Anzeige

„APT28“ heißt die Hackergruppe, die laut Meldung der Nachrichtenagentur DPA seit fast einem Jahr Computernetzwerke des Verteidigungs- und des Außenministeriums infiltriert hat. Die Gruppe, die von Sicherheitsforschern auch unter dem Namen „Fancy Bear“ geführt wird, soll in das Datennetz der Bundesverwaltung - den Informationsverbund Berlin-Bonn (IVBB) - eingedrungen sein und dort geheime Daten der Bundesregierung gestohlen haben. Brisant: Sicherheitsforscher haben klare Indizien dafür, dass die Hackergruppe dem russischen Militärgeheimdienst GRU nahesteht, entweder ihm direkt angehört oder von der russischen Regierung finanziert und mit Material ausgestattet wird.

Welche Systeme genau betroffen sind und welche Daten gestohlen wurden, ist noch nicht bekannt. Doch gegenüber der DPA bestätigten drei unabhängige Quellen aus den Sicherheitsbehörden, dass die Hacker bereits im Dezember aufgefallen sind - und das bis jetzt nicht genau bekannt ist, welche Systeme der Bundesregierung wie lange betroffen sind.

Seit Dezember bemühen sich das Bundesamt für Sicherheit in der Informationstechnik BSI sowie Experten des Bundesverfassungsschutzes um Aufklärung und Schadensbegrenzung. Sollte sich die Meldung bestätigen, dass die APT28-Hacker über einen solch langen Zeitraum in dem als sicher eingestuften IVBB-Netzwerk unentdeckt mitlesen konnten, dürfte der Schaden aus Sicht der Bundesregierung immens sein.

Anzeige

Das IVBB ist als Netzwerk komplett getrennt vom öffentlichen Internet ausgelegt, es dient dem sicheren Informationsaustausch der Ministeriensstandorte in Berlin und Bonn. APT28 könnte also sowohl Material über die Planungen zur Weiterentwicklung der Bundeswehr als auch geheime diplomatische Nachrichten ausspioniert haben.

Im Auftrag russischer Geheimdienste

APT28 ist IT-Sicherheitsfirmen bereits seit Oktober 2014 bekannt - damals war die Hackergruppe Forschern der Firmen Trend Micro und FireEye aufgefallen, da sie Rechnernetzwerke innerhalb der Nato sowie US-Rüstungsfirmen wie Boeing und Lockheed Martin sowie Regierungsnetzwerke in Osteuropa infiltriert hatte. Laut Analysen von FireEye ist APT28 jedoch bereits seit 2004 aktiv - die Gruppe wird unter anderem für den Spionage-Angriff auf das Netzwerk des deutschen Bundestags im Jahr 2014 verantwortlich gemacht.

Anhand der Ziele der Gruppe sowie angesichts von Indizien wie der verwendeten Schadsoftware mit Anmerkungen in russischer Sprache sowie Kontrollservern in Russland gilt als klar erwiesen, dass APT28 auf Staatsebene im Auftrag russischer Geheimdienste operiert.

Wer steckt hinter der russischen Hackergruppe „APT28“? Die russische Hackergruppe „snake“ soll hinter dem Angriff stecken. Hochsensible Daten über die deutsche Ukraine-Strategie könnten die Cyberkrieger gestohlen haben. Der Angriff ist mittlerweile isoliert und unter Kontrolle. Quelle: WELT/Erdmann Hummel

Anzeige

„APT28 ist eindeutig keine gewöhnliche Gruppe krimineller Hacker, die auf finanzielle Gewinne aus ist“, erklärt Benjamin Read, Leiter des Cyber-Spionage-Analyseteams bei der US-Sicherheitsfirma FireEye, im Gespräch mit WELT. Read gehörte zu den Forschern, die 2014 erstmals auf die Gruppe aufmerksam machten - seitdem beschäftigt er sich fast ausschließlich mit der Abwehr und Erforschung der russischen Staats-Hacker: „Die Auswahl der Ziele, die verwendeten Methoden, das jahrelange Durchhaltevermögen - allesamt klare Indizien für das Mitwirken staatlicher Behörden, die Finanzierung durch einen Staat. Welcher Geheimdienst genau hinter APT28 steckt, ist noch nicht aufgeklärt - doch die Beteiligung russischer Behörden gilt uns als sicher.“

Experte geht von größerer Kampagne aus

Read ist nicht überrascht darüber, dass die Bundesregierung erneut Opfer von APT28 wurde - im Gegenteil. FireEye geht davon aus, dass die neue Spionage-Attacke auf die Bundesregierung Teil einer größeren Kampagne der russischen Staatshacker gegen Ziele in der europäischen Union ist: „Wir beobachten seit einigen Monaten, dass APT28 gezielt Außen- und Verteidigungsministerien in der Europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen“, erklärt Benjamin Read.

„Diese Erkenntnis haben wir aus sogenannten Spearphishing-Mails gewonnen, die unsere Sicherheitssysteme in den vergangenen Monaten bei diversen EU-Regierungen entdeckt haben.“ Diese Erkenntnis hat FireEye bislang nicht veröffentlicht - die betroffenen Regierungsbehörden wurden jedoch gewarnt. Ob auch die Bundesregierung dazu zählt, will FireEye gegenwärtig nicht offen legen.

