Online-Sicherheit
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Die Hackergruppe Snake ist auch unter dem Namen Turla bekannt. bild: shutterstock

Hackergruppe Snake: Vor diesen Elite-Hackern ist kein Land der Welt sicher

Die Gruppe Snake soll das deutsche Regierungsnetz angegriffen haben. Die Profi-Hacker werden mit Russland in Verbindung gebracht. Doch was heisst das schon angesichts ihrer Fähigkeiten im Tarnen und Täuschen?

Patrick Beuth, Matthias Gebauer / spiegel online



Ein Artikel von

Spiegel Online

Vor dieser Schlange haben sie alle eine gewisse Ehrfurcht: Snake alias Turla gilt für Nachrichtendienste wie auch IT-Experten als herausragende Hackergruppe, ihre Spionagewerkzeuge gehören zu den fortschrittlichsten und komplexesten, die je analysiert wurden. Das Bundesamt für Verfassungsschutz und auch Estlands Geheimdienst gehen davon aus, dass die Gruppe vom russischen Staat beziehungsweise vom Geheimdienst FSB unterstützt wird.

Dass die Gruppe für den nun bekannt gewordenen Angriff auf das deutsche Regierungsnetz IVBB verantwortlich sein soll, wie es aus Sicherheitskreisen heisst, ist nicht bewiesen und wird vielleicht auch nie beweisbar sein. Aber es würde zumindest zur Historie der Schlange passen.

Spuren führen zurück ins Jahr 1998

Die beginnt im Jahr 1998, mit der geradezu legendären Spionagekampagne Moonlight Maze gegen das Pentagon. Das US-Verteidigungsministerium wurde mindestens zwei Jahre lang nach allen Regeln der damaligen Hackerkunst ausspioniert. Dass Russland hinter dem Angriff steckte, davon waren die USA damals schon überzeugt.

Erst im vergangenen Jahr jedoch, also 19 Jahre nach Bekanntwerden des Angriffs, stellten das IT-Sicherheitsunternehmen Kaspersky Lab und der deutsche Professor Thomas Rid eine Verbindung zwischen Moonlight Maze und aktueller Malware her, die Turla zugeschrieben wird. Die Gruppe setzt demnach bis heute Teile des uralten Codes ein, in einer weiterentwickelten Version.

2008 soll die Gruppe mit der Malware Agent.BTZ das US-Militär gehackt und dabei Zugriff auch auf als geheim eingestufte Unterlagen gehabt haben. Eingeschleust wurde die Spionagesoftware in einer Militärbasis im Nahen Osten über einen infizierten USB-Stick auf einen Laptop, von wo aus sie sich ausbreitete. Fast 14 Monate brauchte das Pentagon damals, um seine Systeme von Agent.BTZ zu säubern.

Spuren in der Schadsoftware deuteten darauf hin, dass die Programmierer Russisch sprechen, Teile des Codes wurden ausserdem aus früheren Angriffen wiedererkannt, die ebenfalls einen russischen Hintergrund gehabt haben sollen. Wie so oft in solchen Fällen waren es Indizien, aber keine handfesten Belege.

Die Wiederverwertung und Weiterentwicklung von Code zieht sich wie ein roter Faden durch die Geschichte von Turla. Gewisse Ähnlichkeiten zu Agent.BTZ wurden zum Beispiel in Uroburos sichtbar, einer 2014 entdeckten, ungemein raffinierten Spionagesoftware, mit der Ministerien, Geheimdienste, Botschaften, Forschungsinstitute und Unternehmen in aller Welt infiziert wurden.

Geradezu eleganter Schadcode

Das deutsche Softwareunternehmen G Data hatte Uroburos damals nach der Schlange aus der griechischen Mythologie benannt und untersucht. Es sei «eine extrem hochentwickelte und komplexe Schadsoftware», befanden die Analysten damals, und «bei dem Entwicklerteam hinter dieser Schadsoftware handelt es sich offensichtlich um sehr gut ausgebildete Computerexperten».

Ralf Benzmüller, einer der Spezialisten von G Data, glaubt nicht, dass sich daran bis heute etwas geändert hat: «Die arbeiten am Limit», sagt er. Angesichts ihrer Professionalität würde er «von einem Dienstleister ausgehen, einer Art Firma». Zugleich betont er, dass dies eine Spekulation sei.

«Snake, das sind die Filigrantechniker zwischen vielen Grobmotorikern.»

Ihr Code zeige sogar «eine gewisse Form von Eleganz», meint Benzmüller, jedenfalls im Vergleich zur Malware chinesischer Spione oder der von anderen mutmasslich von Russland unterstützten Gruppen wie APT 28. 

