Der Hackerangriff auf die Bundesregierung und das IVBB-Netz war offenbar Teil einer weltweiten Attacke. Wie die Süddeutsche Zeitung, NDR und WDR ohne Berufung auf konkrete Quellen berichten, sollen Staaten in Skandinavien, Südamerika und den ehemaligen Sowjet-Staaten betroffen sein, darunter die Ukraine. Um welche Länder es sich genau handle, sei unklar.

Zuvor hatte schon die Welt unter Berufung auf die US-Sicherheitsfirma FireEye berichtet, dass in ganz Europa ähnliche Attacken aufgetreten seien. Dabei handelte es sich mutmaßlich um Angriffe der Gruppe APT28, auch als Fance Bear bekannt: "Wir beobachten seit einigen Monaten, dass APT28 gezielt Außen- und Verteidigungsministerien in der Europäischen Union angreift und versucht, sich Zugang zu geschützten Systemen zu verschaffen", zitiert die Zeitung des Sicherheitsexperten Benjamin Read. 

Der Spiegel berichtet am Freitag zudem über weitere bisher unbekannte Angriffe, unter anderem auf die Berliner Stiftung Wissenschaft und Politik (SWP). Die Attacke begann bereits im Dezember 2016 und wurde mutmaßlich von APT28 ausgeführt. Die Stiftung gehört zu den einflussreichsten deutschen Forschungseinrichtungen für außen- und sicherheitspolitische Fragen und berät Bundestag wie Bundesregierung

War die Bundesakademie für Verwaltung das Einfallstor?

Aktuellen Berichten zufolge soll hinter dem Angriff auf das Regierungsnetz allerdings nicht APT28 stehen, sondern die Grupe Snake, auch Turla genannt. Wie APT28, wird ihr eine Verbindung mit russischen Geheimdiensten nachgesagt. Wie mehrere Medien übereinstimmend berichten, stammte der Hinweis auf den Angriff in Deutschland von einem befreundeten Nachrichtendienst. Snake ist ebenfalls schon seit vielen Jahren aktiv, unter Sicherheitsexperten gilt ihr Schadcode als komplex und hochentwickelt. Dabei legen es die Hacker nicht darauf an, möglichst viele Daten abzugreifen sondern suchen gezielt nach bestimmten Schlagwörtern und Informationen. Das könnte erklären, weshalb die Schadsoftware über längere Zeit nicht entdeckt wurde.

Am Mittwoch war bekannt geworden, dass Angreifern offenbar über etwa ein Jahr lang gelungen war, unbemerkt in das Sicherheitsnetz des Bundes, den Informationsverbund Bonn-Berlin (IBB), einzudringen. Experten vermuten –  wie schon bei dem Angriff auf den Bundestag im Jahr 2015 – russische Hacker hinter der Attacke. Nach Informationen des Spiegel kam der Angriff über die Bundesakademie für öffentliche Verwaltung. Dort sollen Rechner infiziert worden sein und die Schadsoftware habe sich dann im gesamen IVBB-Netzwerk ausgebreitet. Dabei sollen auch Daten abgeflossen sein. Welche genau, ist unbekannt.

Wie der Rechercheverbund weiter berichtet, sollen insgesamt 17 Computer von dem Trojaner befallen gewesen sein. Unter Berufung auf "informierten Kreisen", heißt es, die Schadsoftware sei zunächst Ende 2016 auf Rechner der Hochschule des Bundes eingedrungen und habe dort geschlummert bis zum 15. Januar 2017. An diesem Datum soll das Programm von außen aktiviert worden sein und begonnen haben, seine Umgebund auszuspähen. Im März 2017 sei es den Hackern dann gelungen ins Auswärtige Amt vorzudringen. 

Der Generalbundesanwalt hat Vorermittlungen gegen Unbekannt wegen Verdachts der geheimdienstlichen Agententätigkeit aufgenommen.