Anzeige

FireEye installiert bei seinen Kunden Hardware-Filtersysteme, die sämtliche Emails vor der Zustellung auf Email-Anhänge mit Schadsoftware oder bösartige Links prüfen. Aus den Filter-Ergebnissen sowie aus der Analyse erfolgreicher Angriffe kennt Read die raffinierten Methoden der russischen Staats-Hacker: „Angriffe von Apt28 fallen durch die raffinierte Kombination von Angriffs-Vektoren auf.

Lesen Sie auch Der Fall Kaspersky Ein Verdacht wie ein Computervirus

Die Hacker suchen gezielt Personen innerhalb der Behörden aus, denen sie eine sorgfältig formulierte E-Mail schicken. Diese Mail enthält Informationen, die die Opfer ohnehin erwarten - etwa ein Link zu einem Konferenz-Programm einer Veranstaltung, die sie tatsächlich besuchen, oder die Rechnung eines Hotels, dass sie tatsächlich gebucht haben. Dazu spionieren die Hacker ihre Opfer zuvor wochenlang aus, registrieren eigens Webseiten und Emailadressen, die zu ihrer Täuschung passen“, erklärt Read. Ihm seien sogar Fälle aus 2017 bekannt, bei denen APT28 eigens komplette Hotelnetzwerke gehackt hat, nur um Einwahl-Daten der Gäste im Hotel-WLAN mitzulesen.

Hat das Opfer erst einmal auf einen der gefälschten Links geklickt, installiert APT28 darüber Schadsoftware auf dem Computer des Opfers, und hangelt sich von dort aus immer weiter durch die Netzwerke der Ziel-Organisation.

Dass diese Taktik auch im Fall des IVBB gelungen ist, ist umso bemerkenswerter, da nur speziell gesicherte Computer in dem Informationsverbund des Bundes teilhaben dürfen - die Attacke ist also deutlich schwieriger als die auf das Netzwerk des Bundestages, in dem auch private, nicht gesondert gesicherte Computer und Tablets der Abgeordneten und ihrer Mitarbeiter aktiv waren.

„Zero-Day-Sicherheitslücke ausgenutzt“

„Wahrscheinlich ist, dass APT28 angesichts eines besonders gesicherten Netzwerkes eine sogenannte Zero-Day-Sicherheitslücke ausgenutzt hat“, kommentiert Read. Sogenannte Zero-Days sind Sicherheitslücken, die dem Hersteller der jeweilig betroffenen Software noch nicht bekannt sind und noch nicht per Patch geschlossen wurden, solche Lücken für Microsofts Windows 10 wurden zuletzt im vergangenen Jahr für sechsstellige Summen gehandelt. Auch ein erfolgreicher Angriff auf die Sicherheitsbehörden der USA könnte eine Rolle gespielt haben, glaubt Read: „Im vergangenen Jahr nutzte APT28 mehrfach die Schadsoftware EternalBlue, die zuvor beim US-Nachrichtendienst NSA gestohlen wurde.“

Sind die russischen Hacker erst einmal in das Netzwerk einer Regierungsorganisation eingedrungen, geben sie sich große Mühe, nicht aufzufallen: Mit einer modularen Spionagesoftware, 2014 von Sicherheits-Forschern „CHOPSTICK“ (Esstäbchen) getauft, sichern sie Tastatureingaben und Bildschirminhalte der Opfer. Sie verstecken diese Informationen in einer verschlüsselten Datei in Windows und schicken die Daten an harmlose Webserver dritter Organisationen, die sie zuvor eigens für diesen Zweck infiltriert haben. So fallen die Daten-Übertragungen nicht auf, die Spionage bleibt lange unentdeckt.

Lesen Sie auch Lukratives Geschäft Mit Kryptojacking verdienen Hacker an unseren Smartphones

Stimmen die Meldungen über Länge und Ausmaß des Spionageangriffs, dann haben die Hacker im Staatsauftrag eine neue Grenze überschritten - noch vor gar nicht langer Zeit hätte eine direkte Attacke auf Regierungsnetzwerke eines anderen Staates mindestens als unfreundlicher Akt gegolten und ernsthafte diplomatische Verwerfungen hervor gerufen.

Anzeige

Doch spätestens seit der Attacke auf die Netze des Bundestages scheinen staatliche Hackerangriffe fast folgenlose Normalität zu sein. Erste Reaktionen konzentrieren sich vor allem darauf, wie künftige Attacken abgewehrt werden können.

Der Obmann der CDU/CSU-Fraktion im Auswärtigen Ausschuss des Bundestages, Roderich Kiesewetter, sagte WELT: „Der Angriff zeigt, wie wichtig Cybersicherheit als Teil der nationalen Sicherheitsvorsorge mittlerweile ist, dazu gehören auch Cyberfähigkeiten. Unsere zuständigen Behörden, BSI, BfV, BND müssen besser befähigt werden mit Schwerpunkt diesen Bedrohungen zu entgegnen. Das bedeutet neben einer entsprechenden finanziellen Ausstattung auch geeignetes Personal zu binden und konkurrenzfähig zu bezahlen.“

Fraglich ist, wie Attacken künftig beantwortet werden sollen: Kiesewetter überlegt laut über Fähigkeiten für einen „Rückschlag“ gegen die Staatshacker aus Russland: „Unabhängig davon hat die Bundesrepublik Deutschland die Chance, solche Angriffe einschließlich Angriffe auf kritische Infrastrukturen international zur Ächtung zu bringen. Dafür ist die UN das geeignete Forum. Jedoch müssen wir auch ausreichende Cyberabwehr sowie Cyberrückschlagfähigkeiten entwickeln, am besten im Rahmen einer gemeinsamen EU-Strategie.“