So raffiniert geht die Schlange vor

Zu den Spezialitäten von Snake gehöre die unbemerkte Ausleitung von Daten selbst aus Rechnern, die gar nicht am öffentlichen Internet hängen, sagt Benzmüller. Ausserdem sei die Gruppe extrem gut darin, ihren Code vor der Entdeckung etwa durch Sicherheitssoftware zu schützen.

Seine Beschreibung passt prinzipiell zu dem, was die deutschen Sicherheitsbehörden bisher über den Hack des Regierungsnetzes IVBB und speziell des Auswärtigen Amts wissen: Die dort entdeckte Spionagesoftware ist nach SPIEGEL-Informationen extrem komplex. Sie leitet nicht einfach grosse Datenmengen an einen Kontrollserver, sondern sucht gezielt nach Stichworten in Dokumenten sowie nach einzelnen Nutzern, die an den entsprechenden Themen arbeiten.

Offenbar hat die Malware nach dem Eindringen ins Netz zunächst gar nichts getan, sondern sich passiv verhalten, um nicht entdeckt zu werden. Als sie dann aktiv wurde, leitete sie ganze 240 Kilobyte an Daten aus - das ist so wenig, dass es kaum bemerkbar ist. Ohne den ersten Tipp, der von einem befreundeten Geheimdienst kam, wäre die Schlange im System möglicherweise nie entdeckt worden.

«Keine greifbaren Beweise»

Drei Dokumente, so viel steht nach SPIEGEL-Informationen fest, sollen abgeflossen sein. Alle drei haben einen Bezug zu Russland beziehungsweise zur Ukraine. Aber auch das beweist letztlich gar nichts. Benzmüller sagt, Spezialisten dieser Klasse könnten problemlos falsche Fährten legen: «Solche Leute können einem vormachen, was sie wollen.»

Kreml-Sprecher Dimitri Peskow sagte der Nachrichtenagentur Reuters zu den Berichten rund um den Angriff: «Wir nehmen mit Bedauern zur Kenntnis, dass alle Hackerangriffe in der Welt mit russischen Hackern in Verbindung gebracht werden.» Dafür gebe es aber «keine greifbaren Beweise».

Vielleicht muss Peskow aber auch gar nichts bedauern. Sven Herpig, Experte für Sicherheitsstrategien beim Thinktank Stiftung Neue Verantwortung, sagt, der Kreml profitiere von der medialen Darstellung der «fast schon magischen Fähigkeiten seiner Hacker». Das sei «eine riesige Machtprojektion».

Das Mekka der Hacker und Nerds

Hacker übernimmt die Kontrolle über selbstfahrendes Auto

abspielen

Video: srf

Das könnte dich auch interessieren:

Mehr als 70 Tote nach Zyklon «Idai» 

Link zum Artikel

Boeing 737 Max 8: Diese europäischen Airlines setzen ebenfalls auf die Unglücksmaschine

Link zum Artikel

«Er hatte keine Zeit für mich» – Streit zwischen Federer und Djokovic eskaliert

Link zum Artikel

Mein Abstieg in die Finsternis – Wie ich zur Katzenfrau wurde

Link zum Artikel

So ticken die Putinversteher

Link zum Artikel

Es lebe die Superheldin! Steckt euch euren «Feminismusscheiss» sonstwohin

Link zum Artikel

5 Elektroauto-Gerüchte im Check: Ein paar sind richtig, ein paar aber kreuzfalsch

Link zum Artikel

Hat das Parlament gerade unser Internet gerettet? – Es soll kein Zwei-Klassen-Netz geben

Link zum Artikel

Kevin Schläpfer – Oltens verpasste «Jahrhundert-Chance» und Langenthals «Anti-Anliker»

Link zum Artikel

«Vielleicht sind die Regeln einfach falsch» – VAR-Penalty sorgt für hitzige Diskussionen

Link zum Artikel

«Doping ist wie beim Hütchenspiel. Du weisst, dass es Betrug ist. Aber du spielst mit»

Link zum Artikel

Man liebt den Verrat, aber selten die Verräterin – nein, Galladé verdient Lob

Link zum Artikel

Der EHC Kloten, die Hockey-Titanic – so viel Talent, so miserabel trainiert und gecoacht

Link zum Artikel

Das Huber-Quiz! Heute mit einer Premiere!

Link zum Artikel

«Rape Day»: Gaming-Plattform bringt Vergewaltigungsgame raus – und löst Shitstorm aus

Link zum Artikel

Schär ist der beste Verteidiger in England – nach dem Supertor dreht sogar Shearer durch

Link zum Artikel

Warum die FDP (vielleicht) gerade unsere Beziehung zu Europa gerettet hat

Link zum Artikel

Erleuchtung für 190 Franken: Ist diese 17-Jährige die neue Uriella?

