Berlin Lichtenberg: Hier liegt der grösste Asia-Markt Deutschlands, das «Dong Xuan Center». In einem Backsteingebäude am Rand des Areals sitzt Trung Khoa Lê in seinem Büro, das ihm zugleich auch als Laden für Überwachungskameras und Alarmanlagen dient. Lê ist aber nicht nur Verkäufer, sondern auch einer der bekanntesten oppositionellen Medienmacher Vietnams. Mit seinem Nachrichtenportal «Thời Báo» (zu Deutsch: die Zeit) generiert er bis zu zwanzig Millionen Klicks im Monat – die meisten davon in Vietnam selbst.

Die medialen Aktivitäten machen Lê zur Zielscheibe: Seine Website ist in Vietnam blockiert. Aber die Sperre lässt sich umgehen – und wird regelmässig durch DDoS-Attacken, absichtlich herbeigeführte Serverüberlastungen, lahmgelegt. Lê selbst erhält immer wieder Drohungen und muss deshalb diverse Sicherheitsmassnahmen ergreifen. So verriegelt er jeweils die gepanzerte und kugelsichere Tür seines Ladens, sobald er mit Videoaufnahmen für seinen Blog beginnt. Vor digitalen Angriffen schützt ihn die Tür allerdings nicht.

Am 9. Februar 2023 wurde Trung Khoa Lê Opfer einer gross angelegten Attacke mit der Spyware Predator. Verantwortlich dafür ist aller Wahrscheinlichkeit nach die Regierung in Vietnam – ein Regime mit Pressezensur und starkem Repressionsapparat, das auf der Kundenliste der Intellexa-Allianz stand, die den Trojaner vertreibt. Lê ist bei weitem nicht das einzige Opfer der Predator-Attacke. Vielmehr hat eine regelrechte Angriffswelle stattgefunden: Über fünfzig Profile von 27 Personen und 23 Institutionen waren betroffen, darunter EU- und Uno-Vertreter:innen, Journalistinnen und Wissenschaftler, sogar Abgeordnete des US-Kongresses.

Das alles geht aus den «Predator Files» hervor, einer Recherche der WOZ und vierzehn weiterer Medien aus verschiedenen Ländern. Koordiniert vom Netzwerk European Investigative Collaborations (EIC), basiert diese auf einem erst am Montag, 9. Oktober, der Öffentlichkeit zugänglich gemachten Bericht von Amnesty International sowie auf vertraulichen Dokumenten, die «Mediapart» und der «Spiegel» zugespielt bekommen haben.

Doch wie genau erfolgte der Angriff mit der neuen Predator-Variante? Wie gelangte die Technologie nach Vietnam, einem Staat, der dafür berüchtigt ist, oppositionelle Politiker:innen und kritische Stimmen rigoros zu verfolgen – auch im Ausland? Und was hat das alles mit einem Streit über die Fischerei zu tun? Die Spuren führen, einmal mehr in dieser globalen Überwachungsgeschichte, auch in die Schweiz.

Angriff via Twitter

In den vergangenen Monaten stiessen Techexpert:innen des Security Lab von Amnesty International auf eine Infrastruktur von über hundert Servern, die sie der Intellexa-Allianz und ihrer Gründungsfirma Cytrox zuordnen konnten. Und auf eine Infektionsstrategie, die auch beim vietnamesischen Blogger Lê und den anderen Opfern zur Anwendung kam: Dabei erhält die Zielperson über ein falsches Twitter-Profil einen Link zu einem Artikel zugeschickt – nicht als private Nachricht, sondern öffentlich. Klickt sie auf die Schlagzeile, führt der Link zu einem mit dem Trojaner ausgestatteten Server und infiziert das Gerät der Person. Amnesty registrierte von Februar bis Juni 2023 Dutzende Angriffe mit dieser Methode.

Gemeinsam ist den Betroffenen, dass sie alle über Twitter angegriffen wurden: von einem Account namens @Joseph_Gordon16. Laut Amnesty weisen zahlreiche Indizien darauf hin, dass Vietnam das Ursprungsland des Angriffs ist.

