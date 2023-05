Fast 20 Jahre war das Hacker-Netzwerk Snake in Betrieb

von Malte Mansholt Fast 20 Jahre lang spionierte eine russische Geheimdienst-Einheit Nato-Ziele aus. Was sie nicht wussten: Das FBI hatte sich Zugang zu dem dazu genutzten Programm "Snake" verschafft – und nutzte es gegen seine Schöpfer.

Es ist eine Operation, die seit Jahrzehnten lief: Seit mindestens 2004 spitzelt eine russische Schadsoftware Ziele in über 50 Ländern aus. Nun wurde sie abgeschaltet. Dem Federal Bureau of Investigation, besser bekannt unter seinem Kürzel FBI, war es gelungen, die Kontrolle über das Programm zu erlangen – und es dazu zu bringen, sich selbst zu zerstören.

Das geht aus einem ausführlichen Bericht des US-Justizministeriums hervor. Die "Snake" getaufte Software ist demnach "Russlands anspruchsvollstes Werkzeug für Cyber-Spionage". Die dafür verantwortliche Gruppe Turla werde dem KGB-Nachfolger FSB zugeordnet. Das Programm sei über knapp zwei Jahrzehnte genutzt worden, um Ziele in den USA und andere Nato-Staaten auszuspionieren, erklärte US-Justizminister Merrick Garland.

Hochkomplexer Angriff

Das Vorgehen der Hacker war hochprofessionell, wie eine ausführliche Analyse des Programms zeigt. "Snake" wurde über ein Netzwerk von infizierten Rechnern rund um die Welt betrieben. Das verschleierte nicht nur die Herkunft der Angriffe, sondern erschwerte auch ein Vorgehen gegen die Attacken. Immer wieder wurde die Software überarbeitet, um eine Entdeckung zu erschweren und sie mit neuen Fähigkeiten aufzurüsten. Zu den Zielen hätten Militäreinheiten, Unternehmen aber auch Journalisten und Einzelpersonen gezählt.

Einmal installiert, blieb "Snake" nach Angaben des FBI teilweise über Jahre unentdeckt. Laut der Behörde sind sogar Fälle bekannt, in denen die Betroffenen die Software zu entfernen versuchten und diese trotzdem aktiv blieb. Die Hacker konnten je nach Einsatzzweck verschiedene Module nachladen, um etwa Dokumente zu stehlen und diese über das Netzwerk zu den Hintermännern weiterzuleiten.

Operation Medusa

Unter dem Codenamen Medusa begannen FBI und verbündete Behörden bereits 2015 eine Gegenoperation. In Kleinstarbeit gelang es den US-Hackern, 19 infizierte Rechner in den USA zu identifizieren. Über mehrere Jahre untersuchten sie das Programm. Bis ihnen schließlich der Durchbruch gelang – und sie die Verschlüsselung der Schadsoftware geknackt hatten. Mit einem Mal konnten die Beamten bei "Snake" mitlesen – und verfolgen, wie und wo die Angreifer zuschlugen, was sie stahlen und wohin die Daten letztlich übertragen wurden.

Vor allem befähigte sie dieser Durchbruch zum Gegenschlag: Unter dem Namen "Perseus" entwickelten die Experten des FBI eine Software, die sich die Stärken von "Snake" zu Nutze machte – und das Programm infiltrierte. Nachdem sich die US-Bundespolizei vom Justizministerium eine Sondergenehmigung eingeholt hatte, auch außerhalb der eigenen Jurisdiktion arbeiten zu dürfen, startete man die Konteroffensive: Mit "Perseus" übernahmen die Beamten Teile des "Snake"-Netzwerkes. Sie brachten das Programm dazu, wichtige Bestandteile aus dem eigenen Code zu löschen. Die vorher infizierten Rechner hätten durch diese Deaktivierung keine Nachteile zu befürchten gehabt, betonen die Behörden.

Komplett gebannt ist die Gefahr allerdings nicht, warnt das Justizministerium. "Die Operation zur Abschaltung von 'Snake' behebt keine der genutzten Sicherheitslücken und entfernt keine zusätzlich installierten Schadprogramme", heißt es in einem Statement. Die als betroffen identifizierten Unternehmen und Behörden würden daher separat informiert, um mögliche weitere Probleme lösen zu können. Ganz abwegig ist die Idee nicht: In der Vergangenheit hatte das FBI dank einer Sondergenehmigung tatsächlich ungefragt per Fernzugriff Hunderte Firmennetzwerke übernommen – und sie gegen Angriffe abgesichert (hier erfahren Sie mehr).

Quellen: Statement des US-Justizministeriums, Bedrohungs-Analyse