Eine kühne Behauptung, die die Hacker da aufstellen. Allerdings sind Sample Files der gestohlenen Tools aufgetaucht, die von IT-Security-Spezialisten als authentisch eingestuft werden. Die NSA-Hacking-Tools wurden im Netz zum Kauf angeboten.
Die meistgesuchten Cyberkriminellen
Cyber's Most Wanted
Sie arbeiten für die chinesische Regierung, spionieren die Privatsphäre von Millionen Menschen skrupellos aus oder bereichern sich auf Kosten argloser Internetsurfer. Für Cyberkriminelle führt das FBI eine eigene "Most Wanted"-Liste. Wir zeigen Ihnen die meistgesuchten Hacker, Cracker und Web-Bauernfänger.
Firas Dardar
Firas Dardar ist vermutlich in Aktivitäten der "Syrian Electronic Army" (SEA) verstrickt, die im Auftrag der syrischen Regierung zwischen September 2011 und Januar 2014 verschiedene Ziele mit Hacking-Attacken unter Beschuss genommen hat - darunter IT-Systeme der US-Regierung, von Medienkonzernen und anderen Unternehmen. Dardar agierte dabei wohl unter dem Nicknamen "The Shadow". Darüber hinaus werden ihm mehrere Cybererpressungen von amerikanischen und internationalen Unternehmen zur Last gelegt. Das FBI geht davon aus, dass Dardar derzeit im syrischen Homs lebt und auch unter den Hackernamen "Ethical Dragon" und "Ethical Spectrum" aktiv ist. Für Informationen, die zur Festnahme von Firas Dardar führen, bietet das FBI eine Belohnung von bis zu 100.000 Dollar.
Ahmed Al Agha
Al Agha ist auch als "Th3 Pr0" bekannt und soll ebenfalls zur "Syrian Electronic Army" gehören. Er wird beschuldigt, für die SEA zwischen 2011 und 2014 Hackerangriffe gegen US-Regierungseinrichtungen, Medienkonzerne und Privatunternehmen getätigt zu haben. Auch er soll sich in seinem Heimatland Syrien aufhalten. Er ist vermutlich Anfang 20 und trägt eine Brille. Für die Festsetzung von Al Agha bietet das FBI bis zu 100.000 Dollar.
Evgeny Mikhalilovich Bogachev
Evgeny Mikhalilovich Bogachev, auch bekannt als "lucky12345" und "slavik", wird vorgeworfen, Mitglied einer kriminellen Vereinigung gewesen zu sein, die den Banking-Trojaner "Zeus" entwickelt und unters Volk gebracht hat, um Identitätsdiebstahl zu betreiben. Mittels einer Malware wurden die Rechner der Opfer unterwandert und Kontodaten, PINs und Passwörter ausspioniert. Erstmals aufgetaucht ist Zeus im Jahr 2009 - Bogachev nutzte damals seine berufliche Stellung als Administrator aus, um zusammen mit einigen Komplizen den Trojaner zu verbreiten.<br /><br />2011 kusierte dann eine modifizierte Zeus-Version namens "GameOver Zeus" (GOZ), die für mehr als eine Million infizierte Systeme weltweit und einen daraus resultierenden Schaden von 100 Millionen Dollar verantwortlich gewesen sein soll. Das FBI vermutet Bogachev auf seinem Boot auf dem Schwarzen Meer. Zudem besitzt er ein Anwesen im russischen Krasnodar, wo er sich ebenfalls aufhalten könnte. Da der durch Zeus verursachte Schaden so hoch ist, liegt die Belohnung des FBI für Hinweise auf Bogachev bei bis zu drei Millionen Dollar.
Nicolae Popescu
Popescu ist unter seinen Aliassen "Nae" und "Stoichitoiu" bekannt und wird wegen seiner Beteiligung an einer "ausgefeilten Internetbetrugsmasche" gesucht, so das FBI. Popescu soll auf Auktionsplattformen Artikel zum Verkauf angeboten haben, die es gar nicht gab und dafür Rechnungen real existierender Online-Bezahldienste gefälscht haben. Popescu hatte Komplizen in den USA, die mithilfe gefälschter Pässe Bankkonten unter falschen Namen eröffneten, damit ihnen Geld überwiesen werden konnte.<br /><br />Sobald die Opfer die Überweisungen vollzogen hatten, wurde das Geld an weitere Mittelsmänner weitergeleitet - zusammen mit Instruktionen per Mail. Popescu befindet sich bereits seit 2012 im Visier des FBI - damals wurde wegen Internetbetrugs, Geldwäsche, Passfälscherei und Falschgeldhandels ein Haftbefehl gegen ihn erlassen. Popescu spricht Rumänisch und hält sich möglicherweise in Europa auf. Die Belohnung für einen Hinweis, die zu seiner Festnahme führt, liegt bei bis zu einer Million Dollar.