Neben dem Angreifer @Joseph_Gordon16 haben etliche Betroffene aber noch eine weitere Gemeinsamkeit: Sie befassen sich in der einen oder anderen Form mit illegalem Fischfang. Auf Anfang 2010 hat die EU eine neue Verordnung gegen undokumentierte und unregulierte Fischerei erlassen. Bei allen Fisch- und Seafood-Lieferungen in die EU muss die Herkunft seither eindeutig deklariert werden – inklusive Fanggebiet und Name des Fangschiffs.

2017 erteilte die EU Vietnam eine «gelbe Karte» und stufte es als «nicht kooperierendes Land ein», weil es den verlangten Anforderungen nicht nachkam. Die Verwarnung hat im südostasiatischen Land zu erheblichen Gewinneinbussen geführt: Die Importe der EU aus Vietnam, das zu den fünf wichtigsten Lieferanten von Fisch und Meeresfrüchten weltweit zählt, gehen seither deutlich zurück. Die Vermutung liegt nahe: Vietnam wollte mit der Attacke seine Gegner:innen im Fischereistreit ausspionieren.

Am 16. Mai 2023 schickte der Twitter-Account @Joseph_Gordon16 eine Nachricht an einen spanischen Akademiker, der zum Thema forscht. Der verschickte Link nahm direkten Bezug auf die Verwarnung der EU: «Was ist Ihre Lösung, um die gelbe Karte loszuwerden?», stand dort auf Spanisch. Ebenfalls in den Fokus des falschen Profils kamen die EU-Fischereidirektion, die Präsidentin des EU-Parlaments und das offizielle Profil der EU-Kommission. Auch der Direktor für Fischerei der Ernährungs- und Landwirtschaftsorganisation der Vereinten Nationen (FAO) wurde attackiert – und selbst vier US-Kongressabgeordnete erhielten die Links, wie die detaillierte Analyse von Amnesty zeigt.

Die EU-Kommission teilt auf Anfrage mit, sie habe Kenntnis von den Angriffen: «Wir untersuchen jeden Vorfall. Zum gegenwärtigen Zeitpunkt liegen der Kommission keine Beweise für eine erfolgreiche Predator-Infektion vor. Es wurden keine Auswirkungen auf die Kommission festgestellt.» Dazu, dass sie mit in Europa hergestellten Spionageprodukten angegriffen wurde, äusserte sich die Kommission nicht.

«Tolle Arbeit, Jungs!»

Das vietnamesische Regime ist seit vielen Jahren Kunde europäischer Überwachungsfirmen. Schon im Juli 2014 besuchte eine hochrangige Delegation des vietnamesischen Militärs die Standorte zweier Unternehmen: jenen von Nexa in Paris und denjenigen von Plath GmbH in Hamburg. Unter den Teilnehmer:innen befand sich auch ein General namens Trần Việt Kiều. Das zeigt ein Blick in die Bücher von Nexa, dem Intellexa-Ableger in Frankreich, die der Rechercheverbund EIC einsehen konnte.

Aus dem Besuch entstand offenbar eine fruchtbare Geschäftsbeziehung: Gemäss Daten aus dem Rüstungsreport der WOZ exportierte die Plath AG – die Schweizer Tochter der Hamburger Firma – in den Jahren 2015, 2018 und 2022 Produkte der Kategorie ML11 im Umfang von Dutzenden Millionen Franken nach Vietnam: elektronische Ausrüstung, mit der etwa Signale abgefangen werden können. Auf eine umfassende Anfrage lässt die Plath AG lediglich ausrichten, dass sie nicht an der Gründung der Intellexa-Allianz beteiligt gewesen sei, und bestreitet auch eine operative Beteiligung. Bis Ende 2020 hielt die deutsche Mutterholding allerdings offiziell eine Beteiligung an Nexa. Beide distanzieren sich heute von den Intellexa-Geschäften.

Auch zwischen Nexa und Vietnam vertieften sich aber offenbar die Beziehungen, wie eine Episode aus dem Jahr 2018 zeigt. Abhörprotokolle aus einem französischen Justizverfahren gegen Nexa-Kader illustrieren, wie die Nummer drei der Firma, Renaud Roques, trotz fehlender Exportbewilligung versuchte, Überwachungstechnologie nach Vietnam zu liefern: Dafür bat er eine Mitarbeiterin, Nexa-Produkte (wahrscheinlich einen Imsi-Catcher) zu Vorführzwecken im Handgepäck ins Lands zu schmuggeln, «so, wie wir es schon oft gemacht haben». Die Mitarbeiterin allerdings weigerte sich.

Knapp zwei Jahre später, am 31. Dezember 2020, kann Nexa-Chef Olivier Bohbot in einen Whatsapp-Chat, in dem Informationen über Intellexa-Geschäfte geteilt werden, dann aber doch eine frohe Botschaft vermelden: Soeben habe die vietnamesische Regierung einen Vertrag im Umfang von 3,6 Millionen US-Dollar unterschrieben. «Woooow!!!!», antwortet Tal Dilian, israelischer Exgeheimdienstler und treibende Kraft hinter der Intellexa-Allianz (vgl. «Die Predator Files»). «Tolle Arbeit, Jungs!»

Internen Firmendokumenten ist zu entnehmen, dass der Deal mit Vietnam den Namen «AnglerFish» trägt – benannt nach einem Tiefseewesen, das seine Beute mit einem leuchtenden Köder im Dunkeln jagt. Ein paar Monate später scheint die Lieferung versandfertig zu sein: In einem abgehörten Telefongespräch schätzt Dilians Geschäftspartner, der frühere Nexa-Boss Stéphane Salies, dass sie «nächsten Monat» erfolge.

Gemäss den Nexa-Dokumenten, die dem EIC vorliegen, soll es beim Deal um eine spezifische Version des Predator-Trojaners gegangen sein: Das vietnamesische Regime orderte demnach den sogenannten Blue Arrow – eine Version, die vermutlich für Angriffe mit Avatars auf Twitter gedacht ist. Dessen Logo war vor dem Rebranding durch Elon Musk ein blauer Vogel.

Weitere Erklärungen zu der Avatarvariante finden sich in den Intellexa-Produktbroschüren: Dort wird die Predator-Software mit «Automated Active Avatars» angeboten, mit denen infizierte Links über soziale Medien verschickt werden können. Nach der Installation könne der Agent sicher aus der Entfernung Daten absaugen – unabhängig vom Ort oder Netzwerk der Zielperson, heisst es im Beschrieb (vgl. «Ein Trojaner gefällig …»).

Es scheint, als hätte die Regierung in Hanoi bei diesem Angebot zugeschlagen. Wie aber kommt nun die Lieferung dorthin? Über einen Weg, den Intellexa-Produkte oft nehmen. Und über einen mysteriösen Schweizer.

Umleitung via Hongkong

Um den europäischen Exportkontrollen zu entgehen, hat Nexa in Dubai die Schwesterfirma Advanced Middle East Systems (Ames) gegründet. Diese wiederum soll die bestellten Waren für Vietnam zuerst an die Firma Delsons Hongkong Ltd. liefern. Wie eine Vertragsvereinbarung zwischen Ames und Delsons zeigt, die der WOZ vorliegt, hat der Deal einen Umfang von 5,6 Millionen Euro, die Laufzeit beträgt zwei Jahre. Geschäftsdaten aus dem Firmenregister von Hong Kong belegen: Die alleinigen Kontrollrechte über Delsons übt der Schweizer Alexis Delevaux aus, ein umtriebiger IT-Unternehmer, der in zahlreichen Firmen in Südostasien involviert ist.

Der Endkunde der Lieferung aus dem Jahr 2021 ist das Ministerium für öffentliche Sicherheit (MPS) mit Hauptquartier in Hanoi. Das zeigen Tabellen und Sitzungsprotokolle von Nexa, die im Rahmen der «Predator Files» ausgewertet wurden. Von Amnesty International ausgewertete Zolldaten stützen diese Erkenntnis. Das MPS ist eine wichtige Stütze für den Machterhalt der Einparteienherrschaft und nimmt geheimdienstliche Funktionen wahr – darunter auch die Verfolgung und Überwachung der demokratischen Bewegung des Landes. In leitender Stellung beim Ministerium arbeitet heute Trần Việt Kiều – jener General also, der 2014 mit der vietnamesischen Militärdelegation die Firma Plath in Hamburg besuchte.

