Lichtstreifen vor blauem Hintergrund zur Illustration der Rubrik „Schlaglicht"

Die russische Angriffskampagne APT 28 – aktuelle Entwicklungen

Schlaglicht Nr. 06/2017 „Die russische Angriffskampagne APT 28 – aktuelle Entwicklungen“© Bundesamt für Verfassungsschutz

Arbeitsschwerpunkt der Spionageabwehr: Cyberangriffskampagne APT 28

Die Cyberangriffskampagne APT 28 (auch bekannt als Fancy Bear, Pawn Storm, Sed-nit, Sofacy, Tsar Team) stellt einen Arbeitsschwerpunkt der Cyberabwehr des BfV dar. Es handelt sich um eine langjährige, international angelegte Angriffsoperation mit Opfern weltweit, deren Beginn mindestens bis ins Jahr 2004 zurückreicht.

Anfang Mai 2015 konnte ein Cyberangriff auf das interne Kommunikationsnetzwerk des Deutschen Bundestages aufgedeckt werden, der diesem Angreifer zugerechnet wird. Auch der Mitte Juni 2016 bekannt gewordene erfolgreiche Cyberangriff mit anschließendem Datendiebstahl auf das Netzwerk des Democratic National Committee (DNC) in den Vereinigten Staaten wird von US-amerikanischen IT-Sicherheitsunternehmen und den zuständigen Abwehrdiensten der Angriffskampagne APT 28 zugerechnet.

IT-Sicherheitsdienstleister, das BfV und andere Nachrichtendienste vermuten bei der Angriffskampagne APT 28 eine Steuerung durch russische staatliche Stellen. Hierfür spricht insbesondere die bisherige „Opferauswahl“ beziehungsweise das dahinter stehende Aufklärungsinteresse. Neben Strukturen der NATO, der OSZE sowie westlichen Verteidigungs- und Außenministerien waren auch kaukasische Behörden und russische Oppositionelle Opfer der Kampagne. Technische Parameter (zum Beispiel Spracheinstellungen, Zugriffszeiten der Angreifer auf Opfersysteme) weisen ebenfalls auf einen russischen Ursprung hin.

Weltweit werden bei Angriffen dieser Cyberspionagekampagne immer wieder dieselben Serverinfrastrukturen und Schadsoftwarekomponenten verwendet. Diese stellen das Standardwerkzeug von APT 28 dar; sie sind in zahlreichen Publikationen von IT-Sicherheitsunternehmen ausführlich beschrieben.

Hauptangriffsvektor ist – wie auch bei dem Cyberangriff auf den Deutschen Bundestag im Jahr 2015 – der Versand von Spear-Phishing-E-Mails, sowohl mit maliziösen Links als auch mit Schadanhang. Die Cyberangriffe gehen in der Regel mit einem professionellen Social Engineering einher und belegen eine hohe Sprachkompetenz des Angreifers.

Aktuelle Entwicklungen: Parlament und Parteien weiterhin im Fokus

In den letzten Monaten festgestellte Aktivitäten dieser Kampagne bergen zunehmend ein nicht unerhebliches Gefährdungspotenzial für politische Parteien und Politiker in Deutschland, Ziel eines nachrichtendienstlich gesteuerten Cyberangriffs zu werden. Dass die politische Elite in Deutschland im Fokus russischen Aufklärungsinteresses steht, war spätestens seit dem erheblichen Cyberangriff auf den Deutschen Bundestag im Frühjahr 2015 evident. Im Mai und August 2016 waren schließlich erneut das Parlament sowie mehrere politische Parteien Ziel weiterer Cyberattacken. Auch im Jahr 2017 konnten bereits mehrere Angriffe durch APT 28 festgestellt werden. Die Gefährdung durch solche Angriffe ist insbesondere mit Blick auf die am 24. September 2017 stattfindenden Wahlen zum Deutschen Bundestag von besonderer Bedeutung.

  • So erhielt das BfV am 6. Februar 2017 den Hinweis auf eine kurz zuvor registrierte Domain, die eine legitime Seite der CDU imitiert und anscheinend eigens für geplante Phishing-Angriffe gegen die Partei angelegt wurde. Diese Domain weist starke technische Überschneidungen zu APT 28 auf. Offenbar fanden bislang nur Angriffsvorbereitungen statt; Spear-Phishing-E-Mails sind noch nicht bekannt geworden.

  • Am 8. März 2017 erlangte die Cyberabwehr des BfV Kenntnis von einem Cyberangriff auf das Netzwerk der CDU-nahen Konrad-Adenauer-Stiftung (KAS) durch APT 28. Im Rahmen von Infrastrukturanalysen zu APT 28 konnte die Cyberabwehr in der Folge die Domain aufklären, von welcher der Angriff ausgegangen war. Die Domain war am 6. Februar registriert und vermutlich wiederum einzig für Angriffe gegen Mitarbeiter der KAS angelegt worden. Der Angriff erfolgte mittels einer Spear-Phishing-E-Mail mit der erwähnten Domain als nachgestellter Login-Seite.

