Seit Jahren die Die als Sandworm bekannte Hacking-Einheit innerhalb des russischen Militärgeheimdienstes GRU hat hinter einem sorgfältig gewahrten Schleier der Anonymität einige der schlimmsten Cyberangriffe der Geschichte durchgeführt – Blackouts, gefälschte Ransomware, datenzerstörende Würmer. Aber nach einem halben Jahrzehnt der verpfuschten Operationen der Spionageagentur, aufgeblasenen Tarngeschichten und internationalen Anklagen ist es vielleicht keine Überraschung, dass das Abziehen der Maske des Mannes, der heute diese höchst zerstörerische Hacking-Gruppe anführt, ein bekanntes Gesicht zeigt.
Der Kommandant von Sandworm, der berüchtigten Abteilung der Hacking-Kräfte der Agentur, die für viele der aggressivsten Cyberkriegs- und Sabotagekampagnen der GRU verantwortlich ist, ist jetzt ein Beamter namens Evgenii Serebriakov, laut Quellen eines westlichen Geheimdienstes, der mit WIRED über die Bedingung gesprochen hat der Anonymität. Wenn Ihnen dieser Name bekannt vorkommt, könnte das daran liegen, dass Serebriakov zusammen mit sechs anderen GRU-Agenten angeklagt wurde, nachdem er 2018 inmitten einer Cyberspionage-Operation aus nächster Nähe in den Niederlanden ertappt worden war, die sich gegen die Organisation für das Verbot chemischer Waffen richtete in Den Haag.
Bei dieser vereitelten Operation identifizierten und verhafteten die niederländischen Strafverfolgungsbehörden nicht nur Serebriakov und sein Team, die Teil einer anderen GRU-Einheit waren, die allgemein als Fancy Bear oder APT28 bekannt ist. Sie beschlagnahmten auch Serebriakovs Rucksack voller technischer Ausrüstung sowie seinen Laptop und andere Hacker-Geräte im Mietwagen seines Teams. Infolgedessen konnten niederländische und US-amerikanische Ermittler Serebriakovs Reisen und vergangene Operationen, die sich über Jahre erstrecken, zusammenfügen und angesichts seiner neueren Rolle nun in ungewöhnlichen Details die Karrieregeschichte eines aufstrebenden GRU-Beamten kennen.
Laut Geheimdienstquellen wurde Serebriakov im Frühjahr 2022 die Leitung von Sandworm übertragen, nachdem er als stellvertretender Kommandeur von APT28 gedient hatte, und bekleidet nun den Rang eines Obersten. Christo Grozev, der leitende, auf Russland konzentrierte Ermittler des Open-Source-Geheimdienstes Bellingcat, hat ebenfalls Serebriakovs Aufstieg bemerkt: Um 2020, sagt Grozev, erhielt Serebriakov Anrufe von GRU-Generälen, die in der strengen Hierarchie der Agentur nur mit höheren Ebenen sprechen Beamte. Grozev, der sagt, er habe die Telefondaten von einer russischen Schwarzmarktquelle gekauft, sagt, er habe die Nummer des GRU-Agenten auch in den Telefonaufzeichnungen einer anderen mächtigen Militäreinheit gesehen, die sich auf Spionageabwehr konzentriert. “Mir wurde klar, dass er in einer Kommandoposition sein muss”, sagt Grozev. “Er kann nicht mehr nur ein normaler Hacker sein.”
Die Tatsache, dass Serebriakov diese Position anscheinend erlangt hat, obwohl er zuvor bei der gescheiterten Operation in den Niederlanden identifiziert und angeklagt worden war, deutet darauf hin, dass er einen erheblichen Wert für die GRU haben muss – dass er „offensichtlich zu gut ist, um ihn fallen zu lassen“, fügt Grozev hinzu.
Serebriakovs neue Position als Leiter von Sandworm – offiziell GRU Unit 74455, aber auch bekannt unter den Spitznamen Voodoo-Bär und Iridium – überträgt ihm die Verantwortung für eine Gruppe von Hackern, die vielleicht die produktivsten Cyberkrieger der Welt sind. (Sie haben sich auch an Spionage- und Desinformationskampagnen versucht.) Seit 2015 führt Sandworm die beispiellose Kampagne der russischen Regierung von Cyberangriffen auf die Ukraine an: Sie drang in Stromversorger in der Westukraine und in Kiew ein, um die ersten und zweiten Stromausfälle zu verursachen, die von ausgelöst wurden Hacker und zielten mit unzähligen datenzerstörenden Malware-Operationen auf ukrainische Regierungsbehörden, Banken und Medien ab. Im Jahr 2017 veröffentlichte Sandworm NotPetya, einen selbstreplizierenden Code, der sich in Netzwerken weltweit verbreitete und einen Rekordschaden von 10 Milliarden US-Dollar verursachte. Sandworm sabotierte dann die Olympischen Winterspiele 2018 in Korea und griff 2019 Fernsehsender in der Nation Georgia an, eine schockierende Bilanz rücksichtslosen Hackings.