Die Fragen, die zur Spyware-Lieferung bleiben: Hätte eine europäische Kontrollstelle die Exporte nach Vietnam bewilligen müssen? Was die Exporte der Plath AG aus der Schweiz nach Vietnam betrifft, hält das für die Bewilligung zuständige Staatssekretariat für Wirtschaft (Seco) fest, dass es sich dabei um militärische Empfänger gehandelt habe. Deshalb hätten die Exporte nicht als Überwachungstechnologie, sondern als besondere militärische Güter bewilligt werden müssen. Näher will sich das Seco zum Einzelfall nicht äussern, erklärt aber immerhin: Der Empfänger sei nicht das Ministerium für öffentliche Sicherheit gewesen.

Intellexa-Gründer Dilian lässt eine Anfrage zum Vietnamgeschäft unbeantwortet, ebenso die vietnamesischen Behörden. Die Nexa-Bosse Salies und Bohbot streiten ihre Beteiligung daran zwar nicht ab, sagen aber, dass sie «alle geltenden Vorschriften eingehalten» hätten. «Ab dem dritten Quartal 2021» – also vor dem Lieferungszeitpunkt – hätten sie zudem alle Verträge im Zusammenhang mit Predator, einschliesslich denjenigen mit Vietnam, «gekündigt». Ausgewertete Zolldaten widersprechen dieser Darstellung allerdings.

Auf welchen Wegen auch immer: Dass sich das vietnamesische Regime am Ende die neuste Überwachungstechnologie sichern konnte, steht fest. Das zeigen die Angriffe auf die EU-Politikerinnen, Akademiker und Uno-Offiziellen – und auf Blogger Lê. Angriffe, die im Übrigen längst nicht nur den Zielpersonen, sondern auch deren Umfeld schaden können. 

Lê war vorsichtig genug und hat nicht auf den ihm zugeschickten Link geklickt. Im Zuge der «Predator Files»-Recherche auf die Attacke aufmerksam gemacht, zeigt sich der oppositionelle Blogger aber alarmiert. «Wenn der vietnamesische Staat die Inhalte meines Handys mitlesen könnte, wäre das lebensgefährlich für meine Mitarbeiter und anderen Kontakte», sagt er. Über ein Dutzend Personen arbeiten weltweit für ihn. Viele sind dabei grossen Risiken ausgesetzt – weil sie sich in Ländern befinden, aus denen Vietnames:innen auch schon gewaltsam in ihre Heimat verschleppt wurden.

* Lorenz Naegeli ist Teil des WAV-Recherchekollektivs: www.wav.info

Internationale Kooperation: Zur Recherche

Gemeinsam mit internationalen Partnern recherchierte die WOZ während über einem Jahr zu den Geschäften der sogenannten Intellexa-Allianz – eines führenden Anbieters von höchst umstrittener Überwachungstechnologie wie zum Beispiel der Spionagesoftware Predator.

Ausgangspunkt für die Recherche waren vertrauliche Dokumente, die das französische Portal «Mediapart» und das deutsche Nachrichtenmagazin «Der Spiegel» erhielten. Dabei handelt es sich um Akten aus französischen Ermittlungen sowie um Unterlagen zum deutschen Rüstungskonzern Hensoldt mit Hinweisen auf Intellexa.

Die internationale Recherche hat das Mediennetzwerk European Investigative Collaborations (EIC) koordiniert. Folgende EIC-Mitglieder waren beteiligt: «Mediapart» (Frankreich), «Der Spiegel» (Deutschland), «NRC» (Niederlande), «Politiken» (Dänemark), «Expresso» (Portugal), «Le Soir» (Belgien), «De Standaard» (Belgien), «VG» (Norwegen), «infolibre» (Spanien) und «Domani» (Italien). Für diese Recherche hinzu kamen «Shomrin» (Israel), «Reporters United» (Griechenland), «Daraj Media» (Libanon), die «Washington Post» (USA) und die WOZ. Unterstützt wurden sie fachlich vom Security Lab von Amnesty International.

Die Publikation erfolgt zeitgleich in den beteiligten Medien. Die Partner werden in den kommenden Tagen weitere Berichte veröffentlichen. Auch auf www.woz.ch und in der nächsten Ausgabe folgen zusätzliche Beiträge.

ausklappen einklappen