Cyber Crime
Immer wieder hören wir von spektakulären Cyber Angriffen, verbunden mit Schäden in Millionenhöhe. Eine detaillierte Beschreibung eines solchen Falles mit dem ein BID Mitglied beauftragt war und die durchgeführten Ermittlungen mit Hilfe des internationalen BID Netzwerkes, hat er uns freundlicherweise zur Verfügung gestellt. Sie erhalten einen spannenden Einblick in die Welt der Cyber Kriminellen.
- 1. Auftrag
Das BID Mitgliedsunternehmen wurde beauftragt, Ermittlungen anzustellen zu den Zahlungsströmen und zu eventuellen Verschiebungen eines Betrages i.H. von 1,35 Mio. US Dollar. Die Zahlung dieses Restbetrags für den Kauf bei einem US-amerikanischen Verkäufer erfolgte durch Überweisung 2019 nach Bereitstellung der Zahlungsdaten seitens des bereits bei der Anzahlung des Kaufes genutzten US-amerikanischen Escrowservices. Hierbei wurden dem Käufer verfälschte Kontodaten übermittelt. Eine Rückbuchung der Zahlung seitens der Bank des Käufers konnte lediglich einen Teilbetrag von ca. 30% der Summe wiedererlangen lassen. Anzeige bei der zuständigen Kriminalpolizei ergab keine Erkenntnisse. Die Ermittlungen wurden aufgrund angeblich fehlender Erfolgsaussichten bereits 9 Kalendertage nach Erstattung der Anzeige seitens der StA eingestellt.
- 2. Feststellungen Bank, FBI Deutschland, FBI USA,
Der Austausch mit der ausführenden Bank des Käufers in Deutschland ergab, dass über den bereits zurückerlangten Betrag in Höhe von US$ 400.000,- hinaus seitens der Banken keine weiteren Rückbuchungen erfolgen können. Die Buchungen sind abgeschlossen. Die beteiligten Banken in den USA verweigern ihrerseits, weitere Auskunft zu Zahlungsflüssen und zu Kontodetails zu übermitteln. Der Auftraggeber hatte bereits zuvor (2019) eine Anzeige bei der zuständigen Abteilung des FBI per Internet eingereicht. Hierzu erfolgt offenkundig generell keine Eingangsbestätigung. Auch eine weitere Bearbeitungsmeldung blieb gänzlich aus bis dato. Der Kontakt seitens unseres Mitgliedes zum für derartige Kriminalität zuständigen FBI erfolgte über das Frankfurter Büro des FBI im Generalkonsulat. Trotz des dort geschilderten Sachverhaltes, dass es sich um einen Tatvorgang auf US-Territorium handelte und dabei Täter eine erhebliche Summe erbeutet haben, deren Verwendungszweck nicht klar ist - und somit auch der Terrorfinanzierung oder weiteren unlauteren Machenschaften dienen könnte - verweist das Frankfurter Büro des FBI im dritten Gespräch dazu lediglich auf die Website des FBI. Es handele sich hierbei um einen „Business Dispute“, der zivilrechtlich zu bestreiten sei und dem FBI könne dies lediglich per Webformular gemeldet werden (wie durch AGG zuvor bereits erfolgt). Hier ist nach h.E. die klare Haltung des FBI erkennbar, möglichst nichts zu unternehmen, solange kein US-Bürger geschädigt wurde. Auch der Hinweis, dass mit dem für die Zahlungsabwicklung betrauten Service auch ein US-Unternehmen zumindest im Ansehen und eventuell auch bezüglich weiterer juristischer Verantwortlichkeit geschädigt ist hat das FBI als zuständige Behörde nicht dazu bewegen können, kooperativ zu sein. Diverse Kontaktaufnahmen seitens unseres Mitgliedes zu regionalen Polizeidienststellen und Sheriffs in den USA ( I, Public Safety Bureau , Police) führten allesamt trotz sehr motivierter Aufnahme des Sachverhaltes doch nur zum Verweis an das FBI in New York, welches zuständig sei. Der involvierte Rechtsanwalt hat zudem den Sachverhalt und zwischenzeitliche Erkenntnisse wiederholt dem FBI Washington und den zuständigen regionalen Staatsanwälten (am Sitz des Escrow Services, sowie am Sitz der Bank des in betrügerischer Absicht aufgesetzten Kontos) gemeldet und um Ermittlung, Auskunft und Unterstützung gebeten. Zu allen Ansätzen blieben Ergebnisse aus. Auch hierbei ist nach h.E. die klare Haltung erkennbar, möglichst nichts zu unternehmen, solange kein US-Bürger geschädigt wurde.
