Fragen Sie westliche Cybersicherheit Geheimdienstanalysten, wer ihre „Lieblingsgruppe“ ausländischer, staatlich geförderter Hacker ist – der Gegner, den sie nur widerwillig bewundern und obsessiv studieren – und die meisten nennen keine der zahlreichen Hackergruppen, die im Namen Chinas oder des Nordens arbeiten Korea. Nicht Chinas APT41 mit seinen dreisten Lieferkettenangriffen, noch die nordkoreanischen Lazarus-Hacker, die massive Kryptowährungsraubzüge begehen. Die meisten werden nicht einmal auf Russlands berüchtigte Sandworm-Hackergruppe verweisen, trotz der beispiellosen Blackout-Cyberangriffe der Militäreinheit auf Stromnetze oder destruktiven, sich selbst replizierenden Codes.
Stattdessen neigen Kenner des Computereinbruchs dazu, ein weitaus subtileres Team von Cyberspionen zu nennen, das in verschiedenen Formen viel länger als alle anderen stillschweigend in Netzwerke im gesamten Westen eingedrungen ist: eine Gruppe namens Turla.
Letzte Woche gaben das US-Justizministerium und das FBI bekannt, dass sie eine Operation von Turla – auch bekannt unter Namen wie Venomous Bear und Waterbug – abgewehrt haben, bei der Computer in mehr als 50 Ländern mit einer Schadsoftware namens Snake infiziert wurden US-Behörden bezeichneten es als „erstes Spionageinstrument“ des russischen Geheimdienstes FSB. Indem sie Turlas Netzwerk gehackter Maschinen infiltrierte und der Malware einen Befehl zur Selbstlöschung schickte, versetzte die US-Regierung Turlas weltweiten Spionagekampagnen einen schweren Rückschlag.
Doch in ihrer Ankündigung – und in den zur Durchführung der Operation eingereichten Gerichtsdokumenten – gingen das FBI und das DOJ noch weiter und bestätigten dies erstmals offiziell Berichterstattung einer Gruppe deutscher Journalisten im letzten Jahr, die enthüllte dass Turla für die Gruppe Center 16 des FSB in Rjasan, außerhalb von Moskau, arbeitet. Es deutete auch auf Turlas unglaubliche Langlebigkeit als Top-Cyberspionage-Agentur hin: An Vom FBI eingereichte eidesstattliche Erklärung gibt an, dass Turlas Snake-Malware seit fast 20 Jahren im Einsatz sei.
Tatsächlich ist Turla wohl schon seit mindestens 25 Jahren tätig, sagt Thomas Rid, Professor für strategische Studien und Cybersicherheitshistoriker an der Johns Hopkins University. Er verweist auf Beweise dafür, dass es Turla – oder zumindest eine Art Proto-Turla, der zu der Gruppe werden sollte, die wir heute kennen – war, die die erste Cyberspionageoperation eines Geheimdienstes gegen die USA durchführte, eine mehrjährige Hacking-Kampagne namens Mondscheinlabyrinth.
Angesichts dieser Geschichte werde die Gruppe auf jeden Fall zurückkommen, sagt Rid, selbst nach der jüngsten Störung ihres Instrumentariums durch das FBI. „Turla ist wirklich der Inbegriff von APT“, sagt Rid und verwendet die Abkürzung für „Advanced Persistent Threat“, einen Begriff, den die Cybersicherheitsbranche für staatlich geförderte Elite-Hacking-Gruppen verwendet. „Seine Werkzeuge sind sehr ausgeklügelt, unauffällig und ausdauernd. Ein Vierteljahrhundert spricht für sich. Es ist wirklich der Gegner Nummer eins.“
Im Laufe seiner Geschichte verschwand Turla über Jahre hinweg immer wieder im Schatten, um dann wieder in gut geschützten Netzwerken aufzutauchen, darunter denen des US-Pentagons, von Verteidigungsunternehmen und europäischen Regierungsbehörden. Aber noch mehr als seine Langlebigkeit ist es Turlas sich ständig weiterentwickelnder technischer Einfallsreichtum – von USB-Würmern über satellitengestütztes Hacken bis hin zum Kapern der Infrastruktur anderer Hacker –, der das Unternehmen in diesen 25 Jahren auszeichnete, sagt Juan Andres Guerrero-Saade, ein leitender Bedrohungsforscher bei der Sicherheitsfirma SentinelOne. „Wenn man sich Turla anschaut, gibt es mehrere Phasen, in denen, oh mein Gott, sie diese erstaunliche Sache gemacht haben, sie sind Pioniere dieser anderen Sache gewesen, sie haben eine clevere Technik ausprobiert, die noch niemand zuvor gemacht hatte, sie haben sie skaliert und umgesetzt“, sagt Guerrero -Saade. „Sie sind sowohl innovativ als auch pragmatisch und das macht sie zu einer ganz besonderen APT-Gruppe, die es zu verfolgen gilt.“