Categories: Sicherheit

NSA-Hackertools: Kaspersky hält sie für authentisch

Die Sicherheitsfirma Kaspersky hält die von den ominösen „Shadow Brokers“ veröffentlichten Hackertools für zweifellos echte Werkzeuge der Equation Group, bei der es sich offenbar um eine offensive NSA-Einheit für Cyberangriffe handelt. Dieser Einschätzung haben sich Sicherheitsexperten wie Bruce Schneier und Whistleblower Edward Snowden angeschlossen. Indizien weisen darauf hin, dass Russland die hochentwickelten Hackerwaffen öffentlich gemacht hat und damit ein politisches Ziel verfolgt.

Kasperskys Urteil ist deshalb bedeutsam, weil das russische Sicherheitsunternehmen im letzten Jahr die Equation Group identifizierte und als höchstentwickelte Cyberangreifer der Welt bezeichnete. Kaspersky Lab beschrieb die Gruppe als identisch oder durch enge Zusammenarbeit verbunden mit den Entwicklern der Cyberbedrohungen Stuxnet und Flame – und schrieb ihnen Aktionen mindestens seit 2001, wenn nicht sogar seit 1996 zu.

Die Equation Group soll verschiedene Malware-Plattformen nutzen, frühzeitig Zugang zu Zero-Day-Exploits haben und weit über alles hinausgehen, was bislang zu beobachten war. Die Organisation nutze Tools, die extrem kompliziert und teuer zu entwickeln sind, agiere sehr professionell hinsichtlich der Art, wie sie ihre Ziele infiziert, stehle Daten und verschleiere dabei ihre Identität, und setze ebenfalls „klassische“ Spionagetechniken ein, um schädliche Payloads auszuliefern.

Am 13. August 2016 machten die Shadow Brokers eine Sammlung von Hackertools über Filesharing-Dienste wie BitTorrent und DropBox zugänglich. Gleichzeitig stellten sie gegen Zahlung einer hohen Bitcoin-Summe Zugang zu vielen weiteren Tools in Aussicht, was aber vermutlich nur bezweckte, mehr Aufmerksamkeit für die Veröffentlichung zu bekommen. In den veröffentlichten Tools stieß Kaspersky jetzt auf Verschlüsselungsmethoden in einer nur von der Equation Group bekannten Implementation.

Sicherheitsforscher weltweit beeilen sich jetzt, die mutmaßlichen Hackertools der NSA zu analysieren. Es scheint sich um Exploits zu handeln, um Firewalls und ähnliche Netzwerk-Sicherheitssysteme von Herstellern wie Cisco, Fortinet und Juniper zu überwinden. Eine Erprobung ergab bereits, dass es sich um tatsächlich nutzbare Werkzeuge für Cyberangriffe handelt. Wie XORcat im Labortest herausfand, erlaubt es etwa der Exploit ExtraBacon, die Passwortüberprüfung einer Firewall nach Belieben aus- und einzuschalten – und somit das unauffällige Eindringen in ein gesichertes Netzwerk zu ermöglichen.

Die Echtheit der Tools bekam außerdem die Washington Post von früheren Mitarbeitern des US-Auslandsgeheimdienstes NSA bestätigt, die in dessen Hackersparte Tailored Access Operations (TAO) tätig waren. Mehr Einblick in die dahinterstehende Praxis der Geheimdienste gab in einer Serie von Tweets Whistleblower Edward Snowden. Bei NSA wie Gegenspielern ist es üblich, Angriffe auf fremde Computersysteme nicht von ihren eigenen Systemen aus zu führen, sondern über Proxy-Server, um den Ausgangspunkt der Attacken zu verschleiern. Gleichzeitig beobachten staatliche Hacker die Server ihrer Rivalen oft unentdeckt über Jahre hinweg, um ihre Operationen zu verfolgen und ihre Hackertools zu erbeuten.

Laut Snowden sind die TAO-Hacker der NSA aus diesem Grund angewiesen, ihre Angriffswerkzeuge nach einer Operation nicht auf den Servern zu belassen – aber manchmal seien sie eben auch nachlässig. Wirklich neu sei jetzt, dass eine Gegenseite von der NSA erbeutete Tools öffentlich machte. Indizienbeweise ließen darauf schließen, dass die Veröffentlichung von Russland ausging. Als wahrscheinlichen Grund dafür nimmt der Whistleblower eine Warnung an die USA an, dass Beweise für bestimmte NSA-Attacken folgen könnten. Das wiederum könnte erhebliche außenpolitische Konsequenzen haben – insbesondere wenn sich Operationen gegen Verbündete der Vereinigten Staaten richteten oder Wahlen beeinflussen sollten.

Letztlich vermutet Edward Snowden, dass Russland damit die USA von scharfen Reaktionen auf den DNC-Hack abhalten will, bei dem russische Hacker sich Zugang zu einem Netzwerk und E-Mail-System der Demokratischen Partei verschafften und anschließend Dokumente veröffentlichten. Dabei stellte die Sicherheitsfirma CrowdStrike eine Verbindung der Hacker zur russischen Regierung fest. Die Clinton-Wahlkampagne geht davon aus, dass „die für den DNC-Hack verantwortlichen russischen Gruppen die Absicht haben, den Ausgang dieser Wahl zu beeinflussen“. Das Democratic National Committee (DNC) sprach von einer „Desinformationskampagne der Russen“.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Bernd Kling

Recent Posts

Türkei hebt nach fast drei Jahren Sperre von Wikipedia auf

Die Regierung setzt ein Urteil des Obersten Gerichtshofs um. Der stuft die Blockade als verfassungswidrig ein. Das Gericht folgt seiner…

1 Stunde ago

Google stellt Chrome-Apps auf allen Plattformen ein

Die Änderung gilt schon in diesem Jahr für Windows, macOS und Linux. Unter Chrome OS gibt Google seinen Kunden mehr…

3 Stunden ago

Januar-Patchday: Oracle schließt 334 Lücken in seinen Produkten

Es sind insgesamt 94 Produkte betroffen. 191 Schwachstellen lassen sich aus der Ferne ohne Eingabe von Anmeldedaten ausnutzen. Die Gesamtzahlen…

5 Stunden ago

Proof-of-Concept-Exploits für NSA-Crypto-Lücke in Windows veröffentlicht

Es liegen mindestens drei verschiedene Exploits vor, von denen zwei öffentlich verfügbar sind. Das erhöht die Wahrscheinlichkeit von Angriffen deutlich.…

6 Stunden ago

Mozilla entlässt 70 Mitarbeiter – auch führende Manager

Das Unternehmen reagiert auf sinkende Nutzerzahlen und den damit verbundenen Umsatzrückgang. CEO Mitchell Baker räumt ein, dass der Aufbau neuer…

22 Stunden ago

Sophos: Abo-Betrug im Play Store betrifft mehr als 600 Millionen Nutzer

Insgesamt 25 Apps nutzen eine Lücke in Googles Play-Store-Richtlinie. Nutzer, die diese Apps während einer Testphase löschen, beenden damit nicht…

24 Stunden ago