2.1 Ermittlungen zu Konto und Zahlungsfluss
Das BID Mitgliedsunternehmen hat sodann in Zusammenarbeit mit US Kollegen ermittelt, welche Personen zu welchem Zeitpunkt das betrügerische Konto eröffnet haben. Dieses Konto wurde offenkundig gezielt bei einer anderen US-Bankgesellschaft eröffnet, als das korrekte Konto des Escrow Services. Zudem wurde ein Firmenname für das Konto gewählt, der sehr ähnlich dem des Escrow Services klingt. Auffällig ist, dass nach unseren Erkenntnissen das Konto bereits länger besteht. Dies deutet darauf hin, dass der Escrow Service durch die Täter bereits ausgesucht wurde, bevor dort der AGG Kunde wurde. Vermutlich haben die Täter auf eine passende Gelegenheit gewartet, die Kommunikation zwischen Escrow Service und Käufer übernehmen zu können, ohne dass Verdacht geschöpft würde. Dafür hat sich für die Täter offenbar ein internationaler Kunde wie der AGG angeboten, da kaum mit direktem Kontakt und Telefonaten zu rechnen war. Dass die Kommunikation beim Escrow Service durch illegalen Zugriff auf das Emailsystem abgefangen oder gar durch Insider mitgelesenen und weitergereicht wurde, ist stark anzunehmen. Andernfalls hätten die Täter kaum die notwendigen Detailkenntnisse haben können. Die erkennbar absichtliche Ähnlichkeit des dem Käufer zur Verfügung gestellten Dokumentes mit Zahlungsdetails zu dem ersten Dokument für die Anzahlung zeigt, dass der Zugriff auf interne Daten beim Escrow Service erfolgt sein musste. Die nachvollziehbaren, vorsätzlich gewählten Ähnlichkeiten der durch die Täter verwendeten Emailadressen mit denen des Escrow Services bestätigen diese These. Unser Mitglied konnte feststellen, wie das Konto eröffnet wurde und wie aus dem Betrag von US$1,35 Mio. Einzelbeträge weiter transferiert wurden:
Die über das BID Netzwerk beauftragten US Kollegen stellten dann umfangreiche Nachforschungen mit den vorhandenen Erkenntnissen an, um an weitere Informationen zu kommen. Die Anfragen bezüglich der Bankdaten (SWIFT, Bankleitzahl) wurden über das Hauptbüro der Bank in den USA abgewickelt. Die Ergebnisse der Nachforschungen zum betroffenen Konto ergaben, dass es angeblich noch immer besteht, es allerdings in seinen Funktionen stark eingeschränkt sein soll. So können zur Zeit keine Transaktionen durchgeführt werden. Es wird behauptet, dass das Konto um ca. 17.000 US-Dollar überzogen worden sein soll. Es wurden tiefergehende Nachforschungen angestellt, um herauszufinden, wann das Konto eröffnet wurde. Dazu konnte allerdings nichts konkretes in Erfahrung gebracht werden. Lokale Quellen behaupten jedoch, dass das Konto seit 18 Monaten besteht. Weitere Nachforschungen zum besagten Konto ergaben, dass es von zwei russichen Staatsangehörigen mit den Namen Maksim Viktorovich Yakubets und Igor Olegovich Turashev eröffnet worden sein soll. Wie es scheint, werden beide von den US-amerikanischen Behörden aus folgenden Gründen gesucht: Betrug, Überweisungsbetrug, Bankbetrug und vorstätzlicher Beschädigung von Computern. Scheinbar wurden die beiden im November 2019 in den USA angeklagt. Die beiden Männer sollen zudem in Betrugsfälle verwickelt sein, die Verluste von mehreren zehn Millionen Dollar zur Folge hatten. Die zwei Männer scheinen aktuell in Russland zu leben. Sie scheinen unter Schutz zu stehen und können daher nicht ausgeliefert werden. Weitere Anfragen wurden getätigt, um weitere Unterzeichner oder genannte Einrichtungen im Zusammenhang mit dem Bankkonto zu identifizieren. Die Ergebnisse der Anfragen waren allerdings ohne Ergebnis. Bislang ergaben alle Nachforschungen, dass keine weiteren Personen im Zusammenhang mit dem besagten Konto stehen. Bei der für die Kontoeinrichtung angegebenen Adresse soll es sich um ein virtuelles Büro handeln, das in New York City, USA eingerichtet worden sein soll. Es scheint jedoch, dass die Post an diese Adresse wieder zurückgeschickt wurde. Scheinbar gibt es derzeit keine offizielle Adresse, die von der Bank für das Konto