Hackergruppe Snake Die Schlange im System

Die Gruppe Snake soll das deutsche Regierungsnetz angegriffen haben. Die Profi-Hacker werden mit Russland in Verbindung gebracht. Doch was heißt das schon angesichts ihrer Fähigkeiten im Tarnen und Täuschen?

Die Hackergruppe Snake ist auch unter dem Namen Turla bekannt
Getty Images

Die Hackergruppe Snake ist auch unter dem Namen Turla bekannt

Von und


Vor dieser Schlange haben sie alle eine gewisse Ehrfurcht: Snake alias Turla gilt für Nachrichtendienste wie auch IT-Experten als "herausragende" Hackergruppe, ihre Spionagewerkzeuge gehören zu den "fortschrittlichsten" und "komplexesten", die je analysiert wurden. Das Bundesamt für Verfassungsschutz und auch Estlands Geheimdienst gehen davon aus, dass die Gruppe vom russischen Staat beziehungsweise vom Geheimdienst FSB unterstützt wird.

Dass die Gruppe für den nun bekannt gewordenen Angriff auf das deutsche Regierungsnetz IVBB verantwortlich sein soll, wie es aus Sicherheitskreisen heißt, ist nicht bewiesen und wird vielleicht auch nie beweisbar sein. Aber es würde zumindest zur Historie der Schlange passen.

Spuren führen zurück ins Jahr 1998

Die beginnt im Jahr 1998, mit der geradezu legendären Spionagekampagne Moonlight Maze gegen das Pentagon. Das US-Verteidigungsministerium wurde mindestens zwei Jahre lang nach allen Regeln der damaligen Hackerkunst ausspioniert. Dass Russland hinter dem Angriff steckte, davon waren die USA damals schon überzeugt.

Fotostrecke

7  Bilder
IT-Sicherheit: Historie der Hackerangriffe

Erst im vergangenen Jahr jedoch, also 19 Jahre nach Bekanntwerden des Angriffs, stellten das IT-Sicherheitsunternehmen Kaspersky Lab und der deutsche Professor Thomas Rid eine Verbindung zwischen Moonlight Maze und aktueller Malware her, die Turla zugeschrieben wird. Die Gruppe setzt demnach bis heute Teile des uralten Codes ein, in einer weiterentwickelten Version.

2008 soll die Gruppe mit der Malware Agent.BTZ das US-Militär gehackt und dabei Zugriff auch auf als geheim eingestufte Unterlagen gehabt haben. Eingeschleust wurde die Spionagesoftware in einer Militärbasis im Nahen Osten über einen infizierten USB-Stick auf einen Laptop, von wo aus sie sich ausbreitete. Fast 14 Monate brauchte das Pentagon damals, um seine Systeme von Agent.BTZ zu säubern.

Spuren in der Schadsoftware deuteten darauf hin, dass die Programmierer Russisch sprechen, Teile des Codes wurden außerdem aus früheren Angriffen wiedererkannt, die ebenfalls einen russischen Hintergrund gehabt haben sollen. Wie so oft in solchen Fällen waren es Indizien, aber keine handfesten Belege.

Die Wiederverwertung und Weiterentwicklung von Code zieht sich wie ein roter Faden durch die Geschichte von Turla. Gewisse Ähnlichkeiten zu Agent.BTZ wurden zum Beispiel in Uroburos sichtbar, einer 2014 entdeckten, ungemein raffinierten Spionagesoftware, mit der Ministerien, Geheimdienste, Botschaften, Forschungsinstitute und Unternehmen in aller Welt infiziert wurden.

Geradezu eleganter Schadcode

Das deutsche Softwareunternehmen G Data hatte Uroburos damals nach der Schlange aus der griechischen Mythologie benannt und untersucht. Es sei "eine extrem hoch entwickelte und komplexe Schadsoftware", befanden die Analysten damals, und "bei dem Entwicklerteam hinter dieser Schadsoftware handelt es sich offensichtlich um sehr gut ausgebildete Computerexperten".

Ralf Benzmüller, einer der Spezialisten von G Data, glaubt nicht, dass sich daran bis heute etwas geändert hat: "Die arbeiten am Limit", sagt er. Angesichts ihrer Professionalität würde er "von einem Dienstleister ausgehen, einer Art Firma". Zugleich betont er, dass dies eine Spekulation sei.

Ihr Code zeige sogar "eine gewisse Form von Eleganz", meint Benzmüller, jedenfalls im Vergleich zur Malware chinesischer Spione oder der von anderen mutmaßlich von Russland unterstützten Gruppen wie APT 28. Snake, das sind die Filigrantechniker zwischen vielen Grobmotorikern.

Vorgehen würde zum IVBB-Hack passen

Zu den Spezialitäten von Snake gehöre die unbemerkte Ausleitung von Daten selbst aus Rechnern, die gar nicht am öffentlichen Internet hängen, sagt Benzmüller. Außerdem sei die Gruppe extrem gut darin, ihren Code vor der Entdeckung etwa durch Sicherheitssoftware zu schützen.

