Deutsches Regierungsnetz: Hacker nicht von APT28 - "Snake" war's

Die Ermittlungen hätten ergeben, dass es sich bei den Cyber-Spionen vermutlich nicht um die zunächst verdächtigte Gruppe „ APT28“ handle. Die mutmaßlich russische Cyber-Spionagegruppe „Snake“ ist schon seit dem Jahr 2005 aktiv. Nach einer Analyse des Antivirus-Spezialisten Kaspersky handelt es sich um eine der komplexesten laufenden Cyberspionage-Kampagnen. Sie ist auch unter den Namen „Turla“ oder „Uruburos“ bekannt. „Snake“ habe vor allem Regierungsbehörden (Innenministerium, Wirtschaftsministerium, Außenministerium, Geheimdienste) im Visier, aber auch Botschaften, Militäreinrichtungen, Forschungs- und Bildungsorganisationen sowie Pharmazieunternehmen.

Bei ihren Angriffen versuchen die Hacker ihre Opfer durch sogenannte Watering-Hole-Attacken zu infizieren. Dazu spähen die Spione zunächst Webseiten aus, die von den Opfern potenziell von Interesse sind. Bei der Verwaltungshochschule sollen das Webseiten mit Fernstudien-Kursen gewesen sein. Mit gefälschten E-Mails werden dann die Opfer auf einen manipulierten Webserver umgeleitet, der dem Original zum Verwechseln ähnlich sieht. Auf diesem Weg werden dann beim Opfer die Rechner infiziert. Somit können auch sogenannte Keylogger installiert werden, die jede Tastatureingabe aufzeichnen und an die Angreifer weiterleiten.