>
Research (Insikt)

Russlandbezogene Bedrohungen für die US-Präsidentschaftswahlen 2020

Veröffentlicht: 3. September 2020
Von: Insikt Group

insikt-group-logo-aktualisiert-3-300x48.png

Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

In diesem Bericht bietet Recorded Future einen Überblick über Cyberspionage- und Einflussoperationen mit Russland-Nexus im Zusammenhang mit den US-Wahlen 2020, einschließlich Aktivitäten von Advanced Persistent Threat (APT)-Gruppen, Information Operations (IO)-Einheiten sowie wahrscheinlichen Tarnorganisationen und nichtstaatlichen Gruppen, die es auf Präsidentschaftskandidaten, politische Parteien, Wahlinfrastruktur, Medienplattformen, Wahlbemühungen und die US-Bevölkerung im Allgemeinen abgesehen haben. Die in diesem Bericht bereitgestellten Bewertungen basieren auf Inhalten der Recorded Future Platform ® und Daten von Social-Media-Sites, lokalen und regionalen Nachrichtenseiten, akademischen Studien, Berichten zur Informationssicherheit und anderen offenen Quellen, die zwischen dem 1. Januar 2020 und dem 25. August 2020 verfügbar waren. Wir haben dies mit historischen Daten verglichen, um Änderungen bei Taktiken, Techniken und Verfahren (TTPs) zu ermitteln und so Cyber-Bedrohungen, Informationsoperationen (IO) und hybride Bedrohungen aufzudecken, die Aspekte sowohl von Cyber- als auch von IO-Aktionen beinhalten.

Executive Summary

Die Bedrohungslandschaft der bevorstehenden Wahlen unterscheidet sich von der von 2016 und 2018. Bedrohungsakteure und Aktivitätsgruppen, die es zuvor auf Wahlen abgesehen hatten, haben sich weitgehend zurückgehalten. Wie schon in den Jahren 2016 und 2018 stellt Russland jedoch auch weiterhin die größte Bedrohung für die US-Präsidentschaftswahlen 2020 dar. Dies ist auf die Erfolge bei der Durchführung von Phishing- und Cyberangriffen in der Vergangenheit, die unermüdliche Beharrlichkeit bei direkten Angriffen auf demokratische Institutionen und Organisationen in den USA und die Durchführung von Informationskampagnen gegen die US-Wählerschaft über konventionelle und soziale Medien zurückzuführen.

Aktuelle, von Russland gelenkte Informationsoperationen gegen die Vereinigten Staaten laufen mindestens seit 2016, wobei sich die Aktivitäten zunehmend international verteilen. Darüber hinaus bauen russische Bedrohungsgruppen ihre Infrastruktur weiter aus und entwickeln Schadsoftware und Exploits, greifen dabei jedoch weniger gezielt wahlbezogene Einrichtungen an. Auch wenn seit Januar 2020 keine erkennbaren, vom russischen Staat gesponserten Hack-and-Leak-Operationen mehr zu beobachten sind, können wir angesichts des Schadens, den derartige Aktivitäten im Vorfeld der Wahlen im Jahr 2016 angerichtet haben, nicht ausschließen, dass vor den Wahlen im November ein Leck auftauchen könnte. Russische Bedrohungsakteure und Aktivitätsgruppen werden wahrscheinlich bis zum Wahltag und sogar danach weiterhin Cyberangriffe durchführen und Informationsoperationen gegen die US-Wählerschaft durchführen.

Auch unbegründete Bedrohungen der Wahl geben weiterhin Anlass zur Sorge. Die auffälligsten davon sind die wachsenden Verschwörungstheorien und ihre Anhänger in Form der QAnon- und Boogaloo-Bewegungen. Darüber hinaus können nicht zurechenbare Aktivitäten von Cyberkriminellen oder anderen Elementen die US-Wahl stören oder schädigen und erfordern eine ständige Wachsamkeit gegenüber Darknet- und Untergrundquellen.

