NSA-Hackertools: Kaspersky hält sie für authentisch

Die Sicherheitsfirma Kaspersky hält die von den ominösen „Shadow Brokers“ veröffentlichten Hackertools für zweifellos echte Werkzeuge der Equation Group, bei der es sich offenbar um eine offensive NSA-Einheit für Cyberangriffe handelt. Dieser Einschätzung haben sich Sicherheitsexperten wie Bruce Schneier und Whistleblower Edward Snowden angeschlossen. Indizien weisen darauf hin, dass Russland die hochentwickelten Hackerwaffen öffentlich gemacht hat und damit ein politisches Ziel verfolgt.

Kasperskys Urteil ist deshalb bedeutsam, weil das russische Sicherheitsunternehmen im letzten Jahr die Equation Group identifizierte und als höchstentwickelte Cyberangreifer der Welt bezeichnete. Kaspersky Lab beschrieb die Gruppe als identisch oder durch enge Zusammenarbeit verbunden mit den Entwicklern der Cyberbedrohungen Stuxnet und Flame – und schrieb ihnen Aktionen mindestens seit 2001, wenn nicht sogar seit 1996 zu.

Die Equation Group soll verschiedene Malware-Plattformen nutzen, frühzeitig Zugang zu Zero-Day-Exploits haben und weit über alles hinausgehen, was bislang zu beobachten war. Die Organisation nutze Tools, die extrem kompliziert und teuer zu entwickeln sind, agiere sehr professionell hinsichtlich der Art, wie sie ihre Ziele infiziert, stehle Daten und verschleiere dabei ihre Identität, und setze ebenfalls „klassische“ Spionagetechniken ein, um schädliche Payloads auszuliefern.

Am 13. August 2016 machten die Shadow Brokers eine Sammlung von Hackertools über Filesharing-Dienste wie BitTorrent und DropBox zugänglich. Gleichzeitig stellten sie gegen Zahlung einer hohen Bitcoin-Summe Zugang zu vielen weiteren Tools in Aussicht, was aber vermutlich nur bezweckte, mehr Aufmerksamkeit für die Veröffentlichung zu bekommen. In den veröffentlichten Tools stieß Kaspersky jetzt auf Verschlüsselungsmethoden in einer nur von der Equation Group bekannten Implementation.

Sicherheitsforscher weltweit beeilen sich jetzt, die mutmaßlichen Hackertools der NSA zu analysieren. Es scheint sich um Exploits zu handeln, um Firewalls und ähnliche Netzwerk-Sicherheitssysteme von Herstellern wie Cisco, Fortinet und Juniper zu überwinden. Eine Erprobung ergab bereits, dass es sich um tatsächlich nutzbare Werkzeuge für Cyberangriffe handelt. Wie XORcat im Labortest herausfand, erlaubt es etwa der Exploit ExtraBacon, die Passwortüberprüfung einer Firewall nach Belieben aus- und einzuschalten – und somit das unauffällige Eindringen in ein gesichertes Netzwerk zu ermöglichen.

Die Echtheit der Tools bekam außerdem die Washington Post von früheren Mitarbeitern des US-Auslandsgeheimdienstes NSA bestätigt, die in dessen Hackersparte Tailored Access Operations (TAO) tätig waren. Mehr Einblick in die dahinterstehende Praxis der Geheimdienste gab in einer Serie von Tweets Whistleblower Edward Snowden. Bei NSA wie Gegenspielern ist es üblich, Angriffe auf fremde Computersysteme nicht von ihren eigenen Systemen aus zu führen, sondern über Proxy-Server, um den Ausgangspunkt der Attacken zu verschleiern. Gleichzeitig beobachten staatliche Hacker die Server ihrer Rivalen oft unentdeckt über Jahre hinweg, um ihre Operationen zu verfolgen und ihre Hackertools zu erbeuten.

Laut Snowden sind die TAO-Hacker der NSA aus diesem Grund angewiesen, ihre Angriffswerkzeuge nach einer Operation nicht auf den Servern zu belassen – aber manchmal seien sie eben auch nachlässig. Wirklich neu sei jetzt, dass eine Gegenseite von der NSA erbeutete Tools öffentlich machte. Indizienbeweise ließen darauf schließen, dass die Veröffentlichung von Russland ausging. Als wahrscheinlichen Grund dafür nimmt der Whistleblower eine Warnung an die USA an, dass Beweise für bestimmte NSA-Attacken folgen könnten. Das wiederum könnte erhebliche außenpolitische Konsequenzen haben – insbesondere wenn sich Operationen gegen Verbündete der Vereinigten Staaten richteten oder Wahlen beeinflussen sollten.

Letztlich vermutet Edward Snowden, dass Russland damit die USA von scharfen Reaktionen auf den DNC-Hack abhalten will, bei dem russische Hacker sich Zugang zu einem Netzwerk und E-Mail-System der Demokratischen Partei verschafften und anschließend Dokumente veröffentlichten. Dabei stellte die Sicherheitsfirma CrowdStrike eine Verbindung der Hacker zur russischen Regierung fest. Die Clinton-Wahlkampagne geht davon aus, dass „die für den DNC-Hack verantwortlichen russischen Gruppen die Absicht haben, den Ausgang dieser Wahl zu beeinflussen“. Das Democratic National Committee (DNC) sprach von einer „Desinformationskampagne der Russen“.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.