Link zum Artikel

10 Schauspieler, die ihre grössten Rollen nicht mehr leiden können

Link zum Artikel

Papst Franziskus – der Reformer, der keiner ist

Link zum Artikel

Stellt das Popcorn bereit: Trumps Anwalt Michael Cohen will auspacken

Link zum Artikel

Samsung hat das Galaxy Fold enthüllt, das unsere Smartphones für immer verändern könnte

Link zum Artikel

Im Juni wurde «The Beach» geschlossen – jetzt zeigt sich, wie gut dieser Entscheid war

Link zum Artikel

Warum der Schweizer Klubfussball auf dem absteigenden Ast ist

Link zum Artikel

5 Promi-Seitensprünge und ihre Ausgänge (und was diese Dame damit zu tun hat)

Link zum Artikel

9 Grafiken rund um das Elektroauto in der Schweiz

Link zum Artikel

Zwangsschulfrei wegen Masern: Schon 12 Fälle an Steiner-Schule – warum das kein Zufall ist

Link zum Artikel

Ihr spinnt! Wieso trinkt ihr im Restaurant kein Leitungswasser?

Link zum Artikel

Diese Schweizerin trug 365 Tage lang dasselbe Kleid

Link zum Artikel

Hinter den Kulissen von «Game of Thrones» haben sich alle lieb. Hier 15 Beweis-Bilder!

Link zum Artikel

Und jetzt: Die fiesen Sex-Fails der watson-User! 🙈

Link zum Artikel

Hier kommt ein Feel-Good-Dump für alle, die ein bisschen Aufmunterung gebrauchen können

Link zum Artikel

27 Sprüche, die zeigen, dass wir unbedingt auch Jahrbücher in den Schulen brauchen

Link zum Artikel

«Breaking Bad» kommt zurück – dazu die 10 besten Zitate von Jesse Pinkman

Link zum Artikel

Die Post lässt sich ein bisschen hacken – und macht sich zum Gespött der Hacker

Link zum Artikel

Sorry, aber wir müssen wieder über Trump und Faschismus reden

Link zum Artikel

«Eine Hure zu sein, war oft top», sagt Virginie Despentes aus Erfahrung

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

23
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
23Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • FrancoL 03.03.2018 22:26
    Highlight Highlight Ich staune nur noch. Da sind sich viele im klaren dass man nichts näheres weiss, dass man keine Zuordnungen machen kann. Und viele dieser Experten im Netz sehen ein Verschwörung gegen die Russen. OK das kann ich verstehen; man weiss nichts also sollte man die Russen nicht beschuldigen, auch klar.
    ABER wieso versucht man denn die Russen da rein zu waschen, wenn man denn nichts genaueres weiss? Wenn man die These aufstellt dass man nicht weiss, dann weiss man auch nicht wer es nicht sein kann!
    • zialo 04.03.2018 00:47
      Highlight Highlight Beides, Zweifel zu säen und Russland vor dem Westen in Schutz zu nehmen, ist russische Propaganda. Russland versucht Widerstand gegen ihre globalen geostrategischen Aktionen zu verhindern. Man stelle sich Schafe vor, die nicht erkennen sollen, dass ein hungriger Wolf unter ihnen ist.

      Vielen dieser Kommentarschreibern scheint ihre Manipulation nicht bewusst zu sein; aber Putins Russland finanziert die Mobilisierung nützlicher Internettrolle massiv. Siehe den aktuellen Beitrag des ARD Magazins Kontraste zur Gruppe Reconquista Germanica, die auch in der Schweiz Soziale Medien manipulieren.
    • Sebastian Wendelspiess 04.03.2018 09:04
      Highlight Highlight @francoL aber man erkennt doch irgendwann ein Muster... wenn immer reflexartig auf den gleichen gezeigt wird, wirkt man unglaubwürdig.
      Es gibt nichts reinzuwascchen, es gaht darum dass man Russland nicht immer provozieren sollte. Russland ist Atommacht, das endet irgendwann in Krieg.
    • Milchfisch 04.03.2018 12:05
      Highlight Highlight @zialo: Nur mal der neutralen Haltung wegen: Wäre denn nicht auch möglich, dass die Manipulation in die Gegenrichtung läuft - und wir uns traditionell zu stark an amerikanisch geprägter Berichterstattung orientieren? Schliesslich ist Manipulation die Aufgabe sowohl russischer als auch anderer Nachrichten-/Geheimdienste.
    Weitere Antworten anzeigen
  • IrWie 03.03.2018 22:24
    Highlight Highlight Mein gott🙄 Hat man so was ähnliches nicht schon bei anonymus gedacht und dann war schlussendlich doch nichts?

