Erstellt am: 3. 4. 2013 - 14:13 Uhr
Cyber-Konflikt USA-China eskaliert
Während die Medienwelt gebannt auf die Spektakel blickt, die das nordkoreanische Regime mittlerweile im Tagesrhythmus veranstaltet, schaukelt sich in dieser Weltregion ein anderer, wesentlich hochkarätigerer Konflikt immer weiter hoch.
Vergangene Woche wurde von US-Präsident Barack Obama ein Gesetz in Kraft gesetzt, das seiner Regierung ein Vetorecht für sämtliche IT-Neuanschaffungen im Verwaltungsbereich einräumt.
Update 21:03
Die Webserver von NSA.gov waren zwei Stunden lang sämtlich down, ebenso antworteten zwei der Domain Name Server nicht.
Sämtliche aus China stammenden Produkte müssen demnach eingehend auf Risken wie "Sabotage oder Spionage" getestet werden. Davor hatten schon die ersten US-Telekoms angekündigt, vorerst kein Equipment von Huawei und ZTE zu verbauen. China kündete am Freitag postwendend "drastische Konsequenzen" an und sprach "von schwerer Beschädigung des wechselseitigen Vertrauens".
EPA
Selbsterklärende Aktionen
Mit dem Vertrauen scheint es ohnehin nicht sehr weit her zu sein, denn dies ist bereits die dritte Stufe eines jahrelang schwelenden Konflikts, der seit dem Februar eskaliert.
Während sich die USA jedweder Kriegsrhetorik gegenüber Nordkorea zwar strikt enthalten, werden gleichzeitig immer mehr Tarnkappenbomber entsandt, die über Südkoreas Luftraum Patrouillen fliegen. Gegenüber der einzigen Schutzmacht Nordkoreas, der Volksrepublik China, geht man im US-chinesischen Konflikt um Cyber-Attacken und -Spionage nach demselben Muster vor. Statt der unter Außenministerin Hillary Clintons üblichen mahnenden bis starken öffentlichen Worte an die Adresse Chinas werden nun Aktionen gesetzt, die für sich selber sprechen.
"TOP SECRET UMBRA"
So hat der Supergeheimdienst National Security Agency Ende der vergangenen Woche 136 Ausgaben (1974 bis 1997) seines internen Newsletters "Cryptolog" veröffentlicht. Die weitaus meisten Artikel sowie die Namen fast aller Autoren sind zwar geschwärzt, dennoch findet sich auch eine Anzahl nichtredigierter Texte. Darunter sind auffällig viele, die ursprünglich als "TOP SECRET UMBRA" klassifiziert waren, wobei "UMBRA" für "Signals Intelligence" oder Nachrichtenaufklärung steht.
Dokumente dieser Geheimhaltungsstufe sind extrem selten in "freier Wildbahn" anzutreffen und wenn, sind es fast immer solche amtliche Leaks.
"Thinking Out Loud About Cyberspace"
Während von ganzen Jahrgängen der etwa vierteljährlich erscheinenden Zeitschrift nicht viel mehr als die Überschriften zu lesen sind, sind einige Ausgaben fast vollständig wiedergegeben. Die Freigabepolitik orientiert sich allerdings definitiv nicht am Geheimhaltungsgrad der jeweiligen Artikel. So sind von TOP SECRET über USEO ("US Eyes Only") und "Nicht für Vertragsfirmen" bis hinunter zu SECRET praktisch alle bekannten Klassifikationsgrade unter den nun zugänglichen Dokumenten.
Neben der Veröffentlichung auf der NSA-Website sind die Dokumente auch in einer sehr guten Übersicht bei Cryptome.org einzusehen.
Was da im Klartext zu lesen ist, dreht sich - von einer großen Zahl kryptologischer Quizfragen abgesehen - samt und sonders um die Themen "Information Warfare" und "Computersicherheit". Die letzten vier nun veröffentlichten Ausgaben dieser 23 Jahrgänge von "Cryptolog" (1996-1997) sind überhaupt fast in Gänze freigegeben. Die Artikel: "The Role of Information Warfare in Strategic Warfare", "Information Operations Training", "The Infowar Revolution(s)" und "Thinking Out Loud About Cyberspace".
"Natürliche Verbündete der NSA"
Das Editorial des NSA-Veteranen Bill Black der Ausgabe von Frühjahr 1997 aber beginnt mit diesem Satz: "Am 3. März 1997 hat der Verteidigungsminister die NSA offiziell damit beauftragt, Attacken auf Computernetze zu entwickeln." In der "vernetzten Welt des Cyberspace" heißt es dann weiter, sei "Angriffstechnologie auf Computernetze der natürliche Verbündete der NSA".
Black, NSA
So deutlich wurde seitens der US-Politik bis jetzt noch niemals ausgesprochen, dass die USA seit Jahren auf offensive Operationen für den "Cyberwar" setzen.
Damit die eigentlichen Adressaten dieser Veröffentlichung die Botschaft auch keinesfalls übersehen, findet sich direkt darüber eine ebenfalls freigegebene Buchrezension: "Das Erbe von Tiananmen: China in Aufruhr".
"APT1" alias "UNIT 61398"
In der ersten Februarwoche hat die jahrelang schwelende Auseinandersetzung zwischen den USA und China eine neue Qualität erreicht.
Da hatte die Sicherheitsfirma Mandiant ihren Bericht an den US-Kongress im Volltext veröffentlicht, der den Konflikt mit China so richtig