Moskau, 24. Juli 2023. Russlands Hauptstadt schläft noch, als das näherkommende Surren einer Kampfdrohne die Stille durchbricht. "Heilige Scheiße" kommentiert ein Mann, der die Szene mit seinem Handy filmt. Kurz darauf hört man eine Detonation. "Scheiße, ich habe dir gesagt, der Mistkerl wird explodieren", flucht der Mann.
Um 4.51 Uhr Ortszeit bestätigt Moskaus Bürgermeister Sergej Sobjanin auf Telegram zwei Drohneneinschläge im Stadtzentrum. Bilder und Videos zeigen da schon, dass es neben einem verglasten Geschäftskomplex auch ein zweistöckiges Gebäude im Komsomolskji-Prospekt 18 erwischt hat. Viel scheint dort bis auf ein lädiertes Dach und zerborstene Fenster nicht passiert zu sein. Die Attacke der Ukraine trifft Russland dennoch empfindlich. Und nicht aus Zufall. Nur wenige Meter vom Einschlag entfernt, am Komsomolskji-Prospekt 20, befindet sich neben einer russischen Militärakademie auch die Zentrale einer berüchtigten GRU-Abteilung: Militäreinheit 26165, besser bekannt als Hackerkollektiv "Fancy Bear".
Deutschland im Visier von Fancy Bear
Fancy Bear ist für eine Reihe von schweren Hacks verantwortlich. 2016 gelingt es Mitgliedern der Gruppe in die Kommunikationsstruktur der US-Demokraten einzudringen. Sie leaken E-Mails der Präsidentschaftskandidatin Hillary Clinton und lancieren Falschnachrichten über sie auf einer genau dafür eingerichteten Internetseite. Zum Vorteil von Donald Trump, wie das FBI 2018 herausfinden wird. Neun Hacker bringen die Ermittler mit der Wahlmanipulation in Verbindung: allesamt bei der Einheit 26165 angestellt (lesen Sie hier, wie der stern den Kommandanten von Fancy Bear erstmals auf Fotos enttarnen konnte).
2015 schlägt die Gruppe auch in Deutschland zu. Sie hackt sich ins Herz der deutschen Demokratie ein: das Servernetz des Bundestags. Über einen längeren Zeitraum können sie Daten absaugen, insgesamt mehr als 16 Gigabyte. Zwischenzeitlich sollen sich die Angreifer sogar auf dem Computer des Abgeordnetenbüros von Kanzlerin Angela Merkel eingenistet haben. Erst nach Tagen gelingt es Fachleuten, das Netzwerk zu bereinigen und neu zu konfigurieren.
Sehr schnell kommt der Verdacht auf, dass es sich bei diesem Angriff um staatlich gesteuerte Akteure handeln muss. Und sehr schnell geht der Blick Richtung Russland.
APT-Gruppen kommen hartnäckig wieder
Es ist die US-Sicherheitsfirma Crowdstrike, die die Gruppe erstmals als Fancy Bear, also "schicker Bär" bezeichnet. Der "Bär" im Namen soll dabei andeuten, dass die Gruppe ihren Ursprung in Russland hat. In der Sicherheitsbranche ist sie auch unter dem Begriff "APT28" bekannt. APT bedeutet Advanced Persistant Thread. Damit gemeint sind Hackergruppen, die über technologisch sehr fortschrittliche Ressourcen verfügen, ihre Ziele immer wieder angreifen und deshalb eine andauernde Bedrohung darstellen. Erstmals taucht die Bezeichnung 2013 in einem Bericht zu staatlich gelenkter Cyberspionage Chinas auf.
Fancy Bear – Militäreinheit mit langer Tradition
Dass Fancy Bear Verbindungen zum russischen GRU hat, vermuteten Sicherheitsbehörden recht früh. 2018 legt das FBI einen Ermittlungsbericht vor, in dem sie mehrere Personen namentlich identifizieren und mit der Einheit 26165 direkt in Verbindung bringen.
