Die gefährliche Software im Mail-Postfach ist klein, 12 Kilobyte als Zip-Datei. Wer sie öffnet, findet Ordner, die "Remote Shell" und "Keylogger" heißen. Mit ihnen kann aus der Ferne auf den Rechner zugegriffen und aufgezeichnet werden, was die Person am Computer über die Tastatur eingibt. Es sind unverzichtbare Werkzeuge für einen Hacker-Angriff.
Mit der kleinen Datei sind Teile von Spionagesoftware an die Öffentlichkeit gelangt, die den Elite-Hackern von APT28 zugerechnet wird. Das ist jene Gruppe, die nach Einschätzung vieler IT-Sicherheitsfirmen und Geheimdienste unter anderem hinter den Angriffen auf die demokratische Partei in den USA steckt. Die Veröffentlichung interner Dokumente der Demokraten gilt US-Geheimdiensten als ein Grund für Donald Trumps Wahlsieg. Auch der Angriff auf den Deutschen Bundestag im Mai 2015 wird auf APT28 zurückgeführt. Bei diesem Angriff gelangten die Hacker an einen riesigen Datensatz - 16 Gigabyte. Bis heute ist unklar, wie heikel die erbeuteten Daten sind.
IT-Sicherheitsforscher haben die Angriffs-Software für die Süddeutsche Zeitung analysiert. Die Gespräche mit ihnen und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigen, wie Sicherheitsfirmen, Behörden und Geheimdienste versuchen, Hackergruppen auf die Schliche zu kommen. Sie zeigen auch, warum es so schwierig ist, einen Nationalstaat eindeutig mit einem Angriff in Verbindung zu bringen.
Software mit Bedienungsanleitung
Die Spionagesoftware heißt X-Agent. Teile des Quelltexts und damit der detaillierte Aufbau der Spionage-Software liegen der SZ vor. Elite-Hacker verwenden für ihre Angriffe oft Werkzeuge, die sie selbst entwickelt und getestet haben. Da in solchen Fällen niemand außer ihnen diese Software einsetzen kann, können Forscher aus dem Programm Rückschlüsse auf die Hacker ziehen.
IT-Sicherheitsfirmen stoßen regelmäßig auf Schadsoftware, wenn sie von Unternehmen beauftragt werden, deren Netzwerke zu durchsuchen und abzusichern. Sie finden dabei Software, die für Rechner angepasst wurde, binary genannt - nur Experten können sie in mühevoller Arbeit entziffern. In der Mail mit der Zip-Datei enthalten sind jedoch die konkreten Befehle, quasi eine Bedienungsanleitung, die die Spionagesoftware detailliert erklärt und leichter lesbar ist.
Den Quelltext haben die Experten aus Sicherheitsgründen nur in Auszügen veröffentlicht. Schließlich handelt es sich um ein professionelles Werkzeug, um Menschen auszuhorchen. X-Agent besteht demzufolge aus 18 000 Programmierzeilen. Unabhängig von Eset haben Hacker aus der Ukraine der SZ Teile von X-Agent zukommen lassen. Die Hacker nennen sich wahlweise The Cyber Alliance oder Ruh8 (Ruhate), also "Hass auf Russland". Eset bestätigt, dass es sich dabei um dieselbe Software handelt.
Solche Software findet man nur sehr selten im Quelltext. Außer Eset und den ukrainischen Hackern besitzt derzeit niemand X-Agent in dieser Version. Zumindest gibt es öffentlich niemand zu.
Die Hacker waren offenbar nachlässig
IT-Sicherheitsforscher des Antivirenherstellers Eset fanden den gesamten Quelltext von X-Agent zufällig auf einem Server. Offenbar waren die Hacker nachlässig und passten nicht gut auf ihre Spionage-Werkzeuge auf. In einem Bericht beschreiben die Forscher APT28 und die Vorgehensweise der Hacker. APT steht für advanced persistent threat - eine Bedrohung, die fortgeschritten ist, sich beharrlich in Netzwerken festsetzt und nur schwer loszuwerden ist.
Wie also gehen Experten und Behörden damit um, dass russische Hacker anscheinend gepatzt haben - und ihren Gegenspielern durch ihre Sorglosigkeit unfreiwillig Einblick in ihre Angriffstechnik geben?
Die Schadsoftware kann Eset zufolge je nach Zielperson unterschiedliche Angriffe ausführen. Die Hacker übernehmen zum Beispiel Rechner aus der Ferne oder schneiden Tastatureingaben mit.
"Nicht der schönste Code unter der Sonne"
Das Programm "wird bei Zielpersonen abgesetzt, wenn Angreifer sie während einer ersten Ausspähung für interessant genug halten", schreiben die Fachleute von Eset in ihrem Bericht. Die Hacker kommunizieren über einen sogenannten Command-and-Control-Server mit X-Agent. Über diesen laden die Hacker Schadsoftware nach, um Ziele auszuspionieren und empfangen Informationen.
"Das ist nicht der schönste Code unter der Sonne", sagt Andreas Bogk, IT-Sicherheitsforscher des Chaos Computer Clubs (CCC), "er ist aber auch nicht furchtbar schlimm. Er ist zweckmäßig, modular aufgebaut und tut genau das, was er tun soll." Hacker versuchen immer, möglichst effektiv zu arbeiten.
"Sehr schwaches Beweismittel"
Die Eset-Forscher betonen, dass die X-Agent-Schadsoftware alleine nicht ausreiche, um den Angriff auf APT28 zurückzuführen: "Das wäre ein sehr schwaches Beweismittel." Auch Bogk vom CCC sagt: "Es ist nun einfacher geworden, APT28 nachzumachen."