Alexsey Belan
2012 und 2013 wurden große E-Commerce-Anbieter in den US-Bundesstaaten Nevada und Kalifornien digital angegriffen, um Kundendatenbanken zu kopieren und die abgezogenen Informationen zu verkaufen. Mutmaßlicher Drahtzieher: der Lette Alexsey Belan, der russisch spricht und sich vermutlich in Russland, Griechenland, Lettland, Thailand oder auf den Malediven aufhält. Seine bekannten Aliasse: Magg, M4G, My.Yawik und Abyrvaig. Das FBI glaubt, dass er mittlerweile eine Brille tragen und sich seine braunen Haare rot oder blond gefärbt haben könnte. Sein letzter bekannter Aufenthaltsort war Athen. Belohnung: 100.000 Dollar.
Jabberzeus Subjects
Die Mitglieder der Hackergruppe "Jabberzeus Subjects" werden wegen der Beteiligung an der Entwicklung und Verbreitung des bereits beschriebenen Banking-Trojaners Zeus gesucht. Zur Gruppe gehören Ivan Viktorvich Klepikov alias "petr0vich" und "nowhere", Alexey Dmitrievich Bron alias "thehead" und Vyacheslav Igorevich Penchukov alias "tank" und "father." Das FBI vermutet die drei derzeit in Russland und der Ukraine. Eine Belohnung für Hinweise auf die drei gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Carlos Enrique Perez-Melara
Carlos Enrique Perez-Melara soll an der Entwicklung einer Spyware beteiligt gewesen sein, die die Privatsphäre ahnungsloser Nutzer in umfangreichem Maße ausspioniert hat. Entwickelt wurde das Ganze ursprünglich als Software mit dem Namen "Catch a cheating lover". Sie funktionierte recht simpel: Der mutmaßliche Fremdgeher bekam vom Käufer der Software eine E-Card zugeschickt - sobald er oder sie sich diese anschaute, installierte sich eine Software auf dem Rechner, die Tastatureingaben, E-Mail-Verkehr und besuchte Websites mitschnitt.<br /><br />Danach verschickte der Dienst eine E-Mail an den Absender der E-Card mit allen aufgezeichneten Daten - so sollte sich dieser ein Bild machen können, ob sich der Verdacht einer Liebesaffäre untermauern ließ.<br /><br />Die Malware wurde als "Email PI", später dann als "Lover Spy" bekannt. Perez-Melara hielt sich mit Touristen- und Studentenvisum lange in den USA auf, hatte Kontakte ins kalifornische San Diego. Zuletzt gesehen wurde er aber in der salvadorianischen Hauptstadt San Salvador. Belohnung: 50.000 Dollar.
Sun Kailiang
Sun Kailiang ist Offizier beim chinesischen Militär und laut FBI in 31 Fällen angeklagt. Es geht um Computerbetrug, unerlaubten Computerzugriff aus finanziellen Motiven, Identitätsdiebstahl, Wirtschaftsspionage und den Diebstahl von Handelsgeheimnissen. Zusammen mit anderen hochrangigen Mitgliedern der Armee setzte Kailiang sein Fachwissen dazu ein, um in die Netze diverser amerikanischer Unternehmen einzudringen, die Geschäftsbeziehungen mit chinesischen Staatsunternehmen pflegten. Darüber hinaus wird Kailiang beschuldigt, persönliche Informationen und Geschäftsgeheimnisse von Atomkraftwerken gestohlen, die Computer von Einzelpersonen infiltriert und mit Schadcode infizierte E-Mails verschickt zu haben. Eine Belohnung für Hinweise auf Kailiang gibt es nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Huang Zhenyu
Auch Zhenyu gehört zu den beschuldigten chinesischen Soldaten, die sich an Computerspionage und -sabotage von US-Systemen im großen Stil beteiligt haben sollen. Eine Belohnung für Hinweise auf Zhenyu gibt es ebenfalls nicht, Hinweise werden aber trotzdem gerne entgegen genommen - entweder beim FBI direkt oder der nächstgelegenen US-Botschaft respektive US-Konsulat.