Wichtige Urteile

  • Die größte Bedrohung für die US-Präsidentschaftswahlen 2020 dürften russische Advanced Persistent Threat Groups (APGs) darstellen, auch wenn bislang keine Aktivitäten gegen diese Ziele festgestellt wurden. Diese Einschätzung basiert auf früheren Bemühungen gegen die US-Wahlen 2016 und 2018 sowie auf festgestellten Umrüstungen, Entwicklungen und laufenden Aktivitäten der US-amerikanischen und britischen Geheimdienste.
  • Informationsoperationen dürften bei der Störung des sozialen und politischen Umfelds in den USA im Vorfeld der Wahlen weiterhin eine große Rolle spielen. Laufende Forschungsinitiativen des Stanford Cyber Policy Center, von Graphika und anderen haben beschrieben, wie sich diese Bemühungen seit 2016 entwickelt haben, und aufgezeigt, dass derartige Operationen weiterhin auf Wahlen auf internationaler Ebene abzielen, um irreführende Informationen zu verbreiten.
  • Obwohl bislang keine mit der Wahl in Zusammenhang stehenden Hack-and-Leak-Operationen mit Verbindungen zu russischen Bedrohungsakteuren identifiziert wurden, besteht weiterhin die Möglichkeit, dass derartige Inhalte bereits im Vorfeld der Wahl auftauchen könnten. In der Vergangenheit gab es bereits Präzedenzfälle dafür, dass Organisationen wie APT28 derartige Daten verzögert verbreitet haben.
  • Ransomware stellt wahrscheinlich eine zusätzliche Bedrohung für die wahlbezogene Infrastruktur dar. Sorgfältig getimte Ransomware-Angriffe in wichtigen Swing States könnten zwar zu Einschränkungen führen, dürften die Wahlen 2020 aber kaum völlig stören.
  • Auch von nichtstaatlichen Gruppen dürfte durch Informationsoperationen, Einflussnahme oder Proteste eine Bedrohung für die Wahlen ausgehen. Zwar stehen sie nicht in direkter Verbindung zu russischen Bedrohungsakteuren, doch sind offene und verdeckte russische Einflussoperationen an diesen Gruppen interessiert und verstärken deren Inhalte. Sie könnten diese Gruppen möglicherweise entführen oder für störende Aktivitäten instrumentalisieren.
  • Die defensive Haltung und Reaktion der USA auf tatsächliche oder vermeintliche Cyber-Operationen kann für potenzielle Angreifer eine Herausforderung darstellen, wird aber eine entschlossene Bedrohungsgruppe wahrscheinlich nicht vollständig abschrecken.

Von Russland gesponserte Wahlbeeinflussungsversuche: 2016 und 2018

In den Jahren 2016 und 2018 führten vom russischen Staat gesponserte Bedrohungsakteure eine beispiellose Kampagne gegen die US-Präsidentschafts- und Zwischenwahlen durch und zielten dabei auf politische Parteien, Kandidaten und die mit der Wahl in Zusammenhang stehende Infrastruktur. Eine von Robert Mueller III durchgeführte Untersuchung der US-Regierung zu den Eindringversuchen, Informationsoperationen (IO) und anderen entsprechenden Aktivitäten ergab , dass die Bemühungen in erster Linie von Einheiten geleitet wurden, die mit dem Main Intelligence Directorate (GRU, auch Main Directorate [GU] genannt) in Verbindung stehen, mit Unterstützung von Organisationen wie der Information Research Agency (IRA). Die russische Hauptverwaltung/Hauptnachrichtendienst des Generalstabs der Streitkräfte ist die wichtigste militärische Geheimdiensteinheit der Russischen Föderation. Diese Organisation führt strategische und taktische Auslandsaufklärungsaufgaben für die russische Regierung durch. Es besteht aus Untereinheiten, von denen sich einige mit Kryptografie, Signalaufklärung, Desinformation und Eindringungsaktivitäten befassen. Die IRA ist ein kommerzielles Medienunternehmen, das sich gezielt an Einflussnahmeoperationen in sozialen Medien beteiligt.

Bedrohungsakteure

Im Vorfeld der US-Präsidentschaftswahlen 2016 waren drei vom russischen Staat gesponserte APT-Gruppen (Advanced Persistent Threat) an gezielten Eindringversuchen beteiligt. Einige dieser Bedrohungsakteure fungierten aufgrund ihrer Beteiligung an Informationsoperationen und gezielten Eindringversuchen auch als „hybride Bedrohungen“. Als primäre Bedrohungsakteure wurden APT28, APT29 und die Einheit 74455 des Hauptnachrichtendienstes/Hauptdirektorats (GRU/GU) identifiziert, die als Sandworm verfolgt wird.

