IT-Sicherheit:"Sehr schwaches Beweismittel"

Die Eset-Forscher betonen, dass die X-Agent-Schadsoftware alleine nicht ausreiche, um den Angriff auf APT28 zurückzuführen: "Das wäre ein sehr schwaches Beweismittel." Auch Bogk vom CCC sagt: "Es ist nun einfacher geworden, APT28 nachzumachen."

Das BSI beschreibt einen APT-Angriff, der in mehreren Stufen abläuft. Demnach wird das Opfer erst ausgekundschaftet, dann sein Netzwerk infiziert und ausgespäht. Die Täter hangeln sich von Netzwerk zu Netzwerk, sammeln dabei Informationen ein und schicken sie an ihren eigenen Server. So wie ein Bankräuber einen Ort braucht, an dem er sein Geld verstecken kann, so brauchen Hacker einen Ort, an den sie ihre Informationen lagern. Die Daten sind nun in fremden Händen. Im letzten Schritt verwischen die Angreifer ihre Spur, in dem sie zum Beispiel die Software wieder aus den attackierten Netzwerken entfernen.

Informationen über Hackergruppen werden jahrelang gesammelt

Doch der Quelltext der Schadsoftware ist nur einer von 16 Faktoren, die aus Sicht des BSI bei Angriffen eine Rolle spielen. Die Behörde analysiert zum Beispiel auch Informationen über die Server, an die Hacker ihre erbeuteten Daten schicken, die über Jahre gesammelt wurden.

Wären die Daten des Bundestag-Hacks isoliert gesammelt worden, wären die Infos nicht belastbar gewesen. Erst in der Summe ist das Netz der Informationen engmaschig genug, um Angriffe einem Akteur zuzuschreiben. APT28 wird von manchen IT-Sicherheitsfirmen bereits seit zehn Jahren beobachtet. Über die Gruppe sind mehr als 20 Berichte von Fachleuten erschienen.

Die Analysten hoffen, dass diese Fülle an Material es ihnen ermöglicht, Attacken unter falscher Flagge zu erkennen. Denn Hacker, die nichts mit APT28 zu tun haben, könnten nun versuchen, falsche Spuren zu legen und ihre Identität zu verschleiern. Da sie nun Quelltext und binary besitzen, ist die Wahrscheinlichkeit höher, dass diese falschen Spuren Ermittler nach einem Angriff in die Irre führen. Bogk sagt: "Wenn man einen guten Einblick in Angriffe von APT28 hat, also über Jahre hinweg ihre Schadsoftware analysiert, kann man sehr gut sagen, ob das aus einer Quelle kommt oder ob jemand nur so tut, als ob er APT28 wäre."

Warum setzen Hacker auf Methoden, die längst bekannt sind?

Doch Hacker-Angriffe verlaufen in mehreren Phasen. Spionage-Software wie X-Agent ist nur eine Zwischenphase. Mit dem Quelltext ließe sich nur diese eine Software fälschen. "Es ist weiterhin relativ schwierig, eine komplette Attacke zu simulieren, die echt aussieht," sagt Bogk.

Doch warum setzen Hacker auf Methoden, die längst bekannt sind? Weil die Verteidigung gegen sie nach wie vor nicht funktioniert: "Die Angriffe sind sehr erfolgreich. Es gibt also keinen Grund für die Angreifer, sie nicht weiter zu verwenden", sagt ein Sprecher des BSI. Der Großteil ihrer Infrastruktur, also zum Beispiel Command-and-Control-Server, funktioniere und bleibe stabil. Der Verfassungsschutz steht im Austausch mit IT-Sicherheitsfirmen, die APT-Gruppen beobachten, und mit anderen Nachrichtendiensten, zum Beispiel aus Israel, Großbritannien und Frankreich.

Zur SZ-Startseite

Lesen Sie mehr zum Thema