Wen Xinyu
Wen Xinyu ist ein dritter gesuchter Chinese, der sich an den Aktionen gegen US-Unternehmen, die Geschäfte mit der Volksrepublik gemacht haben, beteiligt haben soll. Als "WenXYHappy", "Win_XY" und "Lao Wen" soll er eine entscheidende Rolle in der technischen Abwicklung der Hackerangriffe gespielt haben. Auch hier hat das FBI keine Belohnung ausgelobt, bittet aber um Hinweise.
Hacking-Tools gegen Höchstgebot
Gestohlen wurden die Tools mutmaßlich von der Equation Group, einer der berüchtigtsten Cyberspionage-Gruppen, der Verbindungen zur National Security Agency (NSA) nachgesagt werden. Auch bei der Entwicklung des Stuxnet-Wurms sollen deren Mitglieder ihre Finger im Spiel gehabt haben, wie man bei Kaspersky herausgefunden haben will.
Genau die "Cyber-Waffen", die die Equation Group genutzt haben soll, sind nun offensichtlich von einer bislang anonymen Hacker-Gruppierung namens "The Shadow Brokers" gestohlen worden. In einem inzwischen gelöschten Post auf der Blog-Plattform Tumblr wurden die vermeintlichen NSA-Hacking-Tools gegen Höchstgebot zum Kauf angeboten und mit den Worten beworben: "We auction best files to highest bidder. Auction files better than stuxnet".
Die Geschichte des Computer-Virus
1986: Brain
Mehr als ein Jahrzehnt, bevor Napster für irgendjemanden ein Begriff war, wurde der erste Computervirus entwickelt - um Softwarepiraterie zu bekämpfen. Der Autor, der das Wort "Cyber" in die Welt setzte, war William Gibson - genannt "Brain". Basit und Amjad Alvi entwickelten und vermarkteten medizinische Software im pakistanischen Lahore. Sie interessierten sich für zwei Dinge. Zuerst wollten sie die Multitasking-Funktionalität der neuen DOS-Betriebssysteme (sogenannte "TSR"-Systeme) testen. Zweitens wollten sie sehen, ob es im Vergleich zu anderen Betriebssystemen wie Unix Sicherheitslücken in DOS gibt.<br /><br />Als sie bemerkten, dass DOS recht anfällig war, hatten sie die Idee, ein Stück Software zu schreiben, das überwacht, wie die Software und die Disketten sich bewegen. Brain verbreitete sich viral über 3,25-Zoll-Disketten und innerhalb weniger Wochen mussten die Alvis ihre Telefonnummern ändern. Das hat Ihnen allerdings wenig genützt, denn 25 Jahre nach der Entwicklung des ersten PC-Virus machte sich Mikko Hypponen von F-Secure im Frühjahr 2011 auf die Reise nach Lahore. Sein Ziel: die Adresse, die im Code zu finden war. Tatsächlich fand er die Alvi-Brüder dort vor und bekam die Gelegenheit, mit ihnen das erste Video-Interview über Brain zu führen.
1987: Stoned
Erstellt durch einen Gymnasiasten in Neuseeland, wurde Stoned zunächst als harmlos angesehen. Zunächst machte er sich auch lediglich mit der Meldung "Your PC is now Stoned" bemerkbar. Doch als erster Virus, der den Bootsektor eines PCs infizierte, zeigte Stoned, dass Viren die Funktion eines Computers steuern können - und zwar von dem Moment an, in dem er eingeschaltet wird. Bob Dylan wäre stolz gewesen.
1990: Form
Form wurde zu einem der meistverbreiteten Viren überhaupt. Am 18. eines jeden Monats entlockte er den PC-Lautsprechern ein klickendes Geräusch - jedes Mal, wenn eine Taste gedrückt wurde. Das war zwar durchaus ärgerlich, aber harmlos.
1992: Michelangelo
Michelangelo wurde dazu genutzt, alle Daten auf einer Festplatte zu bestimmten Terminen zu überschreiben. Als eine Variante von Stoned - nur deutlich bösartiger - war Michelangelo wohl der erste Computervirus, der es auf internationaler Ebene in die Nachrichten geschafft hat.
1992: VCL
Das Virus Creation Laboratory (VCL) machte es kinderleicht, ein bösartiges kleines Programm zu basteln – durch die Automatisierung der Virenerstellung über eine einfache grafische Schnittstelle.
