Ein Angriff auf die IT-Systeme des Deutschen Bundestages, Beeinflussung der Wahlen in den USA und Frankreich, ein Trojaner, mit dem Computerbesitzer erpresst werden: Hinter all dem soll die russische Hackergruppe "Sofacy" beziehungsweise "APT28" stecken. Sicherheitsexperten und Geheimdienste sind sicher: Sie wird von den russischen Behörden beauftragt. Das sind ihre Ziele.
Jeder Computer, jedes E-Mail-Postfach und jedes IT-System kann zur Zielscheibe von Hackern werden. "Die überwältigende Mehrzahl der Cyber-Angriffe hat einen kriminellen Hintergrund, ist in der Regel finanziell motiviert und erfolgt in den meisten Fällen ungezielt", sagt ein Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Gespräch mit unserer Redaktion.
Es gebe jedoch auch andere Attacken: "Im Bereich der Spionage sind unterschiedliche Tätergruppen bekannt, die unter Umständen im Auftrag staatlicher Akteure handeln", erklärt der Sprecher.
"Von Nationalstaaten ausgeführte Cyberangriffe, die sich gegen rivalisierende Staaten richten, sind das ,New Normal'", sagt auch Bob Botezatu, Director of Threat Research bei der Cybersicherheitsfirma Bitdefender. Spionage, Sabotage, Beeinflussung von Wahlen: Die Angriffe würden unterschiedlichste Ziele verfolgen. Neben Russland steht etwa China im Verdacht, solche Attacken zu initiieren.
Hacker-Kollektiv soll vom Geheimdienst gesteuert sein
Eine berüchtigte Hackergruppe soll dem russischen Militärgeheimdienst GRU unterstehen, glauben Geheimdienste und Sicherheitsexperten. Das Bundesamt für Verfassungsschutz (BfV) geht von einer "Steuerung durch russische staatliche Stellen" aus. Gemeint ist die "Sofacy Group": Das Hacker-Kollektiv ist wahrscheinlich seit 2004 aktiv und auch als "APT28", "Strontium" oder "Fancy Bear" bekannt – oder als "Cybereinheit 26165" des Geheimdienstes.
Die Mitglieder sind umtriebig und ihre Methoden vielfältig: Sie versenden Phishing-Mails, setzen Erpressungs-Trojaner ein oder versuchen, sich über ungesicherte Geräte aus dem "Internet der Dinge" (IoT) Zugang zu IT-Systemen zu verschaffen – zum Beispiel über Netzwerk-Drucker.
Eines ihrer Angriffsziele war vermutlich der Deutsche Bundestag: Dort schleusten die Hacker 2015 einen Trojaner ein und erbeuteten Tausende E-Mails von Abgeordneten. Einen der mutmaßlichen Beteiligten sucht die Generalbundesanwaltschaft inzwischen per Haftbefehl: Dmitriy Badin, Mitglied der "Sofacy Group". Er soll auch eine Schad-Software auf Computern im Büro von
Ein Ziel der "Sofacy"-Hacker: Diebstahl sensibler Daten
Häufig steht bei den Angriffen der Gruppe der Diebstahl sensibler Daten im Zentrum, die anschließend veröffentlicht werden. Damit versuchten die Cyberkriminellen – und damit wohl die russischen Behörden – bereits, Einfluss auf Wahlen zu nehmen, etwa in Frankreich und den USA.
Viele Attacken, die dem Hackerkollektiv zugeschrieben werden, zeigen, auf welche Daten die Kriminellen aus sind:
- 2016 drangen Angreifer in das Netzwerk der Demokratischen Partei in den USA ein und erbeuteten Daten. Darunter waren unter anderem 20.000 interne E-Mails, die die Enthüllungsplattform Wikileaks dann veröffentlichte.
- 2015 und 2016 griffen Hacker die E-Mail-Systeme des dänischen Verteidigungs- und Außenministeriums an.
- 2017 erbeuteten Hacker im französischen Präsidentschaftswahlkampf interne Dokumente des Wahlkampfteams von Emmanuel Macron.
- Zwischen 2014 und 2017 attackierten Angreifer die E-Mail-Konten von mindestens 200 Journalisten, Bloggern und Verlegern.
- 2018 wurden E-Mails des Internationalen Olympischen Komitees (IOC) erbeutet.
- Die Hacker versuchten, E-Mails von US-Rüstungsfirmen, Oppositionellen in der Ukraine und von Politikern zu stehlen – unter anderem von den ehemaligen US-Außenministern John Kerry und Colin Powell.