registriert wurde. Es wurden keine anderen verknüpften Adressen für das Konto gefunden. Weitere Nachforschungen über die Bank weisen darauf hin, dass es weitere Konten gibt, die unter den bekannten Namen geführt werden und bei denen es sich wohl um aktive Konten für Unternehmen handelt, die in Delaware und Pennsylvania in den Vereinigten Staaten registriert sind. Diese sollen jedoch nicht mit dem angegebenen Konto in Verbindung stehen. Es wurde eine eingehende Untersuchung zu den Geldern durchgeführt, die auf das angegebene Konto eingegangen sein sollen. Im Juli 2019 sollen ca. 1,35 Mio. US-Dollar auf das Konto eingegangen sein. Weitere genaue Informationen zu dieser Transaktion konnten jedoch aufgrund des eingeschränkten Zugriffs auf das Konto nicht überprüft werden. Es wurden weitere Nachforschungen angestellt, um herauszufinden, ob diese erhaltenen Geldmittel immer noch auf dem Konto sind oder weiter überwiesen wurden. Die Gelder sollen im August 2019 weiterüberwiesen worden sein. Scheinbar wurden verschiedene Beträge überwiesen: etwa Anfang August 2019 wurden ca. 200.000 US-Dollar in zwei Zahlungen zu jeweils 100.000 US-Dollar an Bitcoin gesendet. Diese Mittel wurden zum Kauf von Bitcoin verwendet. Wir konnten jedoch keine weiteren Informationen finden und es wird vermutet, dass die Personen diese Gelder in verschiedene Bitcoin-Wallets angelegt haben. Die Verfolgung dieser Gelder war ohne Erfolg. Es wird vermutet, dass vor der Transaktion in Höhe von 1,35 Mio. US-Dollar weitere Zahlungen an Bitcoin getätigt wurden, so dass davon ausgegangen wird, dass möglicherweise große Summen in Bitcoin-Wallets angelegt wurden. Die Rückverfolgung von Bitcoins gestaltet sich bislang allerdings schwierig. Bei Bedarf müssen weitere spezialisierte Nachforschungen durchgeführt werden. Es wird ferner darauf hingewiesen, dass im August 2019 mehrere Barabhebungen von dem Bankkonto vorgenommen wurden. Es handelt sich dabei um Gegenabhebungen. Es wurden sechs Barabhebungen über jeweils 5.000 US-Dollar vorgenommen, insgesamt also 30.000 US-Dollar. Dazu konnten bislang keine weiteren Informationen eingeholt werden. Weitere Nachforschungen deuten darauf hin, dass ca. 1 Mio. US-Dollar der Gelder auf Offshore-Konten transferiert wurden. Genaue Informationen konnten dazu allerdings bisher nicht überprüft werden. Nichtsdestotrotz wurden trotz begrenzter Quellen einige Informationen eingeholt. Ca. 350.000 US-Dollar sollen auf ein Konto bei der VP Bank (BVI) Ltd. überwiesen und dort auf ein Konto gutgeschrieben worden sein, das unter dem Namen Aqua Trust geführt wird. Es konnten keine Details für das Konto validiert werden. Es wird vermutet, dass es beschlagnahmt wurde. Das Konto hatte zum Zeitpunkt der Schließung vermutlich ein Guthaben von null US-Dollar. Einzelheiten zu Geldtransaktionen konnten nicht ermittelt werden. Im August 2019 sollen etwa 650.000 US-Dollar von dem angegebenen Konto überwiesen worden sein. Die Ergebnisse der Untersuchung deuten zudem darauf hin, dass es eine Zahlung in Höhe von 350.000 US-Dollar gab, die offenbar an ein Konto auf den Caymaninseln ging. Eine weitere Zahlung in Höhe von 300.000 US-Dollar wurde offenbar auf ein Konto in Panama überwiesen. Es wurden umfangreiche Nachforschungen angestellt, um die Konten zu ermitteln, denen diese Zahlungen gutgeschrieben wurden. Eine Verifizierung war bis heute nicht möglich. Die einzige Information, die in Bezug auf das Bankkonto in Panama in Erfahrung gebracht werden konnte, war, dass das Konto angeblich auf den Namen von VVF Services geführt wurde. Es konnten allerdings keine weiteren Informationen zur Bank oder Kontonummer überprüft werden. Zu der Zahlung auf die Caymaninseln konnte herausgefunden werden, dass diese offenbar einem Konto bei der First Caribbean International Bank (Cayman) Ltd. gutgeschrieben wurde, das angeblich der Sky Holdings gehört. Es konnten bislang allerdings keine weiteren Informationen oder Hinweise eingeholt werden.
