Zwei russischen Hackergruppen ist es gelungen, unabhängig voneinander das Computer-Netzwerk der US-Demokraten zu knacken. Das berichten mehrere US-Medien, darunter Politico und Washington Post.
Die Angreifer konnten den Berichten zufolge tief in das Netzwerk des Demokratischen Nationalkomitees (DNC) eindringen. Ihnen gelang es, sämtliche E-Mails und Chat-Nachrichten mitzulesen.
Nach Angaben des DNC haben die Hacker keine Finanz-, Spender- oder personenbezogene Daten mitgenommen. Die Demokraten gehen deshalb von Spionage aus.
Hacker wurden aus den Netzwerken entfernt
Die IT-Sicherheitsfirma Crowdstrike wurde vom DNC Ende April damit beauftragt, die Hacker aus dem Netzwerk zu entfernen. Das sei ihnen vergangenes Wochenende gelungen, also Wochen später.
In einem Blogpost schilderte einer der Mitgründer von Crowdstrike, was seine Firma über die Angreifer herausfinden konnte. "Wir haben viel Erfahrung mit beiden Akteuren und kennen sie gut. Sie haben in der Vergangenheit versucht, unsere Kunden anzugreifen", heißt es in dem Eintrag. Crowdstrike erachte diese Gruppen als "eine der besten Gegner aus zahlreichen staatlichen, kriminellen, hacktivistisch/terroristischen Gruppen", mit denen sich die Firma täglich beschäftige.
Daten über Trump
Eine der Gruppen soll demnach zwei Dateien mitgenommen haben. Darin enthalten: Ausgiebiges Recherche-Material, das die Demokraten über den republikanischen Anwärter für das Amt des Präsidenten, Donald Trump, gesammelt haben.
Diese Gruppe nennt Crowdstrike "Fancy Bear" und APT-28. APT wird für Angreifer benutzt, die ein hohes und dauerhaftes Risiko darstellen - advanced persistent threat. In aller Regel ist es ein Codewort für Gruppen, die entweder im Sinne oder im Auftrag einer Regierung handeln.
APT28 wird mit dem Bundestag-Hack in Verbindung gebracht
Die APT-28-Gruppe ist auch in Deutschland bekannt, hier allerdings unter dem Namen "Sofacy". Die Gruppe wird, wie der Spiegel berichtete, mit dem Angriff auf den Bundestag in Verbindung gebracht. Der Verfassungsschutz-Chef, Hans-Georg Maaßen, führte erst kürzlich aus, dass das Bundesamt hinter der "Sofacy"-Gruppe eine durch den russischen Staat gesteuerte Kampagne vermutet.
APT-28 verschaffte sich Ende April Zugriff. Kurz darauf wurde der Einbruch bemerkt. Das zweite Team, Crowdstrike nennt es "Cozy Bear" und APT-29, war deutlich länger im Netzwerk - seit vergangenem Sommer. Sie habe die Kommunikation des DNC überwacht.
Unklar: Motiv und Zutritt
Nach eigenen Angaben hat Crowdstrike keine Informationen darüber, wie sich die Angreifer Zugriff verschafft haben.
Auch über das Motiv kann nur gerätselt werden. Die Washington Post zitiert Robert Deitz, der als Anwalt für den Geheimdienst NSA gearbeitet hat: "Solche Informationen werden gesammelt, um Neigungen der Zielperson in Erfahrung zu bringen." Zum Beispiel also, um dessen Verhandlungsstil eines Donald Trump besser einschätzen zu können.
Donald Trump verwies die Washington Post auf Anfrage an den Secret Service. Ein Pressesprecher der russischen Botschaft teilte mit, nichts über derartige Versuche des Eindringens zu wissen.
Im Blogpost veröffentlichte Crowdstrike sogenannte Indicators of Compromise, also spezielle Anzeichen, die Rückschlüsse auf den Täter zulassen. Das können IP-Adressen sein oder Teile des Virus. Handelt es sich um dieselbe oder vergleichbare Schadsoftware, kann das zum Beispiel ein Indiz dafür sein, dass eine bereits identifizierte Gruppen hinter einem neuen Angriff steckt.
"Zwischen beiden Gruppen fand keine Kollaboration statt", heißt es im Blogbeitrag. Die Firma geht davon aus, dass die eine Gruppe nicht wusste, was die andere tat.