SPIEGEL ONLINE

SPIEGEL ONLINE

02. März 2018, 15:02 Uhr

Hackergruppe Snake

Die Schlange im System

Von und

Die Gruppe Snake soll das deutsche Regierungsnetz angegriffen haben. Die Profi-Hacker werden mit Russland in Verbindung gebracht. Doch was heißt das schon angesichts ihrer Fähigkeiten im Tarnen und Täuschen?

Vor dieser Schlange haben sie alle eine gewisse Ehrfurcht: Snake alias Turla gilt für Nachrichtendienste wie auch IT-Experten als "herausragende" Hackergruppe, ihre Spionagewerkzeuge gehören zu den "fortschrittlichsten" und "komplexesten", die je analysiert wurden. Das Bundesamt für Verfassungsschutz und auch Estlands Geheimdienst gehen davon aus, dass die Gruppe vom russischen Staat beziehungsweise vom Geheimdienst FSB unterstützt wird.

Dass die Gruppe für den nun bekannt gewordenen Angriff auf das deutsche Regierungsnetz IVBB verantwortlich sein soll, wie es aus Sicherheitskreisen heißt, ist nicht bewiesen und wird vielleicht auch nie beweisbar sein. Aber es würde zumindest zur Historie der Schlange passen.

Spuren führen zurück ins Jahr 1998

Die beginnt im Jahr 1998, mit der geradezu legendären Spionagekampagne Moonlight Maze gegen das Pentagon. Das US-Verteidigungsministerium wurde mindestens zwei Jahre lang nach allen Regeln der damaligen Hackerkunst ausspioniert. Dass Russland hinter dem Angriff steckte, davon waren die USA damals schon überzeugt.

Erst im vergangenen Jahr jedoch, also 19 Jahre nach Bekanntwerden des Angriffs, stellten das IT-Sicherheitsunternehmen Kaspersky Lab und der deutsche Professor Thomas Rid eine Verbindung zwischen Moonlight Maze und aktueller Malware her, die Turla zugeschrieben wird. Die Gruppe setzt demnach bis heute Teile des uralten Codes ein, in einer weiterentwickelten Version.

2008 soll die Gruppe mit der Malware Agent.BTZ das US-Militär gehackt und dabei Zugriff auch auf als geheim eingestufte Unterlagen gehabt haben. Eingeschleust wurde die Spionagesoftware in einer Militärbasis im Nahen Osten über einen infizierten USB-Stick auf einen Laptop, von wo aus sie sich ausbreitete. Fast 14 Monate brauchte das Pentagon damals, um seine Systeme von Agent.BTZ zu säubern.

Spuren in der Schadsoftware deuteten darauf hin, dass die Programmierer Russisch sprechen, Teile des Codes wurden außerdem aus früheren Angriffen wiedererkannt, die ebenfalls einen russischen Hintergrund gehabt haben sollen. Wie so oft in solchen Fällen waren es Indizien, aber keine handfesten Belege.

Die Wiederverwertung und Weiterentwicklung von Code zieht sich wie ein roter Faden durch die Geschichte von Turla. Gewisse Ähnlichkeiten zu Agent.BTZ wurden zum Beispiel in Uroburos sichtbar, einer 2014 entdeckten, ungemein raffinierten Spionagesoftware, mit der Ministerien, Geheimdienste, Botschaften, Forschungsinstitute und Unternehmen in aller Welt infiziert wurden.

Geradezu eleganter Schadcode

Das deutsche Softwareunternehmen G Data hatte Uroburos damals nach der Schlange aus der griechischen Mythologie benannt und untersucht. Es sei "eine extrem hoch entwickelte und komplexe Schadsoftware", befanden die Analysten damals, und "bei dem Entwicklerteam hinter dieser Schadsoftware handelt es sich offensichtlich um sehr gut ausgebildete Computerexperten".

Ralf Benzmüller, einer der Spezialisten von G Data, glaubt nicht, dass sich daran bis heute etwas geändert hat: "Die arbeiten am Limit", sagt er. Angesichts ihrer Professionalität würde er "von einem Dienstleister ausgehen, einer Art Firma". Zugleich betont er, dass dies eine Spekulation sei.

Ihr Code zeige sogar "eine gewisse Form von Eleganz", meint Benzmüller, jedenfalls im Vergleich zur Malware chinesischer Spione oder der von anderen mutmaßlich von Russland unterstützten Gruppen wie APT 28. Snake, das sind die Filigrantechniker zwischen vielen Grobmotorikern.

Vorgehen würde zum IVBB-Hack passen

Zu den Spezialitäten von Snake gehöre die unbemerkte Ausleitung von Daten selbst aus Rechnern, die gar nicht am öffentlichen Internet hängen, sagt Benzmüller. Außerdem sei die Gruppe extrem gut darin, ihren Code vor der Entdeckung etwa durch Sicherheitssoftware zu schützen.

Seine Beschreibung passt prinzipiell zu dem, was die deutschen Sicherheitsbehörden bisher über den Hack des Regierungsnetzes IVBB und speziell des Auswärtigen Amts wissen: Die dort entdeckte Spionagesoftware ist nach SPIEGEL-Informationen extrem komplex. Sie leitet nicht einfach große Datenmengen an einen Kontrollserver, sondern sucht gezielt nach Stichworten in Dokumenten sowie nach einzelnen Nutzern, die an den entsprechenden Themen arbeiten.

Offenbar hat die Malware nach dem Eindringen ins Netz zunächst gar nichts getan, sondern sich passiv verhalten, um nicht entdeckt zu werden. Als sie dann aktiv wurde, leitete sie ganze 240 Kilobyte an Daten aus - das ist so wenig, dass es kaum bemerkbar ist. Ohne den ersten Tipp, der von einem befreundeten Geheimdienst kam, wäre die Schlange im System möglicherweise nie entdeckt worden.

"Keine greifbaren Beweise"

Drei Dokumente, so viel steht nach SPIEGEL-Informationen fest, sollen abgeflossen sein. Alle drei haben einen Bezug zu Russland beziehungsweise zur Ukraine. Aber auch das beweist letztlich gar nichts. Benzmüller sagt, Spezialisten dieser Klasse könnten problemlos falsche Fährten legen: "Solche Leute können einem vormachen, was sie wollen."

Kreml-Sprecher Dimitri Peskow sagte der Nachrichtenagentur Reuters zu den Berichten rund um den Angriff: "Wir nehmen mit Bedauern zur Kenntnis, dass alle Hackerangriffe in der Welt mit russischen Hackern in Verbindung gebracht werden." Dafür gebe es aber "keine greifbaren Beweise".

Vielleicht muss Peskow aber auch gar nichts bedauern. Sven Herpig, Experte für Sicherheitsstrategien beim Thinktank Stiftung Neue Verantwortung, sagt, der Kreml profitiere von der medialen Darstellung der "fast schon magischen Fähigkeiten seiner Hacker". Das sei "eine riesige Machtprojektion".

URL:

Verwandte Artikel:

Mehr im Internet


© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung