APT28 / Snake: Hacker-Angriffe auf Regierungsnetzwerke

Es war von einer “digitalen Atombombe” die Rede. Die Sofacy-Gruppe, die als “APT28” (Advanced Persistent Threat 28) bekannt wurde, wird prominent in den Hauptnachrichten herum gereicht. Sie soll hinter Angriffen auf Regierungsnetzwerke stecken. Aktuell heißt es, dass sie das Datennetz der Bundesverwaltung angriffen. Was nicht so sehr prominent ist, wird auch nicht so sehr genannt. Es gab nämlich noch weitere Angriffe. Was steckt dahinter? Und was hat das Alles mit “Snake” zu tun? Schauen wir mal.

APT28 – Oder: Wer ist die Sofacy Group?

Die Sofacy Group ist eine Art Hacker-Kollektiv. Die Gruppierung nennt sich auch mal APT28 oder Fancy Bear. Und gerade mit letztem Namen sind sie beim Präsidentschaftswahlkampf in den USA bekannt geworden. Wie es heißt, wird APT28 von den russischen Geheimdiensten kontrolliert. Und egal, wie sich die Gruppierung nennt, es wurde wohl identifiziert, dass sie hinter so einigen Angriffen stecken. Wie jeder andere Einbrecher, so hinterlassen auch die Hacker von APT28 eine Art Fingerabdruck am Tatort. Und sei er nur virtuell.

APT wird eine Angriffsthematik genannt, die sich auf bestimmte, genau ausgewählte Ziele beschränkt und beim Erfolg des Angriffs den kompromittierten Computer als Sprungbrett in das eigentliche Ziel-Netzwerk benutzt. Diese APT-Angriffe werden meistens China und der Russischen Föderation zugeordnet. Die Gruppe ist wohl seit 2004 aktiv. Und seit 2008 gibt es immer wieder teils sehr prominente Hacker-Angriffe, die APT28 zugerechnet werden können.

Prominente Angriffe von APT28

  • Angriffe auf mehrere Ministerien der georgischen Regierung anlässlich des Kaukasuskriegs im Jahr 2008
  • Angriff auf das Kavkaz Center, einer dschihadistischen Webseite in russischer Sprache, im Jahr 2009
  • Systematischer Datenabfluss aus Verteidigungsministerien in Osteuropa im Jahr 2014
  • Hack auf die Email-Systeme von Verteidigungs- und von Außenministerium Dänemarks 2015 / 2016
  • Angriff auf den Deutschen Bundestag im Jahr 2015
  • Einschleusung einer Fake App in die Ukrainischen Streitkräfte im Jahr 2016
  • Hackerangriff auf die Kommunikationsinfrastruktur der Demokratischen Partei der USA im Jahr 2016
  • Umfassender Angriff auf die Kommunikationsinfrastruktur der Bundesverwaltung Deutschlands seit 2017

Die Sofacy Group / APT28 nutzt wohl zur Infiltrierung Phishing-Angriffe. Allein hier im Blog gibt es über 30 Artikel mit dem Wort “Phishing” irgendwo im Text. Es handelt sich also um eine riesige Gefahr. Es ist nicht klar, ob hinter jeder dieser Attacken die Sofacy Group steckt. Es ist aber nicht auszuschließen. Über nachgebaute Webseiten werden dann Daten abgegriffen und der Zugang zum Netz der ins Visier geratenen Organisation umgesetzt.

Tobt nun APT28 oder Snake im Netzwerk?

Bislang war man sich einig darüber, dass APT28 ins Netzwerk der Bundesverwaltung eingedrungen ist. Denn alles deutete offenbar darauf hin. Es waren wohl vergleichbare Muster zum Angriff auf den Bundestag zu erkennen. Die Ermittler zum aktuellen Angriff hätten wohl APT28 beobachtet, und es hätte wohl alles nach ihnen ausgeschaut. Aber am Ende soll es eine russische Hacker-Gruppierung namens Snake sein. Und man ist nicht mal selbst auf die Idee mit APT28 und / oder Snake gekommen, sondern wurde erst von anderen Staaten darauf aufmerksam gemacht. Im Januar.