2.1 Ermittlungen des BID Mitgliedes zu mutmaßlichen Tätern
Zu den beiden mutmaßlichen Tätern ließ sich über russische Kllegen des BID Netzwerkes feststellen: Yakubets, Maxim Viktorovich geb. 20.05.1987. Es ist bekannt, dass Yakubets zweimal verheiratet ist: Aus seiner ersten Ehe hat er einen 10-jährigen Sohn. Alena Benderskaya, die Tochter des ehemaligen FSB-Offiziers Eduard Bendersky, wurde seine neue Ehefrau. Alena Eduardovna Benderskaya, INN: 772978585700, ist Gründerin und Leiterin der folgenden Unternehmen: LLC "Wellsholder", INN: 7731570908, Adresse: 121351, Moskau, st. Bobruiskaya, 1, t. (495) 416-33-34, (495) 416-33-35. LLC "Netwealth", INN: 7704623950. In der Tat, unter der Adresse: 121351, Moskau, st. Bobruiskaya, 1, t. (495) 416-33-34, (495) 416-33-35. Über Benderskaya ist bekannt, dass sie die Miteigentümerin des Unternehmens Plein Sport Moscow ist, ein Netzwerk von Moskauer Boutiquen der Marke Plein Sport (die Sportlinie der italienischen Marke Philipp Plein). Kurz vor ihrer Hochzeit wurde in den Einkaufszentren "Metropolis" und "Vremena Goda" eröffnet (Adresse: Kutuzovskiy Prospect, 48, t. +7 495 644 48 48. Weitere Informationen finden Sie unter dieser Adresse: https://www.svoboda.org/a/30315952.html Am Standort dieser Boutiquen wurde eine Überprüfung durchgeführt - sie waren geschlossen. Briefpost für M.V. Yakubets kann an die Registrierungsadresse der Firmen seiner Ehefrau geschickt werden: 121351, Moskau, st. Bobruiskaya, 1. Turaschew, Igor Olegowitsch geb. 15.06.1981 TIN 121517223681 ist Gründer und Leiter folgender Unternehmen: KDM ANO "ANITECH" INN 7714440433, OGRN 1197700003049, Registrierungsdatum: 27.02.2019, Adresse: 123308, Moskau, st. Kuusinena, Gebäude 7, Gebäude 1, Etage / Raum / Raum 1 / II / 5 - LLC "ANITEKH" INN 7726442555, OGRN 1187746905070 registriert am 30. Oktober 2018, Adresse: Moskau, Mikrobezirk Chertanovo Severnoe, Gebäude 1A, Etage 3 Zimmer. LI Büro 2. - LLC "CYBERBOREIA" , INN: 9703013641, PSRN: 1207700219594, Registrierungsdatum: 07/06/2020, Adresse: 123112, Moskau, Presnenskaya-Damm, 12, Etage. 52, Büro. 5205., Anteil von Turashev I.O. im Vereinigten Königreich. - 60%. Briefpost an I.O. Turashev kann an die Adresse des Standortes seiner neuen Firma geschickt werden: 123112, Moskau, Presnenskaya, Haus 12, Etage. 52, Büro. 5205., LLC "CYBERBOREIA". Da das Unternehmen vor kurzem erst gegründet wurde, nimmt er höchstwahrscheinlich an seinen Aktivitäten teil.