US-Wahl-Russland-Bedrohungen-1-1.png

Organigramm der GRU/GU-Einheiten, die an der Wahlbeeinflussung 2016 beteiligt waren (Quelle: Ars Technica)

APT28 und APT29 waren an gezielten Eindringversuchen gegen das DNC, DCCC und andere mit den Wahlen in Zusammenhang stehende Personen und Organisationen beteiligt. Darüber hinaus wurden Mitarbeiter der GRU/GU-Einheit 26165 in einer Anklageschrift des US-Justizministeriums (DoJ) sowohl mit den Aktivitäten von APT28 in Verbindung gebracht als auch an separaten Informationsoperationen beteiligt. Auch Mitarbeiter der GRU/GU-Einheit 74455 – der mit den Sandworm-Aktivitäten in Verbindung gebrachten Organisation – wurden vom US-Justizministerium wegen ihrer Rolle bei Wahlbeeinflussungsversuchen (wie etwa Hack-and-Leak-Operationen) angeklagt . In den von den Eindringlingen betroffenen Netzwerken wurde jedoch keine der Sandworm zugeschriebenen maßgeschneiderten Schadsoftware identifiziert. Aus diesem Grund werden Versuche dieser Organisation, die Wahlen von 2016 zu beeinflussen, anhand des Einheitennamens (Einheit 74455) und nicht anhand der Bezeichnung der Bedrohungsaktivitätsgruppe (Sandworm) identifiziert.

Mehrere andere russische Gruppen werden mit Wahlbeeinflussungsaktivitäten in Verbindung gebracht:

  • Am 25. Januar 2018 veröffentlichte der niederländische Geheimdienst (AIVD) Informationen zur Identifizierung von APT29-Betreibern, die an Eindringversuchen gegen den Democratic National Convention (DNC) beteiligt waren, und brachte sie mit dem russischen Auslandsgeheimdienst (SVR) in Verbindung. Der SVR ist zuständig für Auslandsspionage, aktive Maßnahmen, die elektronische Überwachung fremder Staaten und mehr.
  • Ebenfalls im Jahr 2018 veröffentlichten die estnischen Geheimdienste einen Bericht, wonach die Operationen von APT29 sowohl mit dem SVR als auch mit dem russischen Inlandsgeheimdienst FSB in Verbindung stünden.
  • Einer Anklageschrift des US-Justizministeriums zufolge nutzten zwei mit APT28 und Sandworm in Verbindung stehende Militäreinheiten des GRU/GU – die Einheit 26165 bzw. die Einheit 74455 – die falschen Akteure DCLeaks, Guccifer 2.0 und AnPoland sowie Wikileaks, um exfiltrierte Daten zu waschen und die Verantwortung für Angriffe auf die Zielressourcen zu übernehmen.
  • Und schließlich verbreiteten Troll-Farmen mit Sitz in Russland – allen voran die Internet Research Agency (IRA) – massenhaft Falschinformationen oder aufrührerisches Material, um das soziale Umfeld in den USA im Vorfeld der Wahlen zu destabilisieren. Diese Aktionen fungierten als Kraftmultiplikator für andere Operationen von APT28, Sandworm und APT29.

Im Jahr 2018 zielten einige dieser Bedrohungsaktivitätsgruppen und Einflussoperationen auf die US-Zwischenwahlen ab. APT28 führte Spearphishing -Operationen durch, die auf drei Kandidaten für ein Parlamentsamt abzielten. Obwohl unklar ist, ob diese Bemühungen erfolgreich waren, veröffentlichte Microsoft Informationen, die als wahrscheinliche Ziele dieser Aktivitäten den US-Senat, eine politische Denkfabrik und eine politische Non-Profit-Organisation identifizierten. Das Justizministerium erhob außerdem Strafanzeige gegen russische Einflussunternehmen wegen „…Werbung auf Social-Media-Plattformen, Registrierung von Domänennamen, Kauf von Proxy-Servern und „Werbung für Nachrichtenbeiträge in sozialen Netzwerken“ und anderen Vergehen. Um Letztere abzuschrecken, ergriffen die USA Berichten zufolge Maßnahmen , indem sie die in St. Petersburg ansässige IRA ins Visier nahmen und sie vorübergehend vom Netz nahmen. Auch wenn einige ihrer Operationen angeblich gestört wurden, blieben die russischen Bemühungen, die demokratischen Prozesse in den USA anzugreifen, weitgehend ungebremst. Und schon damals war es offensichtlich, dass die vom russischen Staat gesponserten Bedrohungsakteure ihre Strategie anpassten.