1993: Monkey
Monkey - ebenfalls ein entfernter Verwandter von Stoned - integrierte sich heimlich in Dateien und verbreitete sich anschließend nahtlos. Damit war Monkey ein früher Vorfahre des Rootkits: Ein selbstverbergendes Programm, das den Bootvorgang per Diskette verhindern konnte. Wenn es nicht korrekt entfernt wurde, verhinderte Monkey gar jegliche Art des Bootens.
1995: Concept
Als erster Virus, der Microsoft Word-Dateien infizierte, wurde Concept zu einem der häufigsten Computer-Schädlinge. Schließlich war er in der Lage, jedes Betriebssystem, das Word ausführen konnte, zu infizieren. Achja und: Wurde die Datei geteilt, wurde auch der Virus geteilt.
1999: Happy99
Happy99 war der erste E-Mail-Virus. Er begrüßte User mit den Worten "Happy New Year 1999" und verbreitete die frohe Botschaft per E-Mail auch gleich an alle Kontakte im Adressbuch. Wie die frühen PC-Viren richtete Happy99 keinen wirklichen Schaden an, schaffte es aber dennoch, sich auf Millionen von PCs auf der ganzen Welt auszubreiten.
1999: Melissa
Angeblich benannt nach einer exotischen Tänzerin, stellte Melissa eine Kombination aus klassischem Virus und E-Mail-Virus dar. Er (beziehungsweise sie) infizierte eine Word-Datei, verschickte sich dann selbst per E-Mail an alle Kontakte im Adressbuch und wurde so zum ersten Virus, der innerhalb weniger Stunden zu weltweiter Verbreitung brachte.<br />Melissa kombinierte das "Spaß-Motiv" der frühen Virenautoren mit der Zerstörungskraft der neuen Ära: Der Virus integrierte unter anderem Kommentare von "The Simpsons" in Dokumente der Benutzer, konnte aber auch vertrauliche Informationen verschicken, ohne dass Betroffene dies bemerkten. Nicht lange nach Melissa wurden Makroviren praktisch eliminiert, indem Microsoft die Arbeitsweise der Visual-Basic-Makro-Sprache in Office-Anwendungen änderte.
2000: Loveletter
Dieser Loveletter hat Millionen von Herzen gebrochen und gilt noch heute als einer der größten Ausbrüche aller Zeiten. Loveletter verbreitete sich via E-Mail-Anhang und überschrieb viele wichtige Dateien auf infizierten PCs. Gleichzeitig ist es einer der erfolgreichsten Social-Engineering-Attacken überhaupt. Millionen von Internet-Nutzern fielen dem Versprechen von der großen Liebe zum Opfer und öffneten den infizierten E-Mail-Anhang. Der geschätzte, weltweite Gesamtschaden betrug Schätzungen zufolge 5,5 Milliarden Dollar.
2001: Code Red
Der erste Wurm, der sich ohne jegliche Benutzerinteraktion innerhalb von Minuten verbreitete, trug den Namen Code Red. Er führte verschiedene Aktionen in einem Monatszyklus aus: An den Tagen eins bis 19 verbreitete er sich - von Tag 20 bis 27 startete er Denial-of-Service-Attacken auf diverse Webseiten - beispielsweise die des Weißen Hauses. Von Tag 28 bis zum Ende des Monats war übrigens auch bei Code Red Siesta angesagt.
2003: Slammer
Netzwerk-Würmer benötigen nur ein paar Zeilen Code und eine Schwachstelle - schon können sie für ernste Probleme sorgen. Slammer brachte auf diese Weise das Geldautomaten-Netz der Bank of America und die Notrufdienste in Seattle zum Absturz. Sogar das Flugverkehrskontrollsystem war nicht gegen den agilen Bösewicht immun.
2003: Fizzer
Fizzer war der erste Virus, der gezielt entwickelt wurde, um Geld zu verdienen. In Gestalt eines infizierten E-Mail-Anhangs kam er auf die Rechner seiner Opfer. Wurde die Datei geöffnet, übernahm Fizzer den Rechner und benutzte diesen, um Spam zu versenden.
2003: Cabir
Cabir war der erste Handy-Virus der IT-Geschichte und hatte es gezielt auf Nokia-Telefone mit Symbian OS abgesehen. Cabir wurde über Bluetooth verbreitet und bewies, dass der technologische Fortschritt alleine kein wirksames Mittel gegen Hacker und Cyberkriminelle ist.
