Huffpost Germany
BLOG

Eine offene Plattform fĂĽr kontroverse Meinungen und aktuelle Analysen aus dem HuffPost-Gastautorennetzwerk

Prof. Dr. Hartmut Pohl Headshot

Hacker hacken NSA

Veröffentlicht: Aktualisiert:
HACKING
scyther5 via Getty Images
Drucken

und stellen ein groĂźes Angebot an Angriffssoftware (cyber weapons) ins Internet.

Vor einigen Jahren machten Stuxnet (2006) und Flame (2007) Schlagzeilen als ausgeklügelte Malware. Beide sollen aus der Feder einer Gruppe stammen, die wegen ihrer Vorliebe für Verschlüsselung ‚Equation Group' genannt wird; ihre Aktivitäten sind seit mehr als 15 Jahren nachweisbar: Ihre erste Malware ‚Equation Laser' erschien 2001.

Es folgten ‚Equation Drug' und ‚Double Fantasy', ‚Fanny', Grayfish u.a. Jede dieser Malware hat eine spezielle Funktion. Insgesamt werden mehr als 500 Angriffe der Equation Group in 42 Ländern zugeordnet. Ziel ist meist ein vollständiges Ausspionieren (und auch sabotieren) staatlicher Einrichtungen aus Ländern wie dem Iran, Pakistan, Afghanistan oder Russland - aber auch von Unternehmen!

Alle diese Tools basieren auf der Ausnutzung (exploiting) unveröffentlichter Sicherheitslücken. Die zugrundeliegenden Methoden und die konkreten Tools sind also genauso bekannt wie die technische Funktion: Fanny greift vom Internet physisch abgeschottete Computer und Netze an. Grayfish installiert Software, die nicht durch Formatieren des Datenträgers allein dauerhaft gelöscht werden kann.

Vielmehr installiert sie sich über modifizierte Firmware der Festplattensteuerung bei jedem Booten neu (vgl. den Bundestagsfall). Timestamps der Malware deuten auf regelmäßig eingehaltene Arbeitszeiten hin. Außerdem wurden Codewörter gefunden, die auch in den von Edward Snowden veröffentlichten Unterlagen der NSA auftauchten - vielleicht aber auch nur ein Fake zur gezielten Irreführung der Security Analysten.

Der Gedanke liegt nahe, dass es sich bei Grayfish um IRATEMONK, ein Programm der NSA-Spezialeinheit Tailored Access Operations (TAO), handelt. TAO und die Equation Group könnten auch 2 Namen ein und derselben Gruppe sein. Eindeutige Beweise sind dies aber nicht; im Gegenteil könnte auch eine vergleichbare Behörde aus dem internationalen Raum (Israel, Russland, Japan, China, ...) dahinter stecken, die sich entsprechend tarnt.

Im Internet gibt es nämlich grundsätzlich 2 entscheidende Herausforderungen:

  • Identifizierung und insbesondere Authentifizierung von Kommunikationspartnern und Angreifern. Der Vorschlag, PKIs mit digitaler Signatur und Zertifikaten auf der Basis asymmetrischer VerschlĂĽsselung ist (leider) mit Unsicherheit behaftet. Solche sog. Trust Center sind schon mehrfach z.B. von der Organisierten Kriminalität (OK) geknackt worden.
  • Die RĂĽckverfolgung von Angreifern ist alles andere als trivial. Schon vor 15 Jahren tarnten sich Angreifer durch die missbräuchliche Nutzung von Hochschul- und Forschungsservern weltweit und erweckten damit den Eindruck, Studenten spielten herum (Server-Hopping).

Sicherheitsexperten konnten diverse Malware in aufgegebenen Server-Domänen analysieren. Bislang konnte dabei allerdings kein Mitglied der Equation Group namentlich identifiziert werden.

Eine Hacker-Gruppe namens ‚The Shadow Brokers' soll NSA Server gehackt haben und an „Cyber-Waffen" der Equation Group gelangt zu sein. ‚The Shadow Brokers' bietet derzeit diese Angriffssoftware zum Download an: Wer bis zum Stichtag die meisten Bitcoins (Minimum 566 Millionen Dollar) überwiesen hat, soll das zum Entschlüsseln notwendige Passwort erhalten.

Um zu zeigen, dass es sich wirklich um Schadsoftware der Equation Group handelt, veröffentlichten ‚The Shadow Brokers' beispielhaft einige unverschlüsselte Malware-Produkte. Wenn das riesige Paket an Angriffssoftware wirklich echt ist, ist es tatsächlich mehr als Gold wert!

Die geleakten Angriffstools sind schon über 3 Jahre alt! Berücksichtigt man die Aussage deutscher Sicherheitsbehörden, dass IT-Sicherheitswissen, Angriffstools etc. binnen 2 Jahren von den Nachrichtendiensten und Sicherheitsbehörden an die Organisierte Kriminalität abfließen, kann davon ausgegangen werden, dass die OK derartige Angriffssoftware weltweit seit mehr als einem Jahr aktiv nutzt.

Zusammenfassend ist aktuell wichtig: In einschlägigen Kreisen der OK und den Sicherheitsbehörden sind weltweit sehr viele (tausende!) unveröffentlichte Sicherheitslücken bekannt: Insider sprechen von mehreren Hundert der NSA bekannten unveröffentlichten Sicherheitslücken.

Das von renommierten Firewall-Herstellern jetzt eilig vorgenommene Patchen bekannt gewordener (bisher unveröffentlichter) Sicherheitslücken zeigt beispielhaft die generelle Unsicherheit im Internet - nur u.a. von Standardsoftware, standardisierten Suiten, Open Source Produkten - und nicht zuletzt von Sicherheitstools.

Co-Autor Wilfried Kirsch, IT-Security-Consultant softScheck GmbH, Sankt Augustin

Leserumfrage: Wie fandet ihr uns heute?

2016-07-11-1468249306-1333267-umfrage.jpg

Hier geht es zur Umfrage.

Ihr habt auch ein spannendes Thema?
Die Huffington Post ist eine Debattenplattform fĂĽr alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter blog@huffingtonpost.de.

Auch auf HuffPost:

Lesenswert: