NSA und GCHQ spähten Antivirenhersteller aus

Die Geheimdienste National Security Agency (NSA) und Government Communications Headquarters (GCHQ) haben E-Mails an Hersteller von Antivirenlösungen abgefangen und durch Reverse Engineering versucht, Erkenntnisse über deren Wissen über Malware zu erhalten. Über „Project Camberdada“ und andere gegen Antivirenhersteller gerichtete Aktionen berichtet jetzt The Intercept, dem neue Dokumente aus dem Fundus von Edward Snowden vorliegen.

Von E-Mail-Spionage waren demnach insgesamt 25 Sicherheitsfirmen betroffen, etwa Avira aus Deutschland, AVG aus Tschechien und F-Secure aus Finnland, deren Namen sich auf einer Folie mit der Überschrift „Mehr Ziele“ finden. Auffällige Ausnahmen sind mit McAfee und Symantec zwei amerikanische Firmen sowie der britische Anbieter Sophos.

Ein besonderes Interesse hatten der amerikanische und der britische Geheimdienst aber an Kaspersky Lab aus Russland, das schon seiner Wurzeln wegen unter Generalverdacht steht. Zudem galt es dem GCHQ als Hindernis. In einem Antrag, durch Reverse Engineering Kasperskys Software durchleuchten zu dürfen, hieß es 2008: „Persönliche Sicherheitsprodukte wie die des russischen Antivirensoftwareherstellers Kaspersky bleiben eine Herausforderung für die Fähigkeiten des GCHQ, in Computernetze einzudringen.“

Was der Geheimdienst mit den gewonnenen Erkenntnissen anstellte, ist unklar. Als wahrscheinlich gilt aber, dass er nach Möglichkeiten suchte, die Sicherheitssoftware selbst zu kompromittieren. Solche Programme sind einem von Intercept zitierten Experten zufolge, Joxean Koret von Coseinc, weit anfälliger als etwa Adobe Reader, Microsoft Word oder Google Chrome, die im Fokus von Sicherheitsforschungen stehen und daher vielfach gehärtet wurden.

Zudem hat die NSA den Unterlagen zufolge Informationen abgefangen, die Kaspersky von seinen Kunden erhielt. Sie nutzte dafür eine „User Agent“-Erkennung, was Kaspersky zufolge gar nicht möglich ist, weil sämtliche Daten anonymisiert würden. Allerdings legt The Intercept Indizien vor, dass Kasperskys Verschlüsselungssystem für diese Kommunikation nicht immer so vollständig griff wie behauptet.

Vor einigen Wochen hatte Kaspersky einen kaum aufspürbaren Hack seiner Systeme gemeldet, der sich im Frühjahr ereignete. Er hinterließ weder Dateien auf Festplatten, noch änderte er Systemeinstellungen. Er nutzte mindestens drei Zero-Day-Lücken aus. Ihren Namen Duqu 2.0 trägt diese Operation, weil dieselben Autoren dahinterstecken zu scheinen wie hinter Duqu und Stuxnet. Diese aber hat die New York Times 2011 zu amerikanischen und israelischen Geheimdiensten zurückverfolgt.

[mit Material von Martin Schindler, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de