Russische Hacker sollen Ministerien in ganz Europa angegriffen haben

Die Attacke der Hackergruppe APT28 auf die Informationsnetzwerke der Bundesregierung könnte nicht die einzige gewesen sein. Ein US-Sicherheitsexperte meint: Das war nur Teil eines größeren Spionageangriffs auf EU-Staaten.

„APT28“ heißt die Hackergruppe, die laut Meldung der Nachrichtenagentur DPA seit fast einem Jahr Computernetzwerke des Verteidigungs- und des Außenministeriums infiltriert hat. Die Gruppe, die von Sicherheitsforschern auch unter dem Namen „Fancy Bear“ geführt wird, soll in das Datennetz der Bundesverwaltung – den Informationsverbund Berlin-Bonn (IVBB) – eingedrungen sein und dort geheime Daten der Bundesregierung gestohlen haben. Brisant: Sicherheitsforscher haben klare Indizien dafür, dass die Hackergruppe dem russischen Militärgeheimdienst GRU nahesteht, entweder ihm direkt angehört oder von der russischen Regierung finanziert und mit Material ausgestattet wird.

Welche Systeme genau betroffen sind und welche Daten gestohlen wurden, ist noch nicht bekannt. Doch gegenüber der DPA bestätigten drei unabhängige Quellen aus den Sicherheitsbehörden, dass die Hacker bereits im Dezember aufgefallen sind – und das bis jetzt nicht genau bekannt ist, welche Systeme der Bundesregierung wie lange betroffen sind.

Seit Dezember bemühen sich das Bundesamt für Sicherheit in der Informationstechnik BSI sowie Experten des Bundesverfassungsschutzes um Aufklärung und Schadensbegrenzung. Sollte sich die Meldung bestätigen, dass die APT28-Hacker über einen solch langen Zeitraum in dem als sicher eingestuften IVBB-Netzwerk unentdeckt mitlesen konnten, dürfte der Schaden aus Sicht der Bundesregierung immens sein.

Das IVBB ist als Netzwerk komplett getrennt vom öffentlichen Internet ausgelegt, es dient dem sicheren Informationsaustausch der Ministeriensstandorte in Berlin und Bonn. APT28 könnte also sowohl Material über die Planungen zur Weiterentwicklung der Bundeswehr als auch geheime diplomatische Nachrichten ausspioniert haben.

Im Auftrag russischer Geheimdienste

APT28 ist IT-Sicherheitsfirmen bereits seit Oktober 2014 bekannt – damals war die Hackergruppe Forschern der Firmen Trend Micro und FireEye aufgefallen, da sie Rechnernetzwerke innerhalb der Nato sowie US-Rüstungsfirmen wie Boeing und Lockheed Martin sowie Regierungsnetzwerke in Osteuropa infiltriert hatte. Laut Analysen von FireEye ist APT28 jedoch bereits seit 2004 aktiv – die Gruppe wird unter anderem für den Spionage-Angriff auf das Netzwerk des deutschen Bundestags im Jahr 2014 verantwortlich gemacht.

Anhand der Ziele der Gruppe sowie angesichts von Indizien wie der verwendeten Schadsoftware mit Anmerkungen in russischer Sprache sowie Kontrollservern in Russland gilt als klar erwiesen, dass APT28 auf Staatsebene im Auftrag russischer Geheimdienste operiert.