2003: SDBot
SDBot war ein Trojanisches Pferd, das die üblichen Sicherheitsmaßnahmen eines PCs umging, um heimlich die Kontrolle zu übernehmen. Er erstellte eine Backdoor, die es dem Autor unter anderem ermöglichte, Passwörter und Registrierungscodes von Spielen wie "Half-Life" und "Need for Speed 2" auszuspionieren.
2003: Sobig
Sobig war eine Optimierung von Fizzer. Die Besonderheit: Einige Versionen warteten zunächst ein paar Tage nach der Infektion eines Rechners, bevor die betroffenen Rechner als E-Mail-Proxy-Server benutzt wurden. Das Ergebnis? Eine massive Spam-Attacke. Alleine AOL musste mehr als 20 Millionen infizierte Nachrichten pro Tag abfangen.
2004: Sasser
Sasser verschaffte sich über gefährdete Netzwerk-Ports Zugang zum System, verlangsamte dieses dramatisch oder brachte gleich ganze Netzwerke zum Absturz – von Australien über Hongkong bis nach Großbritannien.
2005: Haxdoor
Haxdoor war ein weiterer Trojaner, der nach Passwörtern und anderen privaten Daten schnüffelte. Spätere Varianten hatten zudem Rootkit-Fähigkeiten. Im Vergleich zu früheren Viren setzte Haxdoor weitaus komplexere Methoden ein, um seine Existenz auf dem System zu verschleiern. Ein modernes Rootkit kann einen Computer in einen Zombie-Computer verwandeln, der ohne das Wissen des Benutzers fremdgesteuert werden kann - unter Umständen jahrelang.
2005: Sony DRM Rootkit
Im Jahr 2005 hatte eine der größten Plattenfirmen der Welt die gleiche Idee, die schon die Alvi-Brüder im Jahr 1986 hatten: Ein Virus sollte Piraterie verhindern. Auf den betroffenen Audio-CDs war nicht nur eine Musik-Player-Software, sondern auch ein Rootkit enthalten. Dieses kontrollierte, wie der Besitzer auf die Audio-Tracks der Disc zugreift. Das Ergebnis: ein medialer Shitstorm und eine Sammelklage. Letzterer konnte sich Sony nur durch großzügige Vergleichszahlungen und kostenlose Downloads außergerichtlich erwehren.
2007: Storm Worm
Laut Machiavelli ist es besser, gefürchtet als geliebt zu werden. Sieben Jahre nach Loveletter, machte sich der Schädling Storm Worm unsere kollektive Angst vor Wetterkapriolen zu Nutze. Dazu benutzte er eine E-Mail mit der Betreffzeile "230 Tote durch Sturm in Europa". Sobald der Dateianhang geöffnet wurde, zwangen eine Trojaner- Backdoor und ein Rootkit den betroffenen Rechner, sich einem Botnetz anzuschließen. Botnetze sind Armeen von Zombie-Computern, die verwendet werden können, um unter anderem Tonnen von Spam zu verbreiten. Storm Worm kaperte zehn Millionen Rechner.
2008: Mebroot
Mebroot war ein Rootkit, dass gezielt konstruiert wurde, um die gerade aufkommenden Rootkit-Detektoren auszutricksen. Dabei war der Schädling so fortschrittlich, dass er einen Diagnosebericht an den Virenschreiber sendete, sobald er einen PC zum Absturz gebracht hatte.
2008: Conficker
Conficker verbreitete sich rasend schnell auf Millionen von Computern weltweit. Er nutzte sowohl Schwachstellen in Windows, als auch schwache Passwörter. Kombiniert mit einigen fortschrittlichen Techniken, konnte Conficker weitere Malware installieren. Eine - besonders fiese - Folge: die Benutzer wurden durch den Virus vom Besuch der Website der meisten Anbieter von Security-Software gehindert. Mehr als zwei Jahre nachdem Conficker erstmals gesichtet wurde, waren immer noch täglich mehr Rechner infiziert.
2010: 3D Anti Terrorist
Dieses "trojanisierte" Game zielte auf Windows-Telefone ab und wurde über Freeware-Websites verteilt. Einmal installiert, startete der Trojaner Anrufe zu besonders teuren Sondernummern und bescherte den Nutzern überaus saftige Rechnungen. Diese Strategie bei Apps ist immer noch neu - wird sich aber vermutlich zu einer der gängigsten Methoden entwickeln, mit denen Hacker und Cyberkriminelle künftig mobile Endgeräte angreifen.
