Ermittlungen von Claudio Guarnieri

Vor dem Bekanntwerden der globalen Attacke auf den ganzen Bundestag waren Server der Linksfraktion im Bundestag von außen mit Schadsoftware infiziert worden. Diese stammt offenbar von einer staatlich geförderten Gruppe aus Russland. Zu diesem Ergebnis kam eine investigative technische Analyse des IT-Sicherheitsforschers Claudio Guarnieri. Sein ausführlicher Bericht analysiert Technologie, Auswirkungen, mögliche Herkunft und eine Signatur, um den Trojaner zu erkennen. Der Bericht wurde ursprünglich für die Linksfraktion im Bundestag erstellt und später auf dem Portal netzpolitik.org veröffentlicht.

Guarnieri schreibt, dass die Zuordnung von Malware-Angriffen niemals leicht sei, aber er im Laufe der Untersuchung Hinweise darauf gefunden habe, dass der Angreifer mit einer staatlich unterstützten Gruppe namens Sofacy Group (APT28) zusammenhängt (auch bekannt als APT28 oder Operation Pawn Storm). Frühere Analysen der Sicherheitsforscher von FireEye legten nahe, dass die Gruppe russischer Herkunft sein könnte. Es gebe jedoch keine Beweise, die es ermöglichen, die Angriffe bestimmten Regierungen oder Staaten zuzuordnen.