NSA und GCHQ spähten Antivirenhersteller aus

Die Geheimdienste National Security Agency (NSA) und Government Communications Headquarters (GCHQ) haben E-Mails an Hersteller von Antivirenlösungen abgefangen und durch Reverse Engineering versucht, Erkenntnisse über deren Wissen über Malware zu erhalten. Über „Project Camberdada“ und andere gegen Antivirenhersteller gerichtete Aktionen berichtet jetzt The Intercept, dem neue Dokumente aus dem Fundus von Edward Snowden vorliegen.

Antivirenhersteller als Ziele (Bild: via The Intercept)

Von E-Mail-Spionage waren demnach insgesamt 25 Sicherheitsfirmen betroffen, etwa Avira aus Deutschland, AVG aus Tschechien und F-Secure aus Finnland, deren Namen sich auf einer Folie mit der Überschrift „Mehr Ziele“ finden. Auffällige Ausnahmen sind mit McAfee und Symantec zwei amerikanische Firmen sowie der britische Anbieter Sophos.

Ein besonderes Interesse hatten der amerikanische und der britische Geheimdienst aber an Kaspersky Lab aus Russland, das schon seiner Wurzeln wegen unter Generalverdacht steht. Zudem galt es dem GCHQ als Hindernis. In einem Antrag, durch Reverse Engineering Kasperskys Software durchleuchten zu dürfen, hieß es 2008: „Persönliche Sicherheitsprodukte wie die des russischen Antivirensoftwareherstellers Kaspersky bleiben eine Herausforderung für die Fähigkeiten des GCHQ, in Computernetze einzudringen.“

Was der Geheimdienst mit den gewonnenen Erkenntnissen anstellte, ist unklar. Als wahrscheinlich gilt aber, dass er nach Möglichkeiten suchte, die Sicherheitssoftware selbst zu kompromittieren. Solche Programme sind einem von Intercept zitierten Experten zufolge, Joxean Koret von Coseinc, weit anfälliger als etwa Adobe Reader, Microsoft Word oder Google Chrome, die im Fokus von Sicherheitsforschungen stehen und daher vielfach gehärtet wurden.

Zudem hat die NSA den Unterlagen zufolge Informationen abgefangen, die Kaspersky von seinen Kunden erhielt. Sie nutzte dafür eine „User Agent“-Erkennung, was Kaspersky zufolge gar nicht möglich ist, weil sämtliche Daten anonymisiert würden. Allerdings legt The Intercept Indizien vor, dass Kasperskys Verschlüsselungssystem für diese Kommunikation nicht immer so vollständig griff wie behauptet.

Vor einigen Wochen hatte Kaspersky einen kaum aufspürbaren Hack seiner Systeme gemeldet, der sich im Frühjahr ereignete. Er hinterließ weder Dateien auf Festplatten, noch änderte er Systemeinstellungen. Er nutzte mindestens drei Zero-Day-Lücken aus. Ihren Namen Duqu 2.0 trägt diese Operation, weil dieselben Autoren dahinterstecken zu scheinen wie hinter Duqu und Stuxnet. Diese aber hat die New York Times 2011 zu amerikanischen und israelischen Geheimdiensten zurückverfolgt.

[mit Material von Martin Schindler, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago