IT-Sicherheit Was der Code russischer Elite-Hacker verrät

Auch der Deutsche Bundestag war bereits das Ziel der Hackergruppe APT28.

(Foto: imago/Westend61)
  • APT28 ist eine der berüchtigsten Hackergruppen der Welt. Zu ihren Opfern gehört auch der Deutsche Bundestag.
  • Der SZ liegen Teile einer Software vor, die Informationen über die Arbeitsweise der Hacker preisgeben.
  • Sicherheitsbehörden beobachten die Gruppe seit Jahren. Ihnen zufolge dienen die Angriffe den strategischen Zielen Russlands.
Von Hakan Tanriverdi

Die gefährliche Software im Mail-Postfach ist klein, 12 Kilobyte als Zip-Datei. Wer sie öffnet, findet Ordner, die "Remote Shell" und "Keylogger" heißen. Mit ihnen kann aus der Ferne auf den Rechner zugegriffen und aufgezeichnet werden, was die Person am Computer über die Tastatur eingibt. Es sind unverzichtbare Werkzeuge für einen Hacker-Angriff.

Mit der kleinen Datei sind Teile von Spionagesoftware an die Öffentlichkeit gelangt, die den Elite-Hackern von APT28 zugerechnet wird. Das ist jene Gruppe, die nach Einschätzung vieler IT-Sicherheitsfirmen und Geheimdienste unter anderem hinter den Angriffen auf die demokratische Partei in den USA steckt. Die Veröffentlichung interner Dokumente der Demokraten gilt US-Geheimdiensten als ein Grund für Donald Trumps Wahlsieg. Auch der Angriff auf den Deutschen Bundestag im Mai 2015 wird auf APT28 zurückgeführt. Bei diesem Angriff gelangten die Hacker an einen riesigen Datensatz - 16 Gigabyte. Bis heute ist unklar, wie heikel die erbeuteten Daten sind.

Viele Indizien gegen Russland, aber kaum Beweise

Die USA bestrafen Russland für einen Hackerangriff, der die US-Wahl beeinflusst haben soll. Aber sind die Fakten eindeutig genug, um einen Konflikt zwischen zwei Atommächten zu rechtfertigen? Von Jannis Brühl und Hakan Tanriverdi mehr ...

IT-Sicherheitsforscher haben die Angriffs-Software für die Süddeutsche Zeitung analysiert. Die Gespräche mit ihnen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigen, wie Sicherheitsfirmen, Behörden und Geheimdienste versuchen, Hackergruppen auf die Schliche zu kommen. Sie zeigen auch, warum es so schwierig ist, einen Nationalstaat eindeutig mit einem Angriff in Verbindung zu bringen.

Software mit Bedienungsanleitung

Die Spionagesoftware heißt X-Agent. Teile des Quelltexts und damit der detaillierte Aufbau der Spionage-Software liegen der SZ vor. Elite-Hacker verwenden für ihre Angriffe oft Werkzeuge, die sie selbst entwickelt und getestet haben. Da in solchen Fällen niemand außer ihnen diese Software einsetzen kann, können Forscher aus dem Programm Rückschlüsse auf die Hacker ziehen.

IT-Sicherheitsfirmen stoßen regelmäßig auf Schadsoftware, wenn sie von Unternehmen beauftragt werden, deren Netzwerke zu durchsuchen und abzusichern. Sie finden dabei Software, die für Rechner angepasst wurde, binary genannt - nur Experten können sie in mühevoller Arbeit entziffern. In der Mail mit der Zip-Datei enthalten sind jedoch die konkreten Befehle, quasi eine Bedienungsanleitung, die die Spionagesoftware detailliert erklärt und leichter lesbar ist.

Den Quelltext haben die Experten aus Sicherheitsgründen nur in Auszügen veröffentlicht. Schließlich handelt es sich um ein professionelles Werkzeug, um Menschen auszuhorchen. X-Agent besteht demzufolge aus 18 000 Programmierzeilen. Unabhängig von Eset haben Hacker aus der Ukraine der SZ Teile von X-Agent zukommen lassen. Die Hacker nennen sich wahlweise The Cyber Alliance oder Ruh8 (Ruhate), also "Hass auf Russland". Eset bestätigt, dass es sich dabei um dieselbe Software handelt.

Solche Software findet man nur sehr selten im Quelltext. Außer Eset und den ukrainischen Hackern besitzt derzeit niemand X-Agent in dieser Version. Zumindest gibt es öffentlich niemand zu.

Die Hacker waren offenbar nachlässig

IT-Sicherheitsforscher des Antivirenherstellers Eset fanden den gesamten Quelltext von X-Agent zufällig auf einem Server. Offenbar waren die Hacker nachlässig und passten nicht gut auf ihre Spionage-Werkzeuge auf. In einem Bericht beschreiben die Forscher APT28 und die Vorgehensweise der Hacker. APT steht für advanced persistent threat - eine Bedrohung, die fortgeschritten ist, sich beharrlich in Netzwerken festsetzt und nur schwer loszuwerden ist.

Wie also gehen Experten und Behörden damit um, dass russische Hacker anscheinend gepatzt haben - und ihren Gegenspielern durch ihre Sorglosigkeit unfreiwillig Einblick in ihre Angriffstechnik geben?

Die Schadsoftware kann Eset zufolge je nach Zielperson unterschiedliche Angriffe ausführen. Die Hacker übernehmen zum Beispiel Rechner aus der Ferne oder schneiden Tastatureingaben mit.

"Nicht der schönste Code unter der Sonne"

Das Programm "wird bei Zielpersonen abgesetzt, wenn Angreifer sie während einer ersten Ausspähung für interessant genug halten", schreiben die Fachleute von Eset in ihrem Bericht. Die Hacker kommunizieren über einen sogenannten Command-and-Control-Server mit X-Agent. Über diesen laden die Hacker Schadsoftware nach, um Ziele auszuspionieren und empfangen Informationen.

"Das ist nicht der schönste Code unter der Sonne", sagt Andreas Bogk, IT-Sicherheitsforscher des Chaos Computer Clubs (CCC), "er ist aber auch nicht furchtbar schlimm. Er ist zweckmäßig, modular aufgebaut und tut genau das, was er tun soll." Hacker versuchen immer, möglichst effektiv zu arbeiten.