Nach Ansicht des Bundesverfassungsschutzes kamen die Angriffe auf das deutsche Regierungsnetz aus Russland. "Wir haben es als einen Cyberangriff russischen Ursprungs wahrgenommen", sagte der Präsident der Behörde, Hans-Georg Maaßen. Wie bei derartigen Attacken üblich, sei eine 100 Prozent sichere Zuschreibung zu einem Täter aber nicht möglich. Es könne nicht völlig ausgeschlossen werden, dass der Angreifer nur den Anschein habe erwecken wollen, aus Russland zu stammen. "Aber wir können von einer hohen Wahrscheinlichkeit sprechen", sagte Maaßen mit Blick auf eine Urheberschaft Russlands.

Ende Februar war bekannt geworden, dass Hacker in das als sicher geltende Datennetzwerk des Bundes eingedrungen waren. Bei dem Angriff sollen die Hacker von Rechnern des Auswärtigen Amtes Dokumente zu den Brexit-Verhandlungen und zur Ukraine erbeutet haben. Die Angreifer sollen dabei bereits zum Jahreswechsel 2016/17 einen Rechner mit einer Schadsoftware infiziert haben, um so an sensible Informationen zu kommen. Erst im Dezember 2017 wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die Angreifer aufmerksam, ließ diese aber zunächst gewähren, um mehr Informationen über sie zu sammeln.

Derzeit wird vermutet, dass die russische Hackergruppe Snake hinter dem Angriff steckt. Die russische Regierung wies jegliche Verantwortung von sich.

Das von den Hackern angegriffene Netzwerk IVBB (Informationsverbund Bonn-Berlin) dient der Kommunikation zwischen Kanzleramt, Ministerien und anderen Sicherheitsbehörden und ist größtenteils vom Internet abgekoppelt. Über das IVBB laufen E-Mail, Internet und Telefonie – also die gesamte Kommunikation zwischen den Behörden. Ein Schaden sei durch den Angriff nicht entstanden, sagte Maaßen und bestätigte damit die Aussagen der Sicherheitsbehörden. Experten vermuten, dass der Hackerangriff Teil einer größeren Spionageattacke auf EU-Staaten sein könnte.