2.1 Erkenntnisse zu Hintergründen der Täter
Die beiden Personen Yakubets und Turaschew werden einer der einflußreichsten russischen Hackergruppen zugerechnet, der Evil Corp. Diese sind ausgesprochen tief in der russischen Geheimdienstszene und in der Politik vernetzt. Sie werden i.A. geschützt und können weitgehend frei agieren. Inzwischen finden sich Medienberichte dazu:
Die US-Regierung hat formell Anklage gegen die Mitglieder der russischen Hackergruppe "Evil Corp." erhoben. Washington sagt, dass diese Männer hinter "den ungeheuerlichsten Cyberangriffen der Welt" stecken, die Hunderte von Millionen Dollar an Schäden bei Banken verursacht haben. Das Justizministerium glaubt, dass der Anführer von Evil Corp Maxim Yakubets ist, der immer noch auf freiem Fuß ist und aktiv an den Hackeraktivitäten beteiligt war. Die investigative Journalistin Liliya Yapparova von Meduza fand heraus, dass die Hacker von Evil Corp zu den Familien hochrangiger russischer Staatsbürokraten und Sicherheitsbeamter gehören. Sie erfuhr auch mehr über die engen Verbindungen des russischen Geheimdienstes zu Maxim Yakubets, dessen Verhaftung den Vereinigten Staaten inzwischen 5 Millionen Dollar wert ist. Die ersten Andeutungen von internationalem Ruhm erreichten Maxim Yakubets und sein Hackerkollektiv im Juli 2009, als Yakubets erst 22 Jahre alt war. Er hatte 415.000 Dollar aus der Staatskasse von Bullitt County im äußersten Westen Kentuckys gestohlen und den "ukrainischen Hackern" damit einen Platz in der Washington Post eingebracht. Während andere in der Gruppe Yakubets in den Nachrichten gratulierten, die später vom FBI aufgedeckt wurden ("das ist verdammt verrückt - du bist in den Nachrichten, Mann!"), beklagte er nur, dass die Zeitung "das gesamte Schema beschrieben" hatte. Zehn Jahre später hat Yakubets die Hackergruppe übernommen und sie "Evil Corp." genannt. Er braust in einem Lamborghini durch Moskau. Als wir in der GetContact-App nach seiner Handynummer suchten, zeigte sich, dass seine Moskauer Freunde ihn in ihren Telefonen nur als "Mister Prosecutor" eingetragen haben. Echte Staatsanwälte sind ebenfalls auf die überwiegend in der Ukraine geborene, aber in Russland lebende Gruppe aufmerksam geworden.
Die Bundesstaaten Nebraska und Pennsylvania haben Anklage gegen Yakubets erhoben. Die Belohnung für Informationen, die zu seiner Festnahme führen, ist mit 5 Millionen Dollar die höchste, die jemals für einen Cyberkriminellen angesetzt wurde. Das US-Finanzministerium ist sogar noch weiter gegangen und behauptet, der berüchtigte Hacker habe nicht nur in seinem eigenen finanziellen Interesse gehandelt, sondern 2017 auch begonnen, vertrauliche Dokumente für den russischen Föderalen Sicherheitsdienst (FSB) zu stehlen. Russlands Außenministerium nannte diese Anschuldigung einen "propagandistischen Angriff", aber Meduza hat herausgefunden, dass die Amerikaner wahrscheinlich recht haben. Evil Corp arbeitet nicht nur mit dem russischen Geheimdienst zusammen, mehrere Mitglieder der Gruppe sind enge Verwandte von russischen Regierungs- und Geheimdienstmitarbeitern. Maxim Yakubets' Wohnung in Moskau wurde erstmals am 24. November 2010 von den russischen Strafverfolgungsbehörden durchsucht. Er war zu dieser Zeit zu Hause, ebenso wie seine erste Frau. Es war nicht schwer, sie zu finden: Yakubets benutzte dieselbe E-Mail-Adresse für seine Hackerarbeit, die er auch benutzte, um einen Kinderwagen für den einjährigen Sohn an seine Adresse liefern zu lassen. Während die Informationen, die bei der Durchsuchung aufgedeckt wurden, an die amerikanische Regierung weitergeleitet wurden, haben russische Beamte das Strafverfahren gegen Yakubets nicht weiter verfolgt. Mehrere Quellen sagten Meduza, dass das, was als nächstes geschah, extrem vorhersehbar war.
