Cyberangriffe auf die SPD und auf Rüstungs-, IT- und Luftfahrtunternehmen sind APT 28 und damit dem russischen Militärgeheimdienst GRU zuzuordnen
Pressemitteilung 03.05.2024
Bundesinnenministerin Nancy Faeser: "Wir werden uns keinesfalls vom russischen Regime einschüchtern lassen."
Die Bundesregierung hat heute Cyberangriffe der Gruppierung APT 28, die dem russischen Militärgeheimdienst GRU zuzuordnen ist, auf das Schärfste verurteilt. Diese Kampagne von Cyberangriffen richtete sich gegen die SPD-Parteizentrale sowie gegen deutsche Unternehmen aus den Bereichen Logistik, Rüstung, Luft- und Raumfahrt, IT-Dienstleistungen sowie gegen Stiftungen und Verbände. Auch im Ausland wurden Unternehmen aus diesen Sektoren attackiert. Darüber hinaus zielten die Angriffe im Ausland auf staatliche Institutionen sowie Kritische Infrastruktur insbesondere aus dem Bereich der Energieversorgung. Ziele mit Bezügen zum völkerrechtswidrigen Angriffskrieg Russlands gegen die Ukraine stellten einen Schwerpunkt der Angriffe dar.
Das nationale Attribuierungsverfahren der Bundesregierung zu dieser Angriffskampagne hat ergeben, dass der Cyberakteur APT 28 über einen längeren Zeitraum eine damals nicht bekannte kritische Sicherheitslücke in Microsoft Outlook ausnutzte, um E-Mail-Konten zu kompromittieren. Den Cyberangriff auf die Regierungspartei SPD wertet die Bundesregierung als einen schwerwiegenden Eingriff in demokratische Strukturen.
Bundesinnenministerin Nancy Faeser: "Die russischen Cyberangriffe sind eine Bedrohung für unsere Demokratie, der wir entschlossen entgegentreten. Wir handeln Seite an Seite innerhalb der EU, der NATO und mit unseren internationalen Partnern. Wir werden uns keinesfalls vom russischen Regime einschüchtern lassen. Wir werden die Ukraine weiter massiv unterstützen, die sich gegen Putins mörderischen Krieg verteidigt.
Unsere Sicherheitsbehörden haben alle Schutzmaßnahmen gegen hybride Bedrohungen hochgefahren. Auch die Aufklärung der Cyberangriffe ist Ergebnis der hervorragenden, international vernetzten Arbeit unserer Sicherheitsbehörden. Es gilt, unsere Demokratie auch im Digitalen zu schützen. In diesem Jahr mit der Europawahl und weiteren Wahlen müssen wir uns gegen Hackerangriffe, Manipulationen und Desinformation besonders wappnen. Diese Angriffe zielen nicht nur auf einzelne Parteien oder bestimmte Politikerinnen und Politiker, sondern darauf, das Vertrauen in unsere Demokratie zu erschüttern.
Umso wichtiger ist es, dass wir die Schutzmaßnahmen so stark verstärkt haben und gemeinsam handeln."
Weitere Informationen:
- Zur Gruppierung APT 28: APT 28 (auch als Sofacy, Fancy Bear, Pawn Storm oder Sednit bekannt) ist eine dem russischen Militärgeheimdienst GRU zuzuordnende Angriffsgruppierung, die seit mindestens 2004 weltweit aktiv ist. Zu ihrem Tätigkeitsprofil zählen neben Spionageangriffen auch Desinformations- und Propagandakampagnen im Cyberraum. APT 28 zählt weiterhin zu den aktivsten und gefährlichsten Cyberakteuren weltweit. Diese Gruppierung war auch für den Cyberangriff auf den Deutschen Bundestag im Jahr 2015 verantwortlich.
- Zur aktuellen Gefährdungslage: Im Hinblick auf Cyberaktivitäten hat sich die bereits vor dem völkerrechtswidrigen Angriffskrieg Russlands gegen die Ukraine hohe Gefährdungslage weiter verschärft. Als Handlungsoptionen betrachtet Russland neben Cyberspionage auch Cybersabotage, wobei Kollateralschäden und Spillover-Effekte rücksichtslos in Kauf genommen werden. In dem Maße, in dem nachrichtendienstliche Operationen mit menschlichen Quellen für Russland schwieriger werden, gewinnen Cyberoperationen für die russischen Dienste noch größere Bedeutung.
- Zu den nun der Angriffsgruppierung APT 28 zugeordneten Cyberangriffen: Ab Ende Dezember 2022 kam es zu einem Cyberangriff von APT 28 auf die SPD-Parteizentrale. Der Angriff ist Teil einer größeren Kampagne, in der seit mindestens März 2022 eine Schwachstelle im Microsoft-Windows-Client von Outlook ausgenutzt wurde. Die Schwachstelle erlaubt, wenn sie nicht geschlossen wird, ohne Nutzerinteraktion ein Ausleiten von (gehashten) Windows-Zugangsdaten der jeweiligen Nutzer. Diese kann der Angreifer – je nach Konfiguration des angegriffenen Netzwerks – direkt für maliziöse Zugriffe etwa auf E-Mail-Konten einsetzen und bei zu geringer Passwortkomplexität auch das Passwort des jeweiligen Opfers erraten.
APT 28 verwendete bei der Durchführung der Angriffe kompromittierte Netzwerkgeräte von ansonsten unbeteiligten Unternehmen und Privatpersonen zur Verschleierung der eigenen Infrastruktur. Durch eine international koordinierte Operation Ende Januar 2024 unter der Federführung des FBI konnte verhindert werden, dass weltweit kompromittierte Geräte weiter für Cyberspionageoperationen missbraucht werden. Das Bundesamt für Verfassungsschutz (BfV) war von Beginn an in diese Maßnahme eingebunden.
Die Aufklärung der nun APT 28 zugeordneten Angriffe ist Ergebnis einer umfassenden Zusammenarbeit deutscher Behörden und ihrer ausländischen Partner. Maßgeblich war dabei auch die Kooperationsbereitschaft der angegriffenen Institutionen, durch welche das Bundesamt für Verfassungsschutz in die Lage versetzt wurde, bis dato unbekannte Ziele der Kampagne aufzudecken und in Zusammenarbeit mit weiteren Behörden, insbesondere dem Bundesamt für Sicherheit in der Informationstechnik, diese zu warnen und bei der Aufklärung der Angriffe zu unterstützen.
- Das Bundesamt für Verfassungsschutz ist für die nachrichtendienstliche Aufklärung von Cyberangriffen, Spionage und Sabotage durch ausländische Nachrichtendienste zuständig und steht als vertraulicher Ansprechpartner für betroffene Einrichtungen zur Verfügung.