Taktiken, Techniken und Verfahren (TTPs)

Einige der wichtigsten TTPs, die von diesen Bedrohungsgruppen sowohl bei den Wahlen 2016 als auch 2018 durchgeführt wurden, können wie folgt aufgeschlüsselt werden:

US-Wahl-Russland-Bedrohungen-2-1.png

Viktimologie

Diese Gruppen nahmen ein breites Spektrum demokratischer Institutionen in den USA ins Visier. Bei der Präsidentschaftswahl 2016 zielten Bedrohungsakteure auf politische Parteien, Kandidaten und Wahlkampfmitarbeiter, Wahlunternehmer (wie etwa VR Systems), Wahlausschüsse der Bundesstaaten, Wählerregistrierungsdaten, wohltätige Stiftungen und Think Tanks sowie die amerikanische Bevölkerung als Ganzes ab. Bei den Halbzeitwahlen 2018 beschränkte sich der Umfang der Angriffe weitgehend auf Kandidaten und Wahlkampfmitarbeiter sowie Amerikaner in den sozialen Medien. Eine Einengung des Zielbereichs könnte das Ergebnis von Einschränkungen bei den Operationen der Bedrohungsakteure aufgrund zunehmender Sicherheitsmaßnahmen rund um anfällige Wahlinfrastrukturen sein, ein Nebeneffekt davon, dass die Zwischenwahlen als weniger folgenreich für die Bedrohungsakteure angesehen werden, oder das Ergebnis fehlender Notwendigkeit (d. h. es ist möglicherweise nicht notwendig, häufig in die Infrastruktur einzudringen, die Wählerregistrierungsdaten hostet, da sich diese Informationen in kurzer Zeit nicht drastisch ändern).

Aktivitäten der Bedrohungsakteure seit Januar 2020

Seit Januar 2020 sind mehrere russische APT-Gruppen gegen in den USA ansässige Unternehmen aktiv, die nichts mit den Wahlen zu tun haben, sowie gegen internationale Unternehmen mit einem möglichen Bezug zu den Wahlen. Obwohl Recorded Future zum Zeitpunkt der Erstellung dieses Artikels im Vorfeld der Präsidentschaftswahlen 2020 keine direkten Angriffsaktivitäten von Bedrohungsgruppen auf die Infrastruktur, Kandidaten, politischen Parteien oder Wahlbemühungen in den USA festgestellt hat, schließt dies die Möglichkeit solcher Versuche nicht aus. Recorded Future hat herausgefunden, dass russische APT-Gruppen im selben Zeitraum Schadsoftware entwickelt haben, die möglicherweise dazu verwendet werden könnte, wahlbezogene Einrichtungen anzugreifen. Darüber hinaus hat Recorded Future im gleichen Zeitraum die Entwicklung der Infrastruktur, die Entstehung von TTPs und Änderungen an der Schadsoftware festgestellt.

Obwohl es sehr wahrscheinlich ist, dass die russischen Bedrohungsakteure ihre Operationen verbessert haben, verwenden diese Bedrohungsgruppen zum Teil weiterhin dieselben Angriffsmethoden wie in der Vergangenheit. Daher sind Veränderungen in den Abläufen und im Verhalten wahrscheinlich kein Anzeichen für eine völlige Abkehr von bisherigen Instrumenten, sondern eher ein Beispiel für Flexibilität bei der Anpassung der Abläufe, wenn dies notwendig ist, und Pragmatismus bei der Sicherstellung des erfolgreichen Abschlusses der Mission.