- 2018 wurde ein Cyberangriff auf die "Organisation für das Verbot chemischer Waffen" in den Niederlanden vereitelt.
- Bei den IoT-Attacken hatten die Hacker auch Behörden, Unternehmen sowie militärische und medizinische Einrichtungen im Visier. Die Sicherheitsforscher von Microsoft warnten allein zwischen Mitte 2018 und Mitte 2019 knapp 1.400 Stellen vor Angriffen auf ihre Infrastruktur.
Der Erpressungstrojaner "Notpetya"
Die "Sofacy Group" widmet sich außerdem der Sabotage. Sie soll hinter der Malware "Notpetya" beziehungsweise "GoldenEye" stecken. Diese verschlüsselt alle Dateien im Computer, und der Besitzer soll Lösegeld zahlen, um sie wiederherzustellen.
2017 legte der Erpressungstrojaner weltweit Computer lahm und richtete Milliardenschäden an. Betroffen war vor allem die Ukraine, auch die Nationalbank des Landes wurde zur Zielscheibe.
Die schwierige Suche nach den Hintermännern
Der Kreml dementiert, die Angriffe initiiert zu haben. Doch die Auswahl der Opfer spreche für ein staatliches Interesse, meint der Verfassungsschutz. Technische Parameter der Angriffsmethoden wie Spracheinstellungen oder Zugriffszeiten weisen laut Behörde auf einen "russischen Ursprung" hin.
Meist ist es schwierig, Angreifer und Hintermänner zu identifizieren. "Cyber-Bedrohungen sind hochkomplex und extrem zielgerichtet", erklärt Bitdefender-Sicherheitsexperte Botezatu. Die Hacker versuchten, keine unerwünschte Aufmerksamkeit auf sich zu lenken.
Weil sie so schwer nachweisbar sind, können die Angriffe einfach bestritten werden. Damit seien sie oftmals effektiver als konventionelle Invasionen, meint Botezatu. Denn letztere könnten als offene Kriegserklärung betrachtet werden "und unvorhersehbare politische und wirtschaftliche Konsequenzen zur Folge haben".
Verwendete Quellen:
- Gespräch mit einem Sprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI)
- Gespräch mit Bob Botezatu, Director of Threat Research beim Cybersicherheits-Unternehmen Bitdefender
- Bundesamt für Verfassungsschutz: Die russische Angriffskampagne APT 28 – aktuelle Entwicklungen, https://www.verfassungsschutz.de/de/aktuelles/schlaglicht/schlaglicht-2017-06-die-russische-angriffskampagne-apt-28
- Süddeutsche Zeitung: Die schwierige Suche nach der richtigen Reaktion, https://www.sueddeutsche.de/politik/hack-bundestag-haftbefehl-russland-1.4908824
- Der Standard: Kopenhagen wirft Russland "aggressives" Hacken von E-Mails vor, https://www.derstandard.at/story/2000056444663/kopenhagen-wirft-russland-aggressives-hacken-von-e-mails-vor
- Die Zeit: Russische Hacker griffen 200 Journalisten an, https://www.zeit.de/gesellschaft/zeitgeschehen/2017-12/fancy-bear-russland-hacking-ap-us-geheimdienst
- Microsoft Security Response Center: Corporate IoT – a path to intrusion, https://msrc-blog.microsoft.com/2019/08/05/corporate-iot-a-path-to-intrusion/
- NTV: "Fancy Bear" ist wieder auf der Jagd, https://www.n-tv.de/technik/Fancy-Bear-ist-wieder-auf-der-Jagd-article21189845.html
- Wired: Hack Brief: Russian Hackers Release Apparent IOC Emails in Wake of Olympics Ban, https://www.wired.com/story/russian-fancy-bears-hackers-release-apparent-ioc-emails/
- BBC: Russia cyber-plots: US, UK and Netherlands allege hacking, https://www.bbc.com/news/world-europe-45746837
- F.A.Z.: Amerika macht Russland für brisanten Cyberangriff verantwortlich, https://www.faz.net/aktuell/wirtschaft/digitec/amerika-macht-russland-fuer-brisanten-cyberangriff-verantwortlich-15451747.html
- Chicago Tribune: Digital hit list shows Russian hacking went well beyond U.S. elections, https://www.chicagotribune.com/nation-world/ct-russian-hacking-20171102-story.html
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.