Für Donald Trumps Verhältnisse ist es schon fast ein Geständnis. Als der zukünftige Präsident der Vereinigten Staaten am Mittwoch mit typischem Tamtam vor die Presse tritt, sagt er: „Wenn es um das Hacking geht, das war Russland.“ Trump blieb aber auch bei der Behauptung, sein baldiger Amtskollege Vladimir Putin hätte ihn mit den gestohlenen Informationen keinesfalls ins Amt bringen wollen. Fragen zu bisherigen Kontakten zwischen ihm und Putin beantwortete Trump nicht, stattdessen ging er auf die Berichterstatter von BuzzFeed los – „eine Schande“ – und verglich die Arbeit der US-Geheimdienste mit Methoden aus Nazi-Deutschland.
Trotz all dieser Nebelkerzen, jetzt musste sogar Trump öffentlich anerkennen: Die berüchtigte Hacker-Gruppe APT28, auch bekannt als Sofacy Group oder Fancy Bear, handelt im Auftrag des Kremls. Experten sehen das schon lange als als erwiesen an, und auch die Motivlage sprach schon länger für eine Verbindung. Eines der größten Sicherheitsunternehmen der USA, Fireeye, hat einen Bericht über die genaue Vorgehensweise der Hacker-Gruppe veröffentlicht.
Das Unternehmen bestätigt die Geheimdienstberichte der vergangenen Woche. „APT28 ist dafür bekannt, Opfer dazu zu verleiten, ihre Zugangsdaten in nachgemachte Seiten einzugeben“, heißt es in dem Report. Darunter seien auch US-Politiker und Beamte. Die Hacker seien mit hoher Wahrscheinlichkeit in der Lage gewesen „Zugang zu bekommen, und Inhalte von mehreren führenden Parteimitgliedern zu stehlen“. Diese unter anderem vom Democratic National Committee gestohlenen Daten wurden dann in der Öffentlichkeit platziert.
Unterschiedliche Angriffsvektoren
APT28 nutzte dazu drei unterschiedliche Angriffsvektoren. Zum einen sogenanntes Spear Fishing. Dabei beobachtet der Hacker sein Opfer und sendet ihm dann eine E-Mail, die von einem Bekannten zu stammen scheint. Dokumente oder Links innerhalb der Mail installieren bei Klicken Malware auf dem Zielrechner. Die zweite Angriffsart funktioniert über infizierte Iframes, also HTML-Elemente auf Websites, über die sich ebenfalls eine Schadsoftware auf einem Rechner installiert. Zuletzt nutzte APT28 auch immer wieder Sicherheitslücken in Netzwerken, die zwar bekannt sind, aber oft noch nicht ausgebessert wurden.
„Die Gruppe nutzt eine Malware mit Features, die für andauernde Operationen gedacht sind“, heißt es im Fireeye-Report. Erst werden die Exploits über die genannten Wege installiert, dann schaffen die Programmierer in den infizierten Netzwerken eine sogenannte Shell, also eine Arbeitsumgebung, über die sie größer angelegte Software-Einbrüche durchführen. Das braucht Zeit und Geld – Ressourcen, wie sie nur große Organisationen oder Staaten zu Verfügung stellen können. Etwa müssen die Angreifer sich ausführlich mit der Analyse ihrer Ziel-Netzwerke beschäftigen. Es scheint passend, dass auch Fireeye feststellt, dass APT28 vor allem während der russischen Arbeitszeiten aktiv war. Die Gruppe nutzte auch unbekannte Sicherheitslücken für ihre Angriffe, etwa im Flash Player, in Java oder Windows.
„Kein kleines Team“
Diese doch sehr genauen Eindrücke von der Arbeit und Ausstattung der Gruppe machten es wohl auch Donald Trump am Ende unmöglich, den Kreml weiter öffentlich als Auftraggeber auszuschließen. Ein „Vielleicht war es doch China“ konnte er sich auf der Pressekonferenz am Mittwoch dennoch nicht verkneifen. Gegenüber WIRED UK sagt der Sicherheitsexperte Chris Porter, der APT28 schon lange beobachtet, jedoch: Die Gruppe operiere „auf einem höheren Level“ und bereite sich besser auf ihre Angriffe vor, als die staatlichen Hacker Chinas.
Zu den Angreifern gehören nach Porters Einschätzung nicht nur die Hacker selbst, sondern ganze Entwicklerteams und Organisatoren. „Das ist kein kleines Team“, sagt er. Trump hat versprochen, die Bedrohung durch Hacker-Angriffe zu unterbinden. Nach seinen beleidigenden Äußerungen wird der President Elect seine Geheimdienste und Sicherheitsexperten allerdings nicht unbedingt hinter sich wissen können.