Auf Kandidaten und politische Parteien ausgerichtete Aktivitäten

Es ist wahrscheinlich, dass Bedrohungsakteure aufgrund ihrer Rolle im Wahlkampf oder ihrer Beziehungen zu den an der Wahl Beteiligten weiterhin ein anhaltendes Interesse an den Kandidaten, ihren Verbündeten und den US-amerikanischen politischen Parteien im weiteren Sinne haben. Diese Einschätzung basiert teilweise auf einem Bericht , der darauf hinweist, dass die russische Regierung versucht, in die US-Präsidentschaftswahlen 2020 einzugreifen. In der Berichterstattung wurde nicht näher darauf eingegangen, welche Einmischungsbemühungen das nach sich ziehen würden. Recorded Future suchte jedoch seit Januar 2020 nach Aktivitäten von vom russischen Staat gesponserten Bedrohungsakteuren, die sich gegen den amtierenden Präsidenten Donald Trump, seine Familie oder hochrangige Personen im Zusammenhang mit der Kampagne richteten, fand jedoch zum Zeitpunkt der Abfassung dieses Artikels keine Hinweise auf derartige Bemühungen. Auch Open-Source-Suchen ergaben keine relevanten Inhalte. Wir haben außerdem nach Aktivitäten gesucht, die russischen staatlich geförderten Bedrohungsakteuren zugeschrieben werden und die sich seit Januar 2020 gegen den ehemaligen Vizepräsidenten Joe Biden, Senatorin Kamala Harris, die Familie Biden, die Familie Harris oder andere hochrangige Personen richteten, die mit der Kampagne in Verbindung stehen. Es gab keine Hinweise auf Einbruchsaktivitäten gegenüber diesen Personen.

Seit Januar 2020 gibt es keine Hinweise darauf, dass russische APTs das Republican National Committee (RNC), das National Republican Congressional Committee (NRCC) oder das National Republican Senatorial Committee (NRSC) ins Visier genommen hätten. Ähnliche Untersuchungen zu Angriffen russischer APT-Gruppen auf das DNC oder das Democratic National Convention Committee (DNCC) ergaben insgesamt 20 Fälle – allesamt historische Ereignisse; keiner davon wies auf eine gegenwärtige oder unmittelbar bevorstehende Bedrohung des DNC oder DCCC hin. Obwohl diese Durchsuchungen zum jetzigen Zeitpunkt keine laufende oder unmittelbar bevorstehende Bedrohung der politischen Parteien aufzudecken scheinen, schließt dies derartige Bemühungen nicht von der Liste potenzieller Bedrohungen aus. Diese Referenzen können allgemein wie folgt zusammengefasst werden:

  • Zwei Ergebnisse waren Verweise in sozialen Medien auf historische Berichterstattung im Zusammenhang mit dem Eindringen in das DNC im Jahr 2016.
  • Mindestens sechs dieser Verweise fanden sich in Forumsbeiträgen, in denen die Einschätzungen und Erkenntnisse der Geheimdienste und der Informationssicherheitsbranche angefochten wurden, die die Manipulation der US-Präsidentschaftswahlen 2016 russischen APT-Gruppen zuschreiben.
  • Auch eine lokale Nachrichten-Website bestritt die Erkenntnisse der Geheimdienste.
  • 10 Verweise betrafen Nachrichten-Websites oder Gerichtsdokumente im Zusammenhang mit der Berichterstattung über russische APT-Aktivitäten gegen die US-Präsidentschaftswahl 2016.
  • Ein Artikel, der auf diese Aktivität verwies, wurde inzwischen aus den sozialen Medien entfernt.

Bedrohungsakteure

APT28

Seit Januar 2020 war APT28 an einer Reihe von Aktivitäten beteiligt, beispielsweise an der Entwicklung der Infrastruktur, versuchten Spearphishing und der Entwicklung von Malware. Von diesen hat nur Spearphishing einen potenziellen Zusammenhang mit der Wahl, und zwar ein mutmaßlicher Phishing-Angriff auf Burisma Holdings.

Versuchte Spearphishing-Aktivität

Am 13. Januar 2020 veröffentlichte das Cybersicherheitsunternehmen Area 1 einen Bericht mit dem Titel „Phishing Burisma Holdings“, in dem Spearphishing-Versuche beschrieben werden, die das Unternehmen dem GRU/GU zuschreibt und die sich gegen Burisma Holdings, ein Energieunternehmen in Kiew, Ukraine, richten. Dem Bericht zufolge wurden bei der seit mindestens November 2019 aktiven Kampagne Domänen verwendet, die denen legitimer Partner oder Tochtergesellschaften mit Verbindungen zu Burisma Holdings ähnelten. Burisma Holdings ist von besonderem Interesse, da Joe Bidens Sohn Hunter Biden zuvor im Vorstand von Burisma Holdings saß. In einem gleichzeitigen, mit dem Phishing-Versuch unabhängigen Vorstoß, der in der Washington Post berichtet wurde , wurden mehrere Versuche von Mitarbeitern der derzeitigen US-Regierung beschrieben, an Informationen zu Audioaufnahmen von Biden in Bezug auf den ehemaligen ukrainischen Präsidenten Petro Poroschenko zu gelangen. Zu dieser Aktivität gehörte auch die Einholung von Informationen von Andriy Derkach, einem ukrainischen Parlamentsabgeordneten mit Verbindungen zu russlandfreundlichen Gruppen.

