Hacker-Tools zu verkaufen

Wurde die NSA gehackt?

Florian Maier beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Wurde die NSA nach zahlreichen Skandalen nun selbst Opfer von Hackern? Eine anonyme Gruppe von Cyberkriminellen behauptet, im Besitz von Hacking-Tools zu sein, die der National Security Agency gehören. Die Exploit Kits wurden im Netz zum Kauf angeboten.

Eine kühne Behauptung, die die Hacker da aufstellen. Allerdings sind Sample Files der gestohlenen Tools aufgetaucht, die von IT-Security-Spezialisten als authentisch eingestuft werden. Die NSA-Hacking-Tools wurden im Netz zum Kauf angeboten.

Hacking-Tools gegen Höchstgebot

Gestohlen wurden die Tools mutmaßlich von der Equation Group, einer der berüchtigtsten Cyberspionage-Gruppen, der Verbindungen zur National Security Agency (NSA) nachgesagt werden. Auch bei der Entwicklung des Stuxnet-Wurms sollen deren Mitglieder ihre Finger im Spiel gehabt haben, wie man bei Kaspersky herausgefunden haben will.

Genau die "Cyber-Waffen", die die Equation Group genutzt haben soll, sind nun offensichtlich von einer bislang anonymen Hacker-Gruppierung namens "The Shadow Brokers" gestohlen worden. In einem inzwischen gelöschten Post auf der Blog-Plattform Tumblr wurden die vermeintlichen NSA-Hacking-Tools gegen Höchstgebot zum Kauf angeboten und mit den Worten beworben: "We auction best files to highest bidder. Auction files better than stuxnet".

NSA-Hack oder Mega-Scam?

Nicholas Weaver, Security-Experte am International Computer Science Institute in Kalifornien, äußerte sich per E-Mail zu den Dateien und Sample Files: "Die neuesten Samples der gestohlenen Files sind auf das Jahr 2013 datiert. Und sie beinhalten Code, der mit Hacking-Aktivitäten in Verbindung gebracht werden kann. Es sieht ganz danach aus, als handelt es sich bei den gestohlenen Dateien um große Teile der NSA-Infrastruktur, um Router und Firewalls zu kontrollieren - inklusive Implants, Exploits und anderen Tools."

Auch bei Risk Based Security hat man die Sample Files der Hacker genauer unter die Lupe genommen und dabei herausgefunden, dass einer der Exploits eine IP-Adresse beinhaltet, die auf das US-Verteidigungsministerium registriert ist. Wie das Security-Unternehmen in einem Blogpost mitteilt, bedeute das aber nicht zwangsläufig, dass die NSA tatsächlich gehackt worden ist. Die "Shadow Brokers" könnten schlicht über ein kompromittiertes System "gestolpert" sein, dass die Exploits gehostet hat.

Zudem kommt auch in Betracht, dass die Hacker es schlicht mit einer groß angelegten Betrugsmasche versuchen. Solche Praktiken seien in der Black-Hat-Hacker-Szene weit verbreitet, wie Risk Based Security preisgibt. Von Seiten der NSA hat man Verbindungen zur "Equation Group" niemals offiziell bestätigt. Auch zu dem angeblichen Diebstahl der Hacking-Tools gibt es bislang keine Stellungnahme.

Für die "Shadow Broker" könnten die Hacker-Werkzeuge - auch wenn es letztendlich nur Betrug ist - ein mehr als eindringliches Geschäft bedeuten: eine Million Bitcoins (ca. 566 Millionen Dollar; 502 Millionen Euro) forderten die Cyberkriminellen in besagtem Blogpost für die Dateien. Natürlich nicht, ohne deren destruktives Potential nochmals zu bewerben: Die gestohlenen NSA-Hacking-Tools eigneten sich perfekt, um Banken ins Chaos zu stürzen, so die Hacker auf Tumblr.

Das sagen Security-Experten

Nicht nur bei den Kaspersky Labs hat man inzwischen weitere Anhaltspunkte dafür ausgemacht, dass die "Shadow Brokers" die Hacking-Tools tatsächlich von der Equation Group gestohlen haben. Zahlreiche Koryphäen der IT-Sicherheit haben die Sample Files unter die Lupe genommen. Was sie dabei herausfanden, kann man durchaus als beängstigend bezeichnen. Die gestohlenen NSA-Tools beinhalten zahlreiche funktionierende Hacking-Werkzeuge - darunter auch Malware, die so widerstandsfähig ist, dass sie selbst durch eine komplette Neuinstallation des Betriebssystems nicht loszuwerden ist.