  • Am 3. April 2017 identifizierte das BfV eine am 31. März registrierte Domain, bei der aufgrund ihrer Bezeichnung davon auszugehen war, dass sie für Credential-Phishing-Angriffe gegen die SPD-nahe Friedrich-Ebert-Stiftung (FES) angelegt wurde. Mitarbeiter der Stiftung hatten tatsächlich am 31. März Spear-Phishing-E-Mails mit dieser Domain als „gefakter“ Login-Seite erhalten. Ziel der Angriffe war offensichtlich wiederum das Erlangen von Zugangsdaten. Der FES waren die Phishing-E-Mails bereits vor der Warnung des BfV aufgefallen. Die auf Deutsch verfassten Phishing-E-Mails gaben vor, vom IT-Referat der FES zu stammen. Die Opfer wurden – nach üblichem Schema – aus angeblichen Sicherheitsgründen aufgefordert, ihre Webmail-Zugangsdaten in das Login-Fenster einzugeben. Beide Stiftungen wurden im April 2017 erneut in gleicher Weise angegriffen.

Es gibt Grund zu der Annahme, dass Russland versuchen könnte, den Bundestagswahlkampf für eigene politische Ziele zu instrumentalisieren. Dafür sprechen zum einen die in den USA im Vorfeld der dortigen Präsidentschaftswahlen beobachteten russischen Aktivitäten (Stichwort: DNC-Hack) als auch die erwähnten jüngsten Cyberangriffe auf politische Parteien und parteinahe Stiftungen in Deutschland. Auch der französische Präsidentschaftskandidat Emmanuel Macron hat im Vorfeld der Wahlen am 7. Mai 2017 Cyberangriffe auf sein Wahlkampfteam erfahren, die dortigen Untersuchungen zufolge von APT 28 ausgegangen sein sollen. Die in der Folge veröffentlichten – teils manipulierten – Dokumente lassen ein politisches Interesse an einer Diskreditierung des europafreundlichen und russlandkritischen Präsidentschaftskandidaten Macron zugunsten seiner antieuropäischen und nationalistischen damaligen Konkurrentin Le Pen erkennen.

Der Einfluss, den eine manipulative Verbreitung von Nachrichten innerhalb sozialer Medien auf die Meinungsbildung der Öffentlichkeit haben kann, zeigte sich besonders drastisch im letzten US-amerikanischen Wahlkampf. Da diese Aktivitäten bereits russischen staatlichen Stellen zugeschrieben wurden, war der Versuch einer Beeinflussung des französischen Wahlkampfes durch vermutlich russische Cyberakteure ein durchaus vorhersehbares Szenario.

Zur Abwehr solcher Versuche politischer Einflussnahme über klassische und webbasierte Medien auf die Innenpolitik eines Landes durch staatliche Akteure – namentlich im Vorfeld der Bundestagswahlen – setzt das BfV neben der Aufklärung von Cyberangriffen und Angriffsversuchen unter anderem auf entsprechende Sensibilisierungsmaßnahmen gegenüber Politik, Medien und Öffentlichkeit. Hierdurch sollen das Bewusstsein bezüglich des Gefährdungspotenzials solcher Aktivitäten geschärft und mögliche Schäden minimiert werden.

Druckansicht

Gebäude 1

Hinweistelefon islamistischer Terrorismus 0221/792-3366

Hinweistelefon islamistischer Terrorismus 0221/792-3366
  • Gemeinsam stark für unsere Sicherheit Details
  • Güvenliğimiz İçin Hep Beraber Daha Güçlüyüz Ayrıntılar
  • لندافع سويا وبصورة قوية عن أمننا وسلامتنا التفاصيل

Publikationen

Rechtsextremismus: Symbole, Zeichen und verbotene Organisationen

Rechtsextremismus: Symbole, Zeichen und verbotene Organisationen

Stand: Oktober 2018
Weitere Informationen Download
Was KMU wissen und beachten sollten – Cloud Computing

Was KMU wissen und beachten sollten – Cloud Computing

Stand: Juli 2018
Weitere Informationen Download
Verfassungsschutz­bericht Berlin 2017

Verfassungsschutz­bericht Berlin 2017

Stand: August 2018
Weitere Informationen
Verfassungsschutz­bericht 2017

Verfassungsschutz­bericht 2017

Stand: Juli 2018
Weitere Informationen Download
Verfassungsschutz­bericht 2017, Fakten und Tendenzen (Kurzzusammenfassung)

Verfassungsschutz­bericht 2017, Fakten und Tendenzen (Kurzzusammenfassung)

Stand: Juli 2018
Weitere Informationen Download
BfV Cyber-Brief Nr. 02/2018

BfV Cyber-Brief Nr. 02/2018

Stand: Juli 2018
Weitere Informationen Download
Thüringen: Sicherheit - Aufklärung - Transparenz

Thüringen: Sicherheit - Aufklärung - Transparenz

Stand: November 2018
Weitere Informationen
Proliferation - Wir haben Verantwortung

Proliferation - Wir haben Verantwortung

Stand: Juli 2018
Weitere Informationen Download
Niedersachsen: „Frauen im Salafismus"

Niedersachsen: „Frauen im Salafismus"

Stand: Juni 2018
Weitere Informationen