Wer IT-Sicherheitsexperten auf die Hackergruppe "Turla" anspricht, erhält unisono einen Satz wie diesen zur Antwort: "Das ist eine der technisch besten und am weitesten entwickelten Gruppen , die russischen Nachrichtendiensten zugeordnet wird." Es ist auch jene Einheit, die nun in das Netz der Regierung eingedrungen sein soll. Zumindest geht man in Sicherheitskreisen davon aus.
Einen Hack einem bestimmten Angreifer zuzuordnen und vielleicht sogar dessen Auftraggeber zu bestimmen, nennen Fachleute Attribution. Sie ist in vielen Fällen sehr schwierig. Im Fall von Turla gehen Sicherheitsexperten und Geheimdienste nach den ersten Prüfungen davon aus, dass die Gruppe im Auftrag des russischen Staates agiert. Der Geheimdienst des Nachbarlandes Estland geht sogar so weit, Turla direkt mit dem russischen Geheimdienst FSB in Verbindung zu bringen.
Was die Hacker der Turla-Gruppe auszeichnet, sind sowohl kreative Wege, um Daten unbemerkt aus Netzwerken zu schleusen, als auch ein prall gefüllter digitaler Werkzeugkasten, der modular eingesetzt wird. In das Netzwerk hinein nimmt sie wohl nur, was auch tatsächlich für das entsprechende Betriebssystem benötigt wird , das auf den Zielrechnern eingesetzt wird.
Die Sicherheitsbehörden beobachteten den Angriff auf das Netz der Bundesbehörden über längere Zeit, um Informationen zu gewinnen. Hinter der Attacke soll die russische Gruppe "Snake" stecken.
"Immer eine Hand am Stecker"
Die Bundesregierung ließ die Hacker monatelang gewähren - hatte jedoch nach eigenen Angaben " immer eine Hand am Stecker gehabt", um die Aktion notfalls abzubrechen.
Die Süddeutsche Zeitung hat mit fünf IT-Sicherheitsexperten gesprochen, die mit der Turla-Gruppe vertraut sind. Sei es, weil die Hacker sich derzeit in ihren Netzwerken befinden oder weil sie diese Hacker noch bis zum Jahr 2014 aus den Netzwerken von betroffenen Firmen aus Deutschland entfernt haben. Bis auf eine Person haben alle um Anonymität gebeten.
Einer von ihnen äußerte am Mittwochabend zunächst Zweifel, als zunächst eine andere Hackergruppe - APT28 - als mögliche Tatverdächtige kursierten: "Die schaffen es niemals, monatelang unentdeckt in einem Netzwerk zu bleiben", sagte die Person. Zu "laut" seien die Hacker von APT28, also technisch zu schlecht.
Turla betreibe "klassische nachrichtendienstliche Aufklärung", erzählt einer der Experten, das heißt: Spionage. Zu ihren Opfern gehören neben einem Dax-30-Konzern auch das Schweizer Rüstungsunternehmen Ruag und Botschaften.
Über Jahre hinweg versteckt
Ziel von Turla sei, möglichst lange unentdeckt zu bleiben und in dieser Zeit Informationen zu sammeln. "Wenn sie erst einmal in einem Netzwerk sind, lassen sie sich Zeit, um die Umgebung genau auszukundschaften, bis sie die Informationen gefunden haben, die sie wollen", sagt Maarten van Dantzig, der als IT-Sicherheitsexperte für die niederländische Firma Fox-IT arbeitet. Diese Firma hat hochkarätige Hacker-Angriffe enttarnt. Es habe durchaus Fälle gegeben, in denen Turla sich über Jahre hinweg in Netzwerken versteckt habe, erzählt ein weiterer Experte.
Ihre Schadsoftware hätten sie über die Jahre hinweg weiterentwickelt. Sie lasse sich aber auf Varianten zurückverfolgen, die bereits im Jahr 2006 zum Einsatz gekommen seien. Damit wäre die Gruppe seit mindestens zwölf Jahren aktiv.
"Wir untersuchen gerade einen Vorfall, bei dem die Angreifer bereits vor Jahren in unser Netzwerk eingedrungen sind", sagt einer der IT-Sicherheitsexperten. Die Infrastruktur - also jene Orte im Netz, die Angreifer kontrollieren und an die sie die erbeuteten Daten schicken - von damals werde auch heute noch verwendet, bei Angriffen, die derzeit laufen.
Ausgetüftelte Taktik
Zur gleichen Zeit, als Hacker der NSA per USB-Stick den Stuxnet-Virus in iranische Atomanalagen einschleusten, habe Turla ganz ähnliche Strategien entwickelt, um an Rechner zu gelangen, die nicht mit dem Internet verbunden sind.
Die Hacker hinter Turla dachten sich ein ausgetüfteltes System aus: In gesicherten Netzwerken sind Rechner vom Internet getrennt. Sie sind aber nicht vom Intranet getrennt. Das nutzen die Angreifer aus. Rechner mit Internet-Verbindung dienen als eine Art Brückenkopf hin zu Rechnern ohne diese Verbindung. Infizieren die Hacker einen von diesen, übergibt er die gewünschten Daten erst an die weniger gesicherten Computer. Die senden sie dann ins freie Netz weiter. Fällt ein infizierter Rechner im gesicherten Bereich auf, bleiben die infizierten Rechner mit Internetzugang passiv, die Verbindung der Einbrecher nach draußen unentdeckt.
Am bekanntesten ist der Angriff, in dem Turla erbeutete Daten über einen Satelliten schickte anstatt über reguläre Server im Netz. Die Daten strahlten sie verschlüsselt über einem Kontinent ab, auf dem irgendwo eine zwei Meter kleine Satellitenschüssel stand, die sie auffing und entschlüsselte. "Das ist genial, weil man nicht weiß, wer der Empfänger ist." Bei konventionellen Datenwegen können Nachrichtendienste den Server vom Netz nehmen und analysieren. Aber Satelliten-Verbindungen sind deutlich anonymer. Hacker, die sie benutzen, bleiben unerkannt.