Brandon Dolan-Gavitt, Assistenz-Professor an der New York University, gehört zu einem Team von Wissenschaftlern die sich mit dem Thema befassen und bringt die bisherigen Erkenntnisse zum NSA-Toolset auf den Punkt: "Es ist erschreckend, weil hier ein wirklich ernstzunehmendes Level von Expertise und technischen Fähigkeiten demonstriert wird."

Andere Experten haben herausgefunden, dass mit den NSA-Hacking-Tools gezielt Firewalls und Router über Software-Schwachstellen kompromittiert werden können. Dabei handle es sich in einigen Fällen um 0-Day-Sicherheitslücken, in anderen um bislang völlig unbekannte Schlupflöcher. Die Hersteller der betroffenen Produkte sind ebenfalls alarmiert: Cisco hat bereits in einem Blogpost Stellung genommen und einen entsprechenden Patch für betroffene Router ausgerollt. Andere Hersteller wie Juniper sind derzeit noch mit der Aufarbeitung der Geschehnisse beschäftigt - weitere Software Patches dürften folgen.

So gefährlich wie anfangs angenommen sind die Hacking-Tools nach Meinung einiger Experten allerdings nicht. So brauche man für die Ausführung der Exploits, die in den Sample Files gefunden wurden, direkten Zugang zum Interface der Firewall, wie Brian Martin von Risk Based Security preisgibt: "Die Exploits sind immer noch nützlich für kriminelle Hacker, aber nicht so angsteinflößend wie angenommen."

Die Entwicklung der NSA-Tools sei dennoch alles andere als einfach gewesen, wie Dolan-Gavitt betont. Innerhalb der Sample Files sei auch Malware aufgetaucht, die die Firmware eines Rechners - das BIOS - ins Visier nimmt: "Das BIOS ist das erste Stückchen Code, dass beim Bootvorgang ausgeführt wird. Die Malware hat also absolute Kontrolle über jeden Bereich des Computers." Das Resultat einer solchen BIOS-Malware wäre, dass sie selbst durch eine komplette Neuinstallation des Betriebssystems nicht entfernt werden kann. Allerdings, so Dolan-Gavitt relativierend, hätten die Entwickler dieser Malware detailliertes Wissen über die anzugreifende Hardware benötigt. Da diese Informationen in der Regel nicht öffentlich einsehbar sind, hätten die Entwickler sich des sogenannten Reverse Engineering bedienen müssen.

Das sagt Edward Snowden

Auch Whistleblower Edward Snowden hat inzwischen in einer Reihe von Tweets Stellung zum mutmaßlichen NSA-Hack bezogen und sprach dabei von einem "einmaligen" Vorgang.

Dabei kommt Snowden zu dem Schluss, dass Russland Stärke demonstrieren und zeigen will, dass man genug Munition im Köcher hat, falls die USA dem - mutmaßlich von Russland aus gesteuerten Hack des nationalen Kommitees der demokratischen Partei - tatsächlich Sanktionen folgen lassen. Dass die Staging-Server der NSA gehackt werden, sei laut Snowden jedoch nichts Neues. Der Umstand, dass dieser Vorgang öffentlich bekannt gemacht wird, hingegen schon: "Es sieht danach aus, als würde jemand diesen Leak dazu benutzen, eine Botschaft zu senden. Die Botschaft, dass eine Eskalation der gegenseitigen Schuldzuweisungen schnell ausarten könnte. Es ist sehr wahrscheinlich auch eine Warnung, dass jemand die Verantwortlichkeit der US-Behörden für sämtliche Angriffe, die von dem gehackten Server ausgeführt wurden, beweisen kann. Das könnte verheerende außenpolitische Folgen haben, wenn bei einer dieser Operationen Verbündete der USA ins Visier genommen wurden. Insbesondere, wenn diese Operationen im Zusammenhang mit Wahlkampfkampagnen stehen sollten."

Wenn Snowdens Vermutungen zutreffen, könnten die USA nun gezwungen sein, hinsichtlich des "Partei-Hacks" leisere Töne anzuschlagen. Ansonsten könnte Russland mit Enthüllungen über NSA-Operationen zurückschlagen.

