Russische Spur beim Cyberangriff auf LINKE
Hackergruppe Sofacy unter Verdacht
Die Linksfraktion hat den Angriff auf ihre IT-Infrastruktur von einem Experten untersuchen lassen. Demnach könnten russische Hacker hinter der Aktion stehen. Sicher ist das aber nicht.
Der Hackerangriff auf den Bundestag war folgenschwer und galt auch der Linksfraktion, bei der zwei Server mit Schadsoftware infiziert wurden. Die Fraktion beauftragte deshalb den italienischen IT-Sicherheitsforscher Claudio Guarnieri mit einer Analyse der Attacke. Eigenschaften der Hackerwerkzeuge und die Erkenntnisse über die dabei genutzte Server-Infrastruktur legen demnach nahe, dass »der Angriff von einer staatlich unterstützten Gruppe namens Sofacy (oder APF28) stammt«, heißt es in dem am Freitag veröffentlichten Untersuchungsbericht von Guarnieri. Allerdings: Wenn der italienische Trojaner-Spezialist die Muster russischer Hacker kennt, dann verfügen auch die US-amerikanische NSA und der britische GCHQ über diese Informationen. Eine »False-Flag-Operation« könne nicht ausgeschlossen werden, so der IT-Chef der Linksfraktion, Frank Sturm. Zumal der genutzte Zielserver in Pakistan einem Provider gehört, der seine Dienste diversen kriminellen Banden zur Verfügung stellt.
Zumindest die Amerikaner haben Sofacy schon seit längerem im Visier. In einem »Special Report« des US-Sicherheitsunternehmens FireEye aus dem Jahre 2014 kommen die Autoren zu dem Schluss, dass die Gruppe »Insiderinformationen über Regierungen, Militär und andere Organisationen stiehlt, die der russischen Regierung nützen«. So ganz neutral ist FireEye aber auch nicht: Der Geheimdienst CIA ist an der Firma beteiligt.
Fakt ist, der Angriff auf die LINKE hat stattgefunden. Am 6. Mai wurde das Schadprogramm aktiv und am 8. Mai entdeckt. Ob in der Zwischenzeit Daten abgezogen wurden, könne man nicht ausschließen, so IT-Experte Frank Sturm. Nachweise dafür habe man aber nicht gefunden. Dafür weiß man nun, dass die entdeckte Schadsoftware »aus zwei Teilen bestand«, wie Fraktionsgeschäftsführer Volker Schneider sagte. Diese ermöglichte es den Hackern, auf das Netzwerk zuzugreifen, Dateien abzuziehen und Rechner fernzusteuern. So sollte die Software etwa alle ab dem 1. Mai erstellten docx-Dokumente einsammeln, also alle Schriftstücke, die im Dateiformat des Textverarbeitungsprogramms Word abspeichert wurden. Schneider unterstrich, man könne nicht mit Sicherheit sagen, ob es sich um den gleichen Angriff wie bei der Bundestags-IT handele. Zumindest aber gebe es »erhebliche Ähnlichkeiten«. Zudem hätten die Angriffe im gleichen Zeitraum stattgefunden.
Derweil meldete die Nachrichtenagentur dpa, dass der Cyberangriff auf den Bundestag schon vor einem halben Jahr begonnen haben soll. Anfangs hätten die Angreifer unverdächtige E-Mails verschickt, in deren Anhängen nur Teile des Trojaners verborgen waren. Später sollen weitere Mails mit den fehlenden Teilen eingetroffen sein. Schließlich setzte sich das Schadprogramm nach Art eines Puzzles selbst zusammen und wurde aktiv.