Zu den im Bericht zu Bereich 1 beschriebenen TTPs gehört die Verwendung von Websites, die echte Anmeldeseiten auf mehreren Angriffsflächen spiegeln (z. B. eine Roundcube-Installation und Outlook 365-Anmeldungen über Sharepoint nachahmen), um an die Anmeldeinformationen der Zieleinheiten zu gelangen. Dieses TTP steht im Einklang mit früheren Methoden, die APT28 bei den US-Zwischenwahlen 2018 und der US-Präsidentschaftswahl 2016 eingesetzt hat. Im Verlauf der Kampagne nutzte der Bedrohungsakteur verschiedene E-Mail-bezogene Authentifizierungstechnologien, um Legitimität nachzuweisen. Insbesondere verwendete der Bedrohungsakteur Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) (kryptografischer Hash), die beide von einem Empfänger verwendet werden, um die Identität eines Absenders zu überprüfen. Dabei registrierte der Bedrohungsakteur seinen SPF bei einem yandex[.]net Mail Exchange (MX)-Eintrag, was darauf schließen lässt, dass diese Aktion von einem in Russland ansässigen Bedrohungsakteur durchgeführt wurde.

APT28 hat bereits in der Vergangenheit „Hack-and-Leak“-Operationen durchgeführt, bei denen es darum ging, gezielt Unternehmen anzugreifen und vertrauliche Informationen zu erlangen, die dann später mit dem Ziel veröffentlicht wurden, dem Zielunternehmen oder verbundenen Organisationen und Einzelpersonen zu schaden. Dazu gehörten etwa Bemühungen gegen die Kampagne der ehemaligen Außenministerin Hillary Clinton während der US-Präsidentschaftswahlen 2016 sowie gegen Organisationen, die während der Olympischen Spiele 2016 mit dem internationalen Sport in Verbindung standen. Angesichts der Beteiligung von Burisma Holdings an diesen Kampagnen und der Verbindung zwischen Burisma Holdings und dem politischen Klima in den USA und der Ukraine ist die Wahrscheinlichkeit ungefähr gleich hoch, dass diese Bedrohungsaktivitätsgruppe diese Kampagne durchführt, um Informationen zu erhalten, die sie später im Rahmen einer Informationsoperation verbreiten kann.

us-wahl-russland-bedrohungen-3-1.jpg

Screenshot von Sharepoint-, ADFS-, OneDrive-Domänen- und Zertifikatsregistrierungen (Quelle: Recorded Future)

Ausblick

US-Behörden und -Organisationen sind sich der Möglichkeit einer ausländischen Einmischung in die Wahlen im November 2020 stärker bewusst und besser darauf vorbereitet. Russische Bedrohungsakteure oder Aktivitätsgruppen reagieren wahrscheinlich empfindlich auf die Maßnahmen, die die USA zum Schutz der Wahlen 2020 ergriffen haben, und berücksichtigen diese in ihren Berechnungen. Aufgrund dieser Veränderungen ist davon auszugehen, dass sich etwaige von Russland ausgehende Drohungen im Hinblick auf die US-Präsidentschaftswahlen 2020 anders gestalten werden als in der Vergangenheit.

Russische Bedrohungsaktivitätsgruppen, die in den Jahren 2016 und 2018 Einbrüche und Operationen gegen politische Parteien und Kandidaten durchgeführt hatten, haben zum Zeitpunkt der Erstellung dieses Artikels weitgehend von ihren Aktionen Abstand genommen. Obwohl bislang keine Aktivitäten russischer Bedrohungsgruppen gegen wahlbezogene Einrichtungen festgestellt wurden, sind diese Gruppen bei der Entwicklung von Schadsoftware und bei Angriffen auf andere Einrichtungen in den USA aktiv. Darüber hinaus kam es zu Spear-Phishing-Versuchen bei ausländischen Einrichtungen, die aufgrund ihrer Verbindung zum demokratischen Präsidentschaftskandidaten Joe Biden mit der Wahl in Verbindung stehen. Zum Zeitpunkt des Schreibens ist unklar, ob diese Bemühungen erfolgreich waren. Recorded Future weist darauf hin, dass in einer separaten Aktion mit der Veröffentlichung von Audioinhalten begonnen wurde, die sich scheinbar auf Biden beziehen, obwohl die Authentizität oder Unverfälschtheit dieser Inhalte von Dritten nicht bestätigt wurde. Da Bedrohungsgruppen wie APT28 in der Vergangenheit mit der Veröffentlichung von Informationen, die sie durch gezielte Eindringversuche erlangt hatten, gewartet haben, um ihre Wirkung zu maximieren, ist es möglich, dass es im Vorfeld der Wahl zu einer ähnlichen Verzögerung der Veröffentlichung von Informationen kommen könnte.

