Spuren zu russischen Hackern bei Cyber-Attacke auf Bundestag
Berlin (dpa) - Beim Cyber-Angriff auf den Bundestag führen konkrete Spuren zu einer unter dem Namen „Sofacy“ bekannten russischen Hackergruppe. Das bestätigten mit der Untersuchung vertraute Experten der Deutschen Presse-Agentur in Berlin.
Zuvor hatte die Linksfraktion am Freitag den Untersuchungsbericht eines von ihr engagierten IT-Sicherheitsforschers zu einem Hacker-Angriff auf zwei separate Computerserver der Fraktion vom Frühjahr veröffentlicht. Auch darin ist von „Sofacy“ die Rede. Nach dpa-Informationen dauert die Attacke auf den Bundestag schon wesentlich länger als bisher bekannt - wahrscheinlich wurde sie vor etwa einem halben Jahr gestartet.
Linke-Fraktionsgeschäftsführerin Petra Sitte sagte: „Wir können nicht mit Sicherheit sagen, ob es sich hier um den gleichen Angriff wie bei der Bundestags-IT handelt.“ Die Angriffe hätten aber im gleichen Zeitraum stattgefunden, zudem gebe es erhebliche Ähnlichkeiten. Mit den Ermittlungen zum Bundestagsnetzwerk „Parlakom“ vertraute Experten sagten der dpa, auch dort seien Hinweise auf die Hacker-Gruppe „Sofacy“ gefunden worden.
Nach Einschätzung des Computer-Experten Andy Müller-Maguhn sollte die Attacke auf den Bundestag allerdings nicht voreilig auf Angreifer aus Russland zurückgeführt werden. „Die Zuordnung eines solchen Trojaners zu einer spezifischen Tätergruppe ist in rechtssicherer Form unmöglich“, sagte der langjährige Sprecher des Chaos Computer Clubs. Angriffe könnten auch „unter fremder Flagge“ geführt werden. Auch nach dpa-Informationen gibt es bei den Ermittlern noch keine Klarheit über die Herkunft des Angriffs auf den Bundestag.
Verfassungsschutz-Präsident Hans-Georg Maaßen hatte die Sorge geäußert, dass es sich um einen Cyber-Angriff eines ausländischen Nachrichtendienstes handeln könnte. Hintergrund der Einschätzung ist die Komplexität der Attacke - zu derartigen Angriffen seien nur staatlich unterstützte Organisationen fähig, heißt es bei Experten.
Der IT-Spezialist Claudio Guarnieri hatte die angegriffenen Computer der Linksfraktion untersucht. Dabei habe er Hinweise auf die wohl staatlich unterstützte russische Gruppe namens „Sofacy“ gefunden, die auch als „APT28“ bekannt ist, heißt es in dem Bericht. Sie soll seit 2006 aktiv und darauf spezialisiert sein, vertrauliche Informationen zu stehlen. Der Gruppe werden auch Angriffe auf osteuropäische Regierungen und Militäreinrichtungen sowie die Nato zugeschrieben.
Der Experte habe auf den Linken-Rechnern zwei Schadprogramme gefunden, die es Angreifern ermöglichten, einen ständigen Zugang zum Netzwerk aufzubauen „und alle Informationen zu sammeln und auszuleiten, die sie interessant fanden“. Es sei möglich, dass die Hacker es geschafft hätten, „Zugriff auf Zugangsdaten von Netzwerkadministratoren im Bundestag zu erhalten, was ihnen dann ermöglicht hat, sich durch das Netzwerk zu bewegen und Zugriff auf weitere Daten zu erhalten“.
Insider gehen davon aus, dass die Hacker den von ihnen eingesetzten Trojaner in mehreren Angriffswellen Stück für Stück nach Art eines Puzzles auf den betroffenen Computern des Bundestagsnetzes zusammengesetzt haben. Entdeckt wurde der Angriff erst, als die Schadsoftware Anfang Mai aktiv wurde und Daten abgeflossen waren. Am Freitag wurde unter Experten nicht ausgeschlossen, dass darunter auch Unterlagen des NSA-Untersuchungsausschusses waren.
Nach dpa-Informationen schickten die Angreifer zunächst unverdächtig wirkende Mails an die Computer, deren Anhänge kleine Datenmengen und keinen kompletten Trojaner enthielten. Tage oder Wochen später seien Mails mit weiteren Teilstücken hinterhergeschickt worden. Der Trojaner habe sich so nach und nach zusammengesetzt. Sicherheitsexperten bestätigten, dies sei ein übliches Vorgehen von Hackern, damit ein Trojaner nicht von Virenscannern erkannt wird.