2010: Stuxnet
Wie schon gesehen, haben Computer-Viren schon seit Jahrzehnten Auswirkungen auf die reale Welt - doch im Jahr 2010 hat ein Virus auch den Lauf der Geschichte verändert: Stuxnet. Als ungewöhnlich großer Windows-Wurm (Stuxnet ist mehr als 1000 Prozent größer als der typische Computerwurm) verbreitete sich Stuxnet wahrscheinlich über USB-Geräte. Der Wurm infizierte ein System, versteckte sich mit einem Rootkit und erkannte dann, ob der infizierte Computer sich mit dem Automatisierungssystem Siemens Simatic verbindet. Wenn Stuxnet eine Verbindung feststellte, veränderte er die Befehle, die der Windows-Rechner an die PLC/SPS-programmierbaren Logik-Controller sendet - also die Boxen zur Steuerung der Maschinen.<br /><br /> Läuft er auf PLC/SPS, sucht er nach einer bestimmten Fabrikumgebung. Wenn diese nicht gefunden wird, bleibt Stuxnet inaktiv. Nach Schätzungen der F-Secure Labs, kostete die Umsetzung von Stuxnet mehr als zehn Mannjahre Arbeit. Immerhin zeigt das, dass ein Virus, der offensichtlich eine Zentrifuge zur Urananreicherung manipulieren kann, nicht im Handumdrehen von Jedermann erschaffen werden kann. Die Komplexität von Stuxnet und die Tatsache, dass der Einsatz dieses Virus nicht auf finanziellen Interessen beruhte, legt den Verdacht nahe, dass Stuxnet im Auftrag einer Regierung entwickelt wurde.
NSA-Hack oder Mega-Scam?
Nicholas Weaver, Security-Experte am International Computer Science Institute in Kalifornien, äußerte sich per E-Mail zu den Dateien und Sample Files: "Die neuesten Samples der gestohlenen Files sind auf das Jahr 2013 datiert. Und sie beinhalten Code, der mit Hacking-Aktivitäten in Verbindung gebracht werden kann. Es sieht ganz danach aus, als handelt es sich bei den gestohlenen Dateien um große Teile der NSA-Infrastruktur, um Router und Firewalls zu kontrollieren - inklusive Implants, Exploits und anderen Tools."
Auch bei Risk Based Security hat man die Sample Files der Hacker genauer unter die Lupe genommen und dabei herausgefunden, dass einer der Exploits eine IP-Adresse beinhaltet, die auf das US-Verteidigungsministerium registriert ist. Wie das Security-Unternehmen in einem Blogpost mitteilt, bedeute das aber nicht zwangsläufig, dass die NSA tatsächlich gehackt worden ist. Die "Shadow Brokers" könnten schlicht über ein kompromittiertes System "gestolpert" sein, dass die Exploits gehostet hat.
Zudem kommt auch in Betracht, dass die Hacker es schlicht mit einer groß angelegten Betrugsmasche versuchen. Solche Praktiken seien in der Black-Hat-Hacker-Szene weit verbreitet, wie Risk Based Security preisgibt. Von Seiten der NSA hat man Verbindungen zur "Equation Group" niemals offiziell bestätigt. Auch zu dem angeblichen Diebstahl der Hacking-Tools gibt es bislang keine Stellungnahme.
Für die "Shadow Broker" könnten die Hacker-Werkzeuge - auch wenn es letztendlich nur Betrug ist - ein mehr als eindringliches Geschäft bedeuten: eine Million Bitcoins (ca. 566 Millionen Dollar; 502 Millionen Euro) forderten die Cyberkriminellen in besagtem Blogpost für die Dateien. Natürlich nicht, ohne deren destruktives Potential nochmals zu bewerben: Die gestohlenen NSA-Hacking-Tools eigneten sich perfekt, um Banken ins Chaos zu stürzen, so die Hacker auf Tumblr.