Informationsoperationen sind für die Anonymität der Bedrohungsakteure viel anfälliger und sehr schwer zu bekämpfen. Recorded Future stellt fest, dass derartige Operationen weiterhin eine reale Bedrohung für die US-Präsidentschaftswahlen 2020 darstellen. Recorded Future hat festgestellt, dass die Präsenz russischer Inlands- und Auslandsaktivitäten, die von den WhatsApp-Gruppen One Africa und One Success, EBLA sowie Troll-Farmen in Nigeria und Ghana durchgeführt werden, eine Abkehr von stärker zentralisierten und kontrollierten Aktivitäten hin zu verteilten und widerstandsfähigeren Informationsnetzwerken erkennen lässt. Obwohl viele derartige Versuche identifiziert und beendet wurden, sind wahrscheinlich noch weitere im Verborgenen tätig. Während die Fragmentierung solcher Operationen auf den Erfolg einer US-Operation zur Unterbrechung der Einflussnahmebemühungen der IRA bei den US-Zwischenwahlen 2018 hinweisen könnte, ist es wahrscheinlich, dass sie auch eine gewisse Hartnäckigkeit und Widerstandsfähigkeit dieser Operationen in naher Zukunft offenbaren wird.

Russische Bedrohungsakteure oder Aktivitätsgruppen versuchten aktiv, inländische amerikanische Vermögenswerte zu nutzen, um die zunehmend strengeren Werbebeschränkungen der sozialen Medien gegenüber ausländischen Staatsangehörigen zu umgehen. Darüber hinaus erschwerten sie es, falsche Identitäten oder von schändlichen Absichten beeinflusste Identitäten zuverlässig zu erkennen. Da die Verfügbarkeit von Werbung und die Möglichkeit für Ausländer, sich am politischen Diskurs in den USA zu beteiligen, auf Social-Media-Plattformen weiterhin eingeschränkt sind, gehen wir davon aus, dass die Interaktion mit den Amerikanern auch weiterhin eine Priorität für russische Einflussoperationen bleiben wird, um Werbebeschränkungen zu umgehen, nachrichtendienstliche Mittel aufzubauen und polarisierende Inhalte zu verbreiten.

Die Ausbreitung von Verschwörungsgruppen wie QAnon oder regierungsfeindlichen Gruppen wie der Boogaloo-Bewegung stellt eine zusätzliche Bedrohung für die Wahl dar. Es besteht die Gefahr, dass diese führerlosen Gruppen von ausländischen Bedrohungsakteuren infiltriert und vereinnahmt werden, um die Wahl zu manipulieren. Anhänger der QAnon-Verschwörung haben bereits ihre Bereitschaft zum „Informationskrieg“ gezeigt und mehrere ihrer Anhänger haben Straftaten begangen. In ähnlicher Weise haben mehrere Anhänger der Boogaloo-Bewegung Morde oder Mordversuche begangen und inländischen Terrorismus begangen, in der Hoffnung, gemäß ihrem regierungsfeindlichen Credo einen zweiten amerikanischen Bürgerkrieg herbeizuführen. Die Gruppe war bei den jüngsten „Reopen“- und BLM-Protesten sichtbar präsent und trat in Schutzwesten und schwer bewaffnet auf. Diese Gruppe stellt sowohl eine physische Bedrohung für die Wahlsicherheit dar, sollte sie beschließen, wahlrelevante Vermögenswerte oder Wahllokale anzugreifen, als auch eine Online-Bedrohung durch die Verbreitung von Desinformationen, die sich im Zuge einer regierungsfeindlichen Erzählung letztlich auf wahlrelevante Themen konzentrieren könnten.

Anmerkung des Herausgebers: Dieser Beitrag war ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Verwandt