Snowden vermutet weiter, dass die Hacker den Zugang zum NSA-Server im Juni 2013 verloren haben - die Zeit also, in der der Whistleblower mit seinen Enthüllungen für einen weltweiten Skandal sorgte. In der Folge sei es sehr wahrscheinlich, dass die NSA den Server aus Sicherheitsgründen gewechselt habe, so Snowden.

Harold Martin: Der neue Edward Snowden?

Wie Anfang Oktober 2016 bekannt wird, hat das FBI im Zusammenhang mit der NSA-Hack-Affäre bereits am 27. August den 51-jährigen Harold Thomas Martin verhaftet. Die zuständige Staatsanwaltschaft in Maryland veröffentlichte Anfang Oktober eine offizielle Pressemitteilung. Der ehemalige Mitarbeiter der IT-Beratungsfirma Booz Allen Hamilton - bei der auch Edward Snowden beschäftigt war - soll im Jahr 2014 in sechs Fällen als geheim klassifizierte NSA-Dokumente entwendet haben. Die Staatsanwaltschaft geht davon aus, dass die gestohlenen Dokumente "im Hinblick auf die nationale Sicherheit in mehrerlei Hinsicht von kritischer Bedeutung sind". Wie die "New York Times" berichtet, wurde Martin verhaftet, weil er verdächtigt wird, geheime Software die zum Angriff auf andere Staaten geeignet ist, offengelegt zu haben. Eine offizielle Bestätigung, dass Martins Verhaftung und die Affäre um den "Shadow Brokers"-Leak in direktem Zusammenhang stehen, steht indes noch aus.

Wie in der offiziellen Anklageschrift zu lesen ist, hat der Verdächtige alle Vorwürfe zunächst abgestritten, nur um kurze Zeit später zuzugeben, geheime Dokumente entwendet zu haben - in dem Wissen, dass dies illegal ist. Bei einer polizeilichen Durchsuchung wurde das betreffende Material auf dem privaten Computer sowie im Auto des Verdächtigen sichergestellt. Im Falle einer Verurteilung drohen Martin mindestens elf Jahre Gefängnis wegen des Diebstahls von Regierungseigentums, sowie der Entwendung geheimer Dokumente.

Während Martins Arbeitgeber jeglichen Kommentar verweigert, sagte der Anwalt des Verdächtigen gegenüber der "Baltimore Sun", dass keinerlei Verdacht auf willentlichen Landesverrat vorläge. Die NSA schweigt sich zu den Vorfällen weiterhin beharrlich aus.

In einem Gerichtsdokument das Ende Oktober 2016 veröffentlicht wird, werden schließlich neue Details bekannt: Demnach haben die Ermittlungsbehörden bei Harold Martin nicht nur rund 50 Terabyte an Daten, sondern auch tausende Dokumente beschlagnahmt. Martin habe über eine Sammlung von Dokumenten aus den Jahren 1996 bis 2016 verfügt, viele davon mit der Einstufung "Secret" und "Top Secret".

Unter diesen Dokumenten sollen sich unter anderem auch geheime Operationspläne gegen einen bekannten Feind der USA befinden. Bereits einen Tag vor der Öffentlichmachung der Gerichtsakte hatte die "New York Times" berichtet, dass Martin auch in Besitz der NSA-Hacking-Tools gewesen sei, die die Hackergruppe "Shadow Brokers" online zum Verkauf angeboten hatte. Von der Seite der Ermittler wurde das bislang nicht bestätigt.

Die Behörden sind derzeit immer noch mit der Auswertung der Beweisstücke beschäftigt, schätzen den Fall jedoch als "schwerwiegend" ein. Allerdings hat sich Martin offensichtlich nicht viel Mühe dabei gegeben, die gestohlenen Dokumente zu verstecken: "Viele der betreffenden Dokumente lagen offen in seinem Büro sowie auf dem Rücksitz und im Kofferraum seines Autos herum", heißt es in der Gerichtsakte. Die Behörden wollen Martin weiterhin in Untersuchungshaft belassen - aus Angst, er könnte gestohlene Informationen weitergeben: "Es ist für jeden ausländischen Geheimdienst und auch für nicht-staatliche Personen offensichtlich, dass der Beschuldigte Zugang zu streng geheimen Informationen hat."

Mit Material von IDG News Service.