Das BSI beschreibt einen APT-Angriff, der in mehreren Stufen abläuft. Demnach wird das Opfer erst ausgekundschaftet, dann sein Netzwerk infiziert und ausgespäht. Die Täter hangeln sich von Netzwerk zu Netzwerk, sammeln dabei Informationen ein und schicken sie an ihren eigenen Server. So wie ein Bankräuber einen Ort braucht, an dem er sein Geld verstecken kann, so brauchen Hacker einen Ort, an den sie ihre Informationen lagern. Die Daten sind nun in fremden Händen. Im letzten Schritt verwischen die Angreifer ihre Spur, in dem sie zum Beispiel die Software wieder aus den attackierten Netzwerken entfernen.
Informationen über Hackergruppen werden jahrelang gesammelt
Doch der Quelltext der Schadsoftware ist nur einer von 16 Faktoren, die aus Sicht des BSI bei Angriffen eine Rolle spielen. Die Behörde analysiert zum Beispiel auch Informationen über die Server, an die Hacker ihre erbeuteten Daten schicken, die über Jahre gesammelt wurden.
Wären die Daten des Bundestag-Hacks isoliert gesammelt worden, wären die Infos nicht belastbar gewesen. Erst in der Summe ist das Netz der Informationen engmaschig genug, um Angriffe einem Akteur zuzuschreiben. APT28 wird von manchen IT-Sicherheitsfirmen bereits seit zehn Jahren beobachtet. Über die Gruppe sind mehr als 20 Berichte von Fachleuten erschienen.
Die Analysten hoffen, dass diese Fülle an Material es ihnen ermöglicht, Attacken unter falscher Flagge zu erkennen. Denn Hacker, die nichts mit APT28 zu tun haben, könnten nun versuchen, falsche Spuren zu legen und ihre Identität zu verschleiern. Da sie nun Quelltext und binary besitzen, ist die Wahrscheinlichkeit höher, dass diese falschen Spuren Ermittler nach einem Angriff in die Irre führen. Bogk sagt: "Wenn man einen guten Einblick in Angriffe von APT28 hat, also über Jahre hinweg ihre Schadsoftware analysiert, kann man sehr gut sagen, ob das aus einer Quelle kommt oder ob jemand nur so tut, als ob er APT28 wäre."
Warum setzen Hacker auf Methoden, die längst bekannt sind?
Doch Hacker-Angriffe verlaufen in mehreren Phasen. Spionage-Software wie X-Agent ist nur eine Zwischenphase. Mit dem Quelltext ließe sich nur diese eine Software fälschen. "Es ist weiterhin relativ schwierig, eine komplette Attacke zu simulieren, die echt aussieht," sagt Bogk.
Doch warum setzen Hacker auf Methoden, die längst bekannt sind? Weil die Verteidigung gegen sie nach wie vor nicht funktioniert: "Die Angriffe sind sehr erfolgreich. Es gibt also keinen Grund für die Angreifer, sie nicht weiter zu verwenden", sagt ein Sprecher des BSI. Der Großteil ihrer Infrastruktur, also zum Beispiel Command-and-Control-Server, funktioniere und bleibe stabil. Der Verfassungsschutz steht im Austausch mit IT-Sicherheitsfirmen, die APT-Gruppen beobachten, und mit anderen Nachrichtendiensten, zum Beispiel aus Israel, Großbritannien und Frankreich.
Angriffe könnten strategischen Interessen Russlands dienen
Firmen und Behörden, die die Angriffe analysieren, veröffentlichen nur einen Bruchteil ihrer Informationen. Denn die Hacker passen ihre Taktiken an die Erkenntnisse der Verteidiger an, wenn diese bekannt werden.
Neben all den technischen Details analysieren Fachleute, wem ein Angriff strategisch nutzen könnte. Sieht man sich die Ziele der APT28-Angriffe in den bislang veröffentlichten Berichten an, ist das in diesem Fall: Russland. Denn die Gruppe hackte demnach russische Dissidenten, ukrainische Polizeichefs, NATO-Mitglieder und die OSZE.
Die ukrainischen Hacker, die der SZ Schadsoftware zukommen ließen, gehen davon aus, dass die Angreifer nicht nur für Spionage zuständig sind: "Wir konnten beobachten, dass die Command-and-Control-Server zeitgleich für Cyberkriminalität eingesetzt wurden." Das BSI bezweifelt, dass exakt die gleichen Ressourcen sowohl für Kriminalität als auch für Spionage verwendet werden. Die Behörde schließt aber nicht aus, dass die Täter mit anderer Schadsoftware auch ganz unpolitische Verbrechen begehen, um an Geld zu kommen.
Hacker entwickeln X-Agent weiter
Diese Einschätzung ist wichtig, weil sich direkt eine Frage anschließt: Warum sollten Hacker, die im Staatsauftrag unterwegs sind, Gegner nach finanziellen Gesichtspunkten auswählen? Deutsche Behörden gehen davon aus, dass es sich bei den russischen Hackern um Söldner handelt. Das heißt, sie werden nicht von einem Staat angestellt, sondern für Aufträge eingekauft.
Mittlerweile gibt es den Eset-Forschern zufolge bereits eine Nachfolgerversion von X-Agent. Dieser Quelltext bleibt ein Geheimnis und wird ausschließlich von APT28 eingesetzt. Die Hacker entwickeln sich weiter. Ihre Werkzeuge behalten sie gerne für sich.
