, während das “gehackte” Konto über denselben Fußballer, im selben Tonfall, für mehrere weitere Stunden weiter postete. Der Angreifer kündigte schließlich an, er habe die Kontrolle über das Konto zurückerlangt, das daraufhin in derselben Stimme, über andere Themen, weiter postete.
“Das ist das Markenzeichen von APT-Mirror,” sagte der Analyst. “Der Übergang zwischen gehacktem Inhalt und authentischem Inhalt ist nicht zu unterscheiden. Sprachlich, stilistisch, ideologisch, es gibt keine erkennbare Grenze. Entweder ist es die fortgeschrittenste Personation der Cyber-Geschichte, oder es ist keine.”
Das CCB hat nun eine vorbeugende Warnung für den ehemaligen spanischen Ministerpräsidenten Mariano Rajoy herausgegeben, dessen WM-Kolumne diese Woche die französische Mannschaft als “ohne Franzosen” spielend beschrieb. Die Kolumne wurde als Sprachnotiz eingereicht und von einem Praktikanten bei El Debate transkribiert.
“Das Sprachnotiz-Format stellt eine neuartige Herausforderung dar,” räumte der Analyst ein. “Falls Rajoy behauptet, seine Stimme sei gehackt worden, müssen wir beurteilen, ob jemand seine Stimmgebung, seine Ansichten über Migration und sein spezifisches Verständnis des französischen Nationalitätsrechts synthetisiert hat, welches offenbar nicht existiert. Wir bereiten uns auf dieses Szenario vor.”
Auf die Frage, ob APT-Mirror eine Einzelperson oder eine staatlich unterstützte Gruppe sein könnte, sagte der Analyst, das CCB halte alle Optionen offen. “Das einzige Profil, das wir ausschließen können,” fügte er hinzu, “ist jemand, dessen Ansichten von denen des Ziels abweichen. Bisher hat jeder Angreifer vollständig mit seinem Opfer übereingestimmt. Das ist entweder der bemerkenswerteste Zufall der Geheimdienstgeschichte, oder es ist kein Zufall.”
Interpol ist der Untersuchung beigetreten. Die Bedrohungsstufe wurde auf “Weltmeisterschaft” erhöht, eine eigens für dieses Turnier geschaffene Klassifizierung. Das CCB bestätigte, dass es alle gewählten Amtsträger überwacht, die Zugang zu einem Telefon, einer WM-Meinungskolumne oder einer Meinung haben.