Seine Beschreibung passt prinzipiell zu dem, was die deutschen Sicherheitsbehörden bisher über den Hack des Regierungsnetzes IVBB und speziell des Auswärtigen Amts wissen: Die dort entdeckte Spionagesoftware ist nach SPIEGEL-Informationen extrem komplex. Sie leitet nicht einfach große Datenmengen an einen Kontrollserver, sondern sucht gezielt nach Stichworten in Dokumenten sowie nach einzelnen Nutzern, die an den entsprechenden Themen arbeiten.

Offenbar hat die Malware nach dem Eindringen ins Netz zunächst gar nichts getan, sondern sich passiv verhalten, um nicht entdeckt zu werden. Als sie dann aktiv wurde, leitete sie ganze 240 Kilobyte an Daten aus - das ist so wenig, dass es kaum bemerkbar ist. Ohne den ersten Tipp, der von einem befreundeten Geheimdienst kam, wäre die Schlange im System möglicherweise nie entdeckt worden.

"Keine greifbaren Beweise"

Drei Dokumente, so viel steht nach SPIEGEL-Informationen fest, sollen abgeflossen sein. Alle drei haben einen Bezug zu Russland beziehungsweise zur Ukraine. Aber auch das beweist letztlich gar nichts. Benzmüller sagt, Spezialisten dieser Klasse könnten problemlos falsche Fährten legen: "Solche Leute können einem vormachen, was sie wollen."

Kreml-Sprecher Dimitri Peskow sagte der Nachrichtenagentur Reuters zu den Berichten rund um den Angriff: "Wir nehmen mit Bedauern zur Kenntnis, dass alle Hackerangriffe in der Welt mit russischen Hackern in Verbindung gebracht werden." Dafür gebe es aber "keine greifbaren Beweise".

Vielleicht muss Peskow aber auch gar nichts bedauern. Sven Herpig, Experte für Sicherheitsstrategien beim Thinktank Stiftung Neue Verantwortung, sagt, der Kreml profitiere von der medialen Darstellung der "fast schon magischen Fähigkeiten seiner Hacker". Das sei "eine riesige Machtprojektion".

Sie mögen Netzwelt-Themen? Dann abonnieren Sie unseren Newsletter.

Startmenü ist kostenlos und landet jeden Montag gegen 16 Uhr in Ihrem Postfach.



insgesamt 37 Beiträge
Alle Kommentare öffnen
Seite 1
BoMbY 02.03.2018
1. Normalerweise wäre das jedem peinlich.
Von jemandem mit einem so kleinen Budget regelmäßig vorgeführt zu werden lässt eigentlich kein gutes Licht auf einen Selbst scheinen. Außer der Nutzen ist am Ende natürlich deutlich größer, als alle Peinlichkeit. Zum Beispiel in Form von noch mehr Millionen und Milliarden für das eigene Budget, die dann hinterher natürlich immer noch nicht ausreichen.
spon-facebook-10000122439 02.03.2018
2. "Anakonda
War es nicht die "Anakonda ", die den Russen das Fürchten lehren sollte ?
oldnick13 02.03.2018
3. Ich dachte immer uns schützt der Verfassungsschutz mit seiner Abwehr
Unter "www.verfassungsschutz.de/de/arbeitsfelder/af-cyberangriffe" brüstet sich u.a. dieses Amt im "Nationalen Cyber-Abwehrzentrum" vertreten zu sein. Und dann das??? Die deutsche Elite der "Abwehrspezialisten" hat mal wieder nichts gemerkt und musste durch einen ausländischen Dienst den Waschlappen der Erkenntnis um die Ohren gehauen kriegen. Was können denn deutsche Abwehrspezialisten überhaupt? Was für "Spezialisten" arbeiten dort eigentlich? Sind das wieder mal die Reste der Akademiker, die woanders keinen Job finden und schnell durch Parteibuch oder andere Beziehungen in den öffentlichen Dienst gehen, um wenigstens dort auf Kosten des Steuerzahlers regelmäßig befördert zu werden? Man sollte solche unsinnigen, den Staatshaushalt belastenden Behörden schnellstens abschaffen, wenn man eh nur mit Hilfe ausländischer Geheimdienste arbeiten kann, um etwas auf die Reihe zu kriegen. Das Agenten-Personal sollte man in unterbesetzte Behörden wie Kraftverkehrs-Zulassungsstellen oder Meldestellen versetzen, wo der Bürger monatelang auf einen Termin wartet. Hochbezahlte Stümper im Sicherheitsbereich haben wir hier in Deutschland schon lange genug gehabt.
urmedanwalt 02.03.2018
4. Abschreckung
funktioniert auch ohne einen echten Angriff. Mal ein Messer zeigen ist oft sinnvoller als damit zuzustechen. Machen die Amis auch, nur steht das dann eher nicht im Spiegel. Bin aber überrascht, dass der alte Trick mit dem USB-Stick immer noch funktioniert. Wenn es denn so war, denn RFID und IoT geben noch viel mehr Angriffsmöglichkeiten.
Gottloser 02.03.2018
5. Jetzt Snake
Das scheint die dritte Hackergruppe zu sein, die durch die Medien gejagt wird. Die russischen und amerikanischen und andere Geheimdienste - auch die deutschen - brauchen keine Hackergruppen. Die machen das selbst! Nur Journalisten brauchen Häcker (!).
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.