Ein FSB-Veteran, dessen Job es war, sich mit Hackern herumzuschlagen, sagte: “Wenn sich bei der ersten Begegnung herausstellt, dass diese Leute einfach nur kalt sind, dann leben sie nicht lange. Der Rest beginnt zu kollaborieren." Diese Strategie, fügte die Quelle hinzu, wird seit den 1990er Jahren in der russischen Geheimdienstgemeinschaft angewandt. In seinen Worten: “Sobald der erste technische Hochschulstudent aus bescheidenen Verhältnissen einen Ferrari auf die Straßen Moskaus brachte", begannen FSB-Agenten zu rekrutieren - sowohl um das Cybercrime-Geschäft unter Kontrolle zu bringen als auch um es an sich zu reißen. Karen Kazaryan, die Geschäftsführerin des Internet Research Institute, und Ruslan Stoyanov, ein hochrangiger Manager bei Kaspersky Lab, der derzeit in Russland wegen Hochverrats einsitzt, fügten beide hinzu, dass das Arrangement zwischen russischen Geheimdienstlern und Hackern eine wechselseitige Gegenleistung ist. Die Hacker arbeiten für die Spione und vermeiden es, russische Vermögenswerte anzugreifen. Die Spione wiederum verfolgen die Hacker nicht strafrechtlich und ermöglichen es ihnen, unglaublichen Reichtum zu erlangen und exzentrischen Hobbys nachzugehen.
"Sie stecken Leute wirklich nur sehr selten ins Gefängnis, und selbst dann nur, um ein Kästchen anzukreuzen", erklärte Kazaryan. Im Sommer 2016 ließen die Angriffe von Evil Corp eine Zeit lang deutlich nach. Nachdem er am 15. und 16. August eine Reihe von Phishing-E-Mails veröffentlicht hatte, verbrachte Maxim Yakubets den Rest des Monats im teuersten Resort der Krim, dem Mriya Resort & SPA, und gab mehr als eine Million Rubel (15.800 US-Dollar) pro Woche aus. Er war dort mit Aljona Benderskaja, die laut Flugaufzeichnungen häufig mit Evil Corp-Mitgliedern in den Urlaub fuhr. Die Gruppe bevorzugt inländische Ziele wie Sotschi oder annektierte wie die Krim. Reisen ins Ausland bergen für sie ein hohes Risiko zur Verhaftung und Auslieferung an die Vereinigten Staaten. Im Sommer 2017 reisten Benderskaya und Yakubets an den russischen Baikalsee und mieteten eine Lodge, die von Hochzeitspaaren kostenlos gemietet werden könne. Während wir keine Informationen darüber finden konnten, ob die Ehe von Benderskaya und Yakubets offiziell eingetragen wurde, haben sowohl Radio Svoboda als auch britische Geheimdienstmitarbeiter herausgefunden, dass die beiden eine aufwendige, exklusive Hochzeitszeremonie abgehalten haben. Nach dieser Hochzeit wurden alle öffentlichen oder teilweise öffentlichen Informationen über Yakubets' Aktivitäten und die seiner Kollegen von Evil Corp nicht mehr im Internet aktualisiert, eine Änderung, die etwas mit der Identität seiner Braut zu tun haben könnte.
Jemand mit dem Vornamen, Nachnamen und Vatersnamen Aljona Eduardowna Benderskaja ist in öffentlichen Datenbanken als Miteigentümer oder Führungskraft bei sieben verschiedenen Organisationen aufgeführt, von denen drei Verbindungen zum ehemaligen FSB-Sondereinsatzagenten Eduard Bendersky haben. Bendersky ist die männliche Form des Nachnamens Benderskaya; Eduardovna ist der Vatersname von Benderskaya, was bedeutet, dass ihr Vater Eduard heißt. Wie Radio Svoboda können wir nur zu dem Schluss kommen, dass Yakubets jetzt ein Schwiegersohn von Eduard Bendersky ist. "Er ist ein ehemaliger Agent, aber ein sehr einflussreicher bis heute, sehr einflussreich. Er hat viele Geschäfte und viel Öl. Und seine eigene PMC [private Militärfirma] im Nahen Osten", sagte ein Bekannter Benderskys, der ebenfalls früher dem FSB diente. Bei russischen Journalisten und in der Öffentlichkeit ist Bendersky auch für seinen großen Einfluss bekannt, den er durch seine führende Rolle in der russischen Sportjäger-Lobby erlangt hat. Auf die Frage, wie ein Hacker und die Tochter eines FSB-Agenten in einer Beziehung gelandet sein könnten, wies eine dem FSB nahestehende Quelle darauf hin, dass die Gruppe der jungen Leute, die in Moskau leben und in der Lage sind, enorme Geldbeträge für ihre eigene Unterhaltung auszugeben, sehr klein ist.