Das sagen Security-Experten
Nicht nur bei den Kaspersky Labs hat man inzwischen weitere Anhaltspunkte dafür ausgemacht, dass die "Shadow Brokers" die Hacking-Tools tatsächlich von der Equation Group gestohlen haben. Zahlreiche Koryphäen der IT-Sicherheit haben die Sample Files unter die Lupe genommen. Was sie dabei herausfanden, kann man durchaus als beängstigend bezeichnen. Die gestohlenen NSA-Tools beinhalten zahlreiche funktionierende Hacking-Werkzeuge - darunter auch Malware, die so widerstandsfähig ist, dass sie selbst durch eine komplette Neuinstallation des Betriebssystems nicht loszuwerden ist.
Brandon Dolan-Gavitt, Assistenz-Professor an der New York University, gehört zu einem Team von Wissenschaftlern die sich mit dem Thema befassen und bringt die bisherigen Erkenntnisse zum NSA-Toolset auf den Punkt: "Es ist erschreckend, weil hier ein wirklich ernstzunehmendes Level von Expertise und technischen Fähigkeiten demonstriert wird."
Andere Experten haben herausgefunden, dass mit den NSA-Hacking-Tools gezielt Firewalls und Router über Software-Schwachstellen kompromittiert werden können. Dabei handle es sich in einigen Fällen um 0-Day-Sicherheitslücken, in anderen um bislang völlig unbekannte Schlupflöcher. Die Hersteller der betroffenen Produkte sind ebenfalls alarmiert: Cisco hat bereits in einem Blogpost Stellung genommen und einen entsprechenden Patch für betroffene Router ausgerollt. Andere Hersteller wie Juniper sind derzeit noch mit der Aufarbeitung der Geschehnisse beschäftigt - weitere Software Patches dürften folgen.
So gefährlich wie anfangs angenommen sind die Hacking-Tools nach Meinung einiger Experten allerdings nicht. So brauche man für die Ausführung der Exploits, die in den Sample Files gefunden wurden, direkten Zugang zum Interface der Firewall, wie Brian Martin von Risk Based Security preisgibt: "Die Exploits sind immer noch nützlich für kriminelle Hacker, aber nicht so angsteinflößend wie angenommen."
Die Entwicklung der NSA-Tools sei dennoch alles andere als einfach gewesen, wie Dolan-Gavitt betont. Innerhalb der Sample Files sei auch Malware aufgetaucht, die die Firmware eines Rechners - das BIOS - ins Visier nimmt: "Das BIOS ist das erste Stückchen Code, dass beim Bootvorgang ausgeführt wird. Die Malware hat also absolute Kontrolle über jeden Bereich des Computers." Das Resultat einer solchen BIOS-Malware wäre, dass sie selbst durch eine komplette Neuinstallation des Betriebssystems nicht entfernt werden kann. Allerdings, so Dolan-Gavitt relativierend, hätten die Entwickler dieser Malware detailliertes Wissen über die anzugreifende Hardware benötigt. Da diese Informationen in der Regel nicht öffentlich einsehbar sind, hätten die Entwickler sich des sogenannten Reverse Engineering bedienen müssen.
Das sagt Edward Snowden
Auch Whistleblower Edward Snowden hat inzwischen in einer Reihe von Tweets Stellung zum mutmaßlichen NSA-Hack bezogen und sprach dabei von einem "einmaligen" Vorgang.
Dabei kommt Snowden zu dem Schluss, dass Russland Stärke demonstrieren und zeigen will, dass man genug Munition im Köcher hat, falls die USA dem - mutmaßlich von Russland aus gesteuerten Hack des nationalen Kommitees der demokratischen Partei - tatsächlich Sanktionen folgen lassen. Dass die Staging-Server der NSA gehackt werden, sei laut Snowden jedoch nichts Neues. Der Umstand, dass dieser Vorgang öffentlich bekannt gemacht wird, hingegen schon: "Es sieht danach aus, als würde jemand diesen Leak dazu benutzen, eine Botschaft zu senden. Die Botschaft, dass eine Eskalation der gegenseitigen Schuldzuweisungen schnell ausarten könnte. Es ist sehr wahrscheinlich auch eine Warnung, dass jemand die Verantwortlichkeit der US-Behörden für sämtliche Angriffe, die von dem gehackten Server ausgeführt wurden, beweisen kann. Das könnte verheerende außenpolitische Folgen haben, wenn bei einer dieser Operationen Verbündete der USA ins Visier genommen wurden. Insbesondere, wenn diese Operationen im Zusammenhang mit Wahlkampfkampagnen stehen sollten."
Wenn Snowdens Vermutungen zutreffen, könnten die USA nun gezwungen sein, hinsichtlich des "Partei-Hacks" leisere Töne anzuschlagen. Ansonsten könnte Russland mit Enthüllungen über NSA-Operationen zurückschlagen.