    Vielleicht irre ich mich ja
  • dmark 03.03.2018 22:19
    Highlight Highlight Das geht soweit, dass sich die einzelnen Geheimdienste irgend wann beim Datenklauen den Schadcode der anderen einfangen und sie sich somit untereinander infizieren. ;)
  • taisho-corer 03.03.2018 20:22
    Highlight Highlight „[...] Ohne den ersten Tipp, der von einem befreundeten Geheimdienst kam [...]“

    À la, wir sind zwar auch drin aber schaut mal was die Russen machen...
    • The Destiny // Team Telegram 03.03.2018 23:05
      Highlight Highlight Wie die Israelis beim Kaspersky hack :s
  • dmark 03.03.2018 19:55
    Highlight Highlight "...deuteten darauf hin, dass die Programmierer Russisch sprechen..."
    Wie jetzt? Coden die etwa mit russischem Akzent?
    • pedrinho 04.03.2018 13:02
      Highlight Highlight nicht direkt, westler wuerden eher schnapszahlen verwenden, im code sind aber immer wieder verdeckte vodkavariable aufgetaucht.
  • ⚡ ⚡ ⚡☢❗andre ☢ ⚡⚡ 03.03.2018 19:38
    Highlight Highlight Nur weil im Code überall "cyka blyat" steht, heisst das noch lange nicht das es von Russen ist.
    • Flötist 03.03.2018 20:43
      Highlight Highlight Ja, wer in ein Regierungsnetz einbrechen kann, wird auch seine Herkunft verschleiern können. Selbst wenn man dafür in ein anderes Land ziehen oder zumindest virtuell dort sein muss... ;)
    • nick11 03.03.2018 20:58
      Highlight Highlight meine Rede. Ich kann problemlos jeden beliebigen Code so aussehen lassen, also wäre er aus China, Russland, Amerika etc.
      Ohne die Täter wegen Fehlern zu erwischen wird es nie sicher sein, wer es war. Selbst Codevergleichsanalysen sind nichts Wert, es ist ein leichtes, Funktionen aus bereits bekanntem Schadcode so zu integrieren das es aussieht als wäre es eine Weiterentwicklung. Dahingehen müssen die Analysten noch viel lernen...
    • Flötist 03.03.2018 22:01
      Highlight Highlight @nick11 Ehrlich gesagt glaube ich nicht mal, dass die Analysten das Problem sind, die das selbst wissen. Sondern politisch muss ein Prügelknabe hin, und da wählt man oft gerne Russland aus.
    Weitere Antworten anzeigen
  • Sebastian Wendelspiess 03.03.2018 19:22
    Highlight Highlight Snake? Ganz was neues... bis jetzt wars dich ATO28, fancy bear, sofacy. Wechseln die ihre Namen täglich? Und immernoch keine Beweise aber Haptsache wieder die Russen beschuldigt, bis es alle glauben.
    • nödganz.klar #161 03.03.2018 21:30
      Highlight Highlight da muss ich dem Wendelspiess doch glatt ein Herzchen geben. Das anhand eines Codes oder eines Angriffs, auf die politische/geografische Lage der Angreifer geschlossen wird, ist meiner Meinung nach nicht plausibel.
    • Share 04.03.2018 17:07
      Highlight Highlight So lustig hier. Da braucht es keinen Code mehr; nicht einmal einen Hacker. Das machen alles die Herzchen und die gelben Linien mit den zwei Ecken, die ein Stromzeichen darstellen.
      Watson, kannst du bitte die Herzchen mit einer GimmeFiveHand ersetzen und die gelben Linien mit zwei Ecken, die ein Stromzeichen darstellen, mit einer hohlen Hand ersetzen.
      Ja? Ja. Merci.
  • Hugo Wottaupott 03.03.2018 19:11
    Highlight Highlight Wer Daten will muss freundlich sein.
  • Wenn Åre = Are dann Zürich = Zorich 03.03.2018 19:07
    Highlight Highlight Man könnte meinen, die Russen wären die besten Cracker der Welt, welch eine Ehre für eine "Regionalmacht" 😁
    • Firefly 03.03.2018 19:36
      Highlight Highlight Russland war schon immer professionell korrupt
    • Sebastian Wendelspiess 03.03.2018 21:20
      Highlight Highlight @firefly was hat das jetzt mit Korription zu tun?

Kriminelle versenden gefälschte Postfinance-Mails – so erkennst du den Betrug

Der Bund warnt: Kriminelle versenden aktuell gefälschte E-Mails im Namen der Postfinance.

Eine neue Phishing-Welle grassiert seit heute Dienstag in der Schweiz. Die Betrüger fälschen Postfinance-E-Mails sowie die Login-Seite des E-Bankings, um an das Passwort ihrer Opfer zu gelangen und somit das Postfinance-Konto leerzuräumen.

Ein Beispiel der aktuellen Phishing-Mail ist im Folgenden zu sehen:

Betrüger senden immer wieder im Namen von Behörden und bekannten Firmen wie Digitec, SBB, Postfinance etc. Phishing-Mails – oder immer öfter auch Phishing-SMS.Ganz allgemein nutzen …

Artikel lesen
Link zum Artikel