Diese kleine Gruppe umfasst sowohl die Cyberkriminellen der Hauptstadt als auch die Töchter ihrer Geheimdienstler. Während die Vorteile von Yakubets' FSB-Verbindungen bereits deutlich werden, werden sie ihn möglicherweise nicht unbegrenzt schützen. Einerseits ist der Evil-Corp-Anführer seit April 2018 dabei, eine Sicherheitsfreigabe zu erhalten. Laut Karen Kazaryan wird ihm diese Freigabe erlauben, im Ausland nach peinlichen Finanzinformationen in Bezug auf russische Beamte zu suchen. Auf der anderen Seite sagte ein FSB-Veteran, der enge Beziehungen zur Agentur unterhält, gegenüber Meduza, dass die K-Abteilung des FSB, die sich mit Finanzverbrechen befasst, begonnen hat, die Evil Corp trotz ihrer Regierungsverbindungen ins Visier zu nehmen. Der ehemalige Agent sagte, dass die K-Division nach einem Fall gesucht hat, der es ihr ermöglicht, einen neuen General heranzuzüchten, und die Evil Corp. passt in dieses Schema: Neben dem Diebstahl ausländischer Gelder wurde die Gruppe beschuldigt, gestohlenes Geld zu legalisieren und Wege zu finden, dieses in Bargeld umzutauschen. Der Zeitpunkt der Führungslücke in der K-Division hat auch nicht zu Gunsten der Evil Corp gespielt: Kirill Cherkalin, ein Oberst der Abteilung, wurde kürzlich wegen Bestechungsvorwürfen aus dem Dienst genommen. Der FSB und Eduard Bendersky reagierten nicht auf die Anfragen von Meduza nach einem Kommentar.
Wir waren nicht in der Lage, Alyona Benderskaya telefonisch zu erreichen, und Maxim Yakubets' Verwandte antworteten nicht auf Nachrichten, die an ihre Social-Media-Konten gesendet wurden. Die stärkste Verbindung der Evil Corp zur Regierung mag Maxim Yakubets sein, aber seine Ehe mit Alyona Benderskaya ist nicht das Ende der Geschichte. Ein weiterer in der Gruppe aktiver Hacker ist der Sohn des ehemaligen Bürgermeisters von Khimki, einer Stadt am nordwestlichen Stadtrand von Moskau. Die Beziehung selbst ist klar genug: Der ehemalige Bürgermeister, Vladimir Strelchenko, hat selbst zugegeben, dass er der Vater eines gewissen "Andrey Kovalsky" ist. Was weniger klar ist, ist Kovalskys eigene Identität: Er hat sechs Pseudonyme, darunter sowohl Andrey Kovalsky als auch Andrey Plotnitsky.
Sein Instagram-Spitzname Strel ist das einzige öffentliche Überbleibsel des Nachnamens seines Vaters. Plotnitsky antwortete nicht auf die Fragen, die Meduza an einen seiner Anwälte schickte, und als er unsere Nachrichten auf "VKontakte" erhielt, reagierte er mit dem Löschen seiner Seite. Allerdings war er zuvor auf Social Media aktiver als seine Evil Corp-Kollegen, und seine Posts bieten einen Einblick in den verschwenderischen Lebensstil, den die Gruppe seit ihren ersten Erfolgen pflegt. Im Jahr 2018 postete Plotnitsky beispielsweise auf Instagram und kritisierte die örtliche Polizei in Sotschi, nachdem sie einen mutmaßlichen Hacker-Kollegen wegen Geschwindigkeitsüberschreitung mit einem Strafzettel belegt hatte. An dem Vorfall waren ein Lamborghini Huracan, ein Ferrari 458, ein Nissan GTR35, ein Audi R8 und ein BMW M3 beteiligt, die mit 280 km/h über eine Autobahn rasten. Kovalsky argumentierte damals, dass Korruption unter "Richtern, Polizisten und Bürokraten" ein größeres Problem für die Polizei sein sollte als Strafzettel. Weitere Nachforschungen zeigen eine tief verwurzelte Besessenheit von Luxussportwagen in der Evil Corp.