Snowden vermutet weiter, dass die Hacker den Zugang zum NSA-Server im Juni 2013 verloren haben - die Zeit also, in der der Whistleblower mit seinen Enthüllungen für einen weltweiten Skandal sorgte. In der Folge sei es sehr wahrscheinlich, dass die NSA den Server aus Sicherheitsgründen gewechselt habe, so Snowden.
Harold Martin: Der neue Edward Snowden?
Wie Anfang Oktober 2016 bekannt wird, hat das FBI im Zusammenhang mit der NSA-Hack-Affäre bereits am 27. August den 51-jährigen Harold Thomas Martin verhaftet. Die zuständige Staatsanwaltschaft in Maryland veröffentlichte Anfang Oktober eine offizielle Pressemitteilung. Der ehemalige Mitarbeiter der IT-Beratungsfirma Booz Allen Hamilton - bei der auch Edward Snowden beschäftigt war - soll im Jahr 2014 in sechs Fällen als geheim klassifizierte NSA-Dokumente entwendet haben. Die Staatsanwaltschaft geht davon aus, dass die gestohlenen Dokumente "im Hinblick auf die nationale Sicherheit in mehrerlei Hinsicht von kritischer Bedeutung sind". Wie die "New York Times" berichtet, wurde Martin verhaftet, weil er verdächtigt wird, geheime Software die zum Angriff auf andere Staaten geeignet ist, offengelegt zu haben. Eine offizielle Bestätigung, dass Martins Verhaftung und die Affäre um den "Shadow Brokers"-Leak in direktem Zusammenhang stehen, steht indes noch aus.
Wie in der offiziellen Anklageschrift zu lesen ist, hat der Verdächtige alle Vorwürfe zunächst abgestritten, nur um kurze Zeit später zuzugeben, geheime Dokumente entwendet zu haben - in dem Wissen, dass dies illegal ist. Bei einer polizeilichen Durchsuchung wurde das betreffende Material auf dem privaten Computer sowie im Auto des Verdächtigen sichergestellt. Im Falle einer Verurteilung drohen Martin mindestens elf Jahre Gefängnis wegen des Diebstahls von Regierungseigentums, sowie der Entwendung geheimer Dokumente.
Während Martins Arbeitgeber jeglichen Kommentar verweigert, sagte der Anwalt des Verdächtigen gegenüber der "Baltimore Sun", dass keinerlei Verdacht auf willentlichen Landesverrat vorläge. Die NSA schweigt sich zu den Vorfällen weiterhin beharrlich aus.
In einem Gerichtsdokument das Ende Oktober 2016 veröffentlicht wird, werden schließlich neue Details bekannt: Demnach haben die Ermittlungsbehörden bei Harold Martin nicht nur rund 50 Terabyte an Daten, sondern auch tausende Dokumente beschlagnahmt. Martin habe über eine Sammlung von Dokumenten aus den Jahren 1996 bis 2016 verfügt, viele davon mit der Einstufung "Secret" und "Top Secret".
Unter diesen Dokumenten sollen sich unter anderem auch geheime Operationspläne gegen einen bekannten Feind der USA befinden. Bereits einen Tag vor der Öffentlichmachung der Gerichtsakte hatte die "New York Times" berichtet, dass Martin auch in Besitz der NSA-Hacking-Tools gewesen sei, die die Hackergruppe "Shadow Brokers" online zum Verkauf angeboten hatte. Von der Seite der Ermittler wurde das bislang nicht bestätigt.
Die Behörden sind derzeit immer noch mit der Auswertung der Beweisstücke beschäftigt, schätzen den Fall jedoch als "schwerwiegend" ein. Allerdings hat sich Martin offensichtlich nicht viel Mühe dabei gegeben, die gestohlenen Dokumente zu verstecken: "Viele der betreffenden Dokumente lagen offen in seinem Büro sowie auf dem Rücksitz und im Kofferraum seines Autos herum", heißt es in der Gerichtsakte. Die Behörden wollen Martin weiterhin in Untersuchungshaft belassen - aus Angst, er könnte gestohlene Informationen weitergeben: "Es ist für jeden ausländischen Geheimdienst und auch für nicht-staatliche Personen offensichtlich, dass der Beschuldigte Zugang zu streng geheimen Informationen hat."
Mit Material von IDG News Service.