In der russisch-sowjetischen Militärgeschichte hat die Einheit eine lange Tradition. Ursprünglich wird sie Anfang der 50er Jahre des vergangenen Jahrtausends gegründet mit Schwerpunkt auf militärischer Kryptographie. Bis auf die Nummer der Einheit und die registrierte Adresse findet man wenig öffentlich zugängliche Informationen. Fotos aus den Räumen oder von Ordensverleihungen oder Ehrungen gibt es im Internet nicht. Dem stern gelang es mehrere Mitglieder der Einheit zu identifizieren. Neben dem Kommandeur Jurij Schikolenko sind der Redaktion 24 weitere Mitglieder von 26165 bekannt.
Anders als bei kriminellen Hackern, denen es nur ums Geld geht und denen das Angriffsziel egal ist, verfolgen APT-Gruppen strategische Ziele, die ihnen typischerweise von Regierungen, Behörden, Nachrichtendiensten oder anderen Auftraggebern vorgeben werden. Treffen kann es staatliche oder industrielle Institutionen, aber auch Dissidenten oder Oppositionelle. Sie alle müssen damit rechnen, dass die Hacker hartnäckig wiederkommen, wenn eine Angriffswelle erfolglos war.
Um Attacken besser nachvollziehen und zuordnen zu können, werden APT-Kollektive nach bestimmten Merkmalen charakterisiert und durchnummeriert. Auch das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, beobachtet die Cybersoldaten sehr genau. "APT-Gruppen haben alle ihre eigene Handschrift. Wie sie Befehle in die Kommandozeile eintippen, welche Reihenfolge sie beim Angriff einhalten. Auch Hacker sind Gewohnheitstiere", sagt ein BSI-Sprecher dem stern. Seit 2021 hat die Behörde 18 verschiedene APT-Gruppen in deutschen Regierungsnetzwerken detektiert, so nennen es die Spezialisten, wenn sie einen Angriff entdecken. Die Hälfte der Gruppen kam mehrmals wieder, oft schon nach kurzer Zeit.
In Russland gibt es neben Fancy Bear weitere Gruppen, auch sie haben den "Bär"-Zusatz im Namen. Die gefährlichsten heißen Cozy Bear (APT29) und Voodoo Bear (APT44). Letztere ist auch als "Sandworm" bekannt und für Sabotageakte in der Ukraine aber auch in Deutschland, wie zum Beispiel der Angriff auf den WDR und das ZDF 2018, verantwortlich.
APT28: Vorbereiter für andere
Russische APT-Gruppen eint, dass sie heterogen sind. Jede hat ihr Aufgabengebiet, ihre Besonderheit. Und auch ihre Gewohnheiten, teils aus Faulheit. APT28 betreibt lange Zeit vorrangig Spionage und Sabotage gegen Militäreinrichtungen oder Regierungsbehörden. Sie setzt dabei eine eigens entwickelte Spionagesoftware ein, die sie auch über längere Zeiträume nicht verändert.
Inzwischen agiert die Gruppe laut dem BSI viel dynamischer, auch weil sie verglichen mit früheren Jahren einfachere Angriffsprogramme einsetzt. Diese würden einige Monate genutzt und dann umgeschrieben oder weggeworfen. Auch das Aufgabengebiet ist ein Neues. "Wir sehen APT28 nicht mehr als eine Effektgruppe, die selber sabotiert, irgendwelche Systeme hackt oder gar ausschaltet. Sondern als Unterstützer, die die Vorarbeit für andere Gruppen leisten", erklärt der BSI-Sprecher. Gruppen wie Sandworm.
Weniger gefährlich macht die Unterstützerrolle APT28 nicht, weiß das BSI. "Es ist definitiv eine Gruppe, die wir ständig im Blick haben müssen. Lässt man sie ein halbes Jahr aus dem Auge, sind sie davongelaufen." Und die Gruppe ist fleißig. Vor allem durch sogenannte Phishing-Attacken versucht die Gruppe an vertrauliche Passwörter zu kommen. "Das BSI beobachtete im letzten Jahr regelmäßig APT28-Wellen gegen das Regierungsnetz, etwa alle zwei bis drei Monate." Dieses Jahr stehen viele Wahlen an. Die Sicherheitsbehörden sind alarmiert.