Nun denn, jetzt ist es also Snake. Oder heißt die Gruppe Turla? Oder etwa Uruburos? Jedenfalls soll diese Gruppierung über die Bundesakademie für öffentliche Verwaltung der Fachhochschule des Bundes überhaupt erst in das Netzwerk der Bundesverwaltung gelangt sein. Nichts genaues weiß man nicht. Sind Daten abhanden gekommen? Wie hoch ist das Ausmaß? Läuft der Angriff noch? Wie konnte der Angriff überhaupt passieren? Da verhält sich niemand professionell. Ehrlich.

Die überraschten Politiker

Stellen Sie sich mal vor: Da hocken Mitglieder des Innenausschusses des Bundestags morgens beim Kaffee und blättern in der Zeitung. Und dort lesen sie, dass das höchste Regierungsnetzwerk gehackt wurde. Sie erfahren es also aus den Medien, nicht etwa von den IT-Verantwortlichen oder vom Dienstleister BSI. Die rennen natürlich wie ein aufgeschreckter Hühnerhaufen durch die Gegend. Das war eindrucksvoll beim Grünen-Politiker Konstantin von Notz zu beobachten. Aber sie haben auch allen Grund dafür.

Wenn ich oben schrieb, dass sich da niemand professionell verhielt, dann meine ich das auch so. Die Politiker liefen offenbar ins offene Messer. Und das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat offenbar eine entsprechende Warnung an die Politiker unterlassen. Wie konnte das denn geschehen? Gerade nach den Geschehnissen 2015 (siehe Liste oben) sind sie vorsichtig – aber auch empört.

Hat das etwas mit Putin zu tun?

Der russische Präsident hielt eine Rede zur Lage der Nation und zeigte eindrucksvoll mit einem riesigen Brimborium, wie der Status der Militärmacht ist. Drohnen, Hyperschallraketen und all das. Da kann einiges krachen. Und Putin demonstrierte damit seine Macht. Nachdem in den letzten Jahren weltweit und damit auch in Deutschland Verteidigungsministerien angegriffen wurden und diese Angriffe Russland zugerechnet werden, kann man durchaus vermuten, dass man prüfen wollte, wie weit andere Länder sind.

Russland kann die Vorwürfe ja auch schon seit längerem nicht entkräften, dass der Riese Hackerangriffe weltweit vollführt und auf diese Art und Weise andere Staaten beeinflusst und ausspioniert. Ob das nun auch bei dem Angriff auf die Kommunikationsinfrastruktur der deutschen Verwaltung zutrifft, muss ermittelt werden. Dann stellt sich aber die Frage, was man mit der Erkenntnis anfängt. Denn Russland demonstriert militärische Stärke. Und das war alles kein Bluff. Am Ende denke ich, dass wir sehr schwierige Zeiten erleben werden. Und ich hoffe, ich habe nicht Recht.

Ein Kommentar

  1. “Russland kann die Vorwürfe ja auch schon seit längerem nicht entkräften, dass der Riese Hackerangriffe weltweit vollführt und auf diese Art und Weise andere Staaten beeinflusst und ausspioniert.”

    Muss es ja auch gar nicht! Die Betroffenen müssen knallhart, bombensicher und knallhart nachweisen, dass “die Russen” und “Putin” dahinter stecken. Hier darf die Beweislast nicht umgekehrt werden.

    Müsste “der Russe” seine Unschuld beweisen, dann müsste er ja den tatsächlich Verantwortlichen ermitteln… warum aber sollte er die Arbeit für die eigentlich betroffenen übernehmen?

    “Beweise” habe ich bislang nur sehr selten gesehen… meist handelt es sich bei den angebrachten vermeintlichen “Beweisen” nur um ein “befreundete Experten/Dienste sind sich absolut sicher”.

    Nun, was wenn “befreundete Experten/Dienste” sich plötzlich absolut sicher wären, die Erde sei doch eine Schiebe? Werden dann die Atlanten neu gedruck und gibt es eine Sperrzone am Rand, damit die Schiffe nicht von der Erde fallen?

    Ganz ehrlich… bislang wird doch nur im Trüben gefischt und wenn was passiert, war es eh immer der Russe. Fühlt sich wieder so an, wie zu den übelsten Zeiten des kalten Krieges. Als Kind hörte ich auch immer mal – wenn es z. B. Unwetter gab – da seien “die Russen dran schuld” (z. B. bei besagtem Unwetter, weil sie irgendwelche “Experimete” gemacht hätten).

Schreibe einen Kommentar

Mit dem Nutzen des Kommentarbereiches erklären Sie sich mit der Datenschutzerklärung einverstanden.