Atak grupy o nazwie "Ghostwriter" miał zostać przeprowadzony za pomocą tzw. phishingu, czyli wiadomości od rzekomo zaufanych nadawców, których celem jest zajęcie całego konta.

Na razie nie wiadomo, czy doszło do wycieku danych. Większość zaatakowanych polityków należy do partii rządzących CDU/CSU i SPD.

Eksperci ds. bezpieczeństwa podejrzewają, że za atakami stoi rosyjski wywiad wojskowy GRU. W Niemczech, jak podają koła rządowe, oprócz parlamentarzystów zaatakowani zostali działacze polityczni w Hamburgu i Bremie, a w sumie poszkodowanych ma być kilkadziesiąt osób.

Grupa stojąca za atakami istnieje już od jakiegoś czasu, a amerykańska firma IT FireEye nazwała ją "Ghostwriters". Według ekspertów IT zajmowała się głównie kampaniami dezinformacyjnymi.

Hakerzy uzyskiwali dostęp do popularnych serwisów informacyjnych lub blogów, aby publikować fałszywe artykuły lub zdjęcia. Na przykład wiadomość z 25 września 2019 r. twierdziła, że niemieccy żołnierze NATO zbezcześcili cmentarz żydowski na Litwie. Fikcyjny incydent został zilustrowany zmanipulowanym zdjęciem.

W wiadomości z 7 czerwca 2018 r. błędnie podano, że litewskie dziecko zostało przejechane przez natowski czołg. A 28 marca 2017 r. oficer armii niemieckiej stacjonujący z NATO na Litwie został oskarżony w doniesieniu prasowym o bycie rosyjskim szpiegiem. Hakerzy rozpowszechniali również fałszywe listy i cytaty generałów NATO.

Według FireEye, kampania była prowadzona od 2017 roku i początkowo była skierowana w szczególności do czytelników na Litwie, Łotwie i w Polsce, aby wzbudzić nastroje anty-NATO. Grupa jest wyraźnie powiązana z rosyjskimi interesami - wynika z analizy przeprowadzonej przez firmę informatyczną. W związku z tym organy bezpieczeństwa podejrzewają, że stoi za tym rosyjska tajna służba GRU.

Wywiad wojskowy stał również za atakiem na Bundestag w 2015 roku - uważają niemieckie organy bezpieczeństwa. W tym czasie zaatakowano kilka komputerów, w tym komputery w biurze kanclerz Niemiec Angeli Merkel. W sumie wypłynęło wtedy ponad 16 gigabajtów danych. Prokurator Generalny uzyskał w zeszłym roku nakaz aresztowania rosyjskiego hakera Dmitrija Badina. Miał on odegrać kluczową rolę w ataku cybernetycznym i pracuje dla GRU.

W związku z nową falą ataków Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) oraz Federalny Urząd Ochrony Konstytucji wystosowały list ostrzegawczy do potencjalnych ofiar.