So hat die britische National Crime Agency berichtet, dass die Gruppe vor allem aus den Kellern von Moskauer Cafés heraus arbeitet: Ein Foto der Agentur, das Mitte der 2010er Jahre entstand, zeigt einen tarnfarbenen Luxuswagen, der vor einem von ihnen geparkt ist. Wir identifizierten die Einrichtung als das Chianti-Café in der Tatarskaja-Straße 1/7 und stellten bei einem Besuch an dieser Adresse fest, dass das Restaurant längst geschlossen ist. Nichtsdestotrotz erzählte uns ein Moskauer Anwohner, dass Jakubets und Benderskaja mehrere Jahre lang in der nahe gelegenen Bakhrushina-Straße gewohnt hatten. Mehrere Jahre lang, fügte er hinzu, konnte man die Autos des Paares überall in der Gegend parken sehen. "Jeder kennt sie", sagte er. Keines der Mitglieder von Evil Corp scheint Angst zu haben, seinen Reichtum zur Schau zu stellen. Die Gruppe ist dafür bekannt, eine Flotte von Luxusautos und Motorrädern zu besitzen, die für alles Mögliche verwendet werden, von Unterhaltung bis hin zu handelbarer Währung oder der Bezahlung von Chauffeuren. Die Autos sind alle auf nur einen der Hacker, Dmitry Smirnov, registriert und werden auf einem privaten Grundstück gelagert. Quellen sagten Meduza, dass die Autos drei Lamborghini Huracans umfassen, ein Cadillac Escalade, ein Chevrolet Camaro, drei verschiedene Mercedes Benz Modelle, ein Volkswagen Amarok, ein Nissan GTR gemustert mit Totenköpfen und Schlagring, und eine Reihe von Vintage Russian Zhigulis.
Diese Tätergruppe Evil Corp. wird auch für einige Angriffe auf Einrichtungen und Institutionen in Deutschland verantwortlich gemacht. Zumeist wird beobachtet, dass die Betroffenen auf Stillschweigen beharren um einem möglichen Imageschaden aus dem Weg zu gehen. Der Evil Corp. werden in Summe über eintausend Straftaten vorgeworfen. Die Dunkelziffer dürfte wesentlich höher liegen. Diese Liste berücksichtigt nicht einmal andere Autos, die sich offenbar in Privatbesitz befinden, wie z. B. ein ultramarinblauer Audi von Andrey Plotnitsky. Abgesehen davon, dass sie mit ihren Sportwagen den Verkehr stören, scheinen die Mitglieder von Evil Corp ihren Reichtum gerne online zur Schau zu stellen, sowohl in der Öffentlichkeit als auch im Privaten. Ein Mitglied hat unter dem Benutzernamen Denis Afinov mehrere Fotos mit einem in Gefangenschaft gehaltenen Löwen- oder Ligerjungen gepostet. Andere haben Social-Media-Konten mit Benutzernamen wie "Kirill der Allerhöchste" und "Oligarchovich". Eine durchgesickerte Datenbank mit Logins und Passwörtern zeigt, dass sogar das E-Mail-Passwort von Maxim Yakubets "statmillionerom" lautete, also "Millionär werden". Einen Hauch von Selbstironie haben die Hacker nur auf den Nummernschildern ihrer Sportwagen gezeigt: Mindestens vier von ihnen enthalten die Buchstaben "VOR", das russische Wort für Dieb.
- 3. Fazit
Die Täterschaft ist zweifelsohne den vorgenannten Personen und deren Organisation zuzuschreiben. Aufgrund deren ungewöhnlich gut protegierten Position innerhalb Russlands muss angenommen werden, dass eine Strafverfolgung oder gar eine Auslieferung nur sehr unwahrscheinlich zu erreichen sein werden. Diese Einschätzung teilt auch der in dieser Sache beauftragte Rechtsanwalt und hat dies inzwischen so mitgeteilt. Ein etwaiger Zugriff auf nach Panama oder die Cayman Islands transferierte Gelder ist unter diesen Gesichtspunktenund aufgrund fehlenden Kooperationswillens der dortigen Behörden und Banken als aussichtslos zu bezeichnen. Zudem dürften die besagten Gelder auch von diesen Konten weitertransferiert worden sein. Auch dabei ist anzunehmen, dass die Beträge in Bitcoin umgesetzt wurden, so wie dies bei der agierenden Organisation Evil Corp. üblich ist. Unser Mitglied wird über das BID Netzwerk und daraus resultierender Kontakte nach Russland eruieren, ob weitere Schritte gegen die Täter in Russland realisierbar erscheinen. Hierbei wird entscheidend sein, ob die russische politische Führung die Täter dauerhaft schützen möchte oder ob absehbar ist, dass ein Bruch zwischen Regierungsverantwortlichen und den Tätern erfolgen wird. Trotzdem besteht weiterhin die Möglichkeit, mit Unterstützung eines örtlich zugelassenen, russischen Rechtsanwaltes eine Anklage in der Sache zu versuchen. ****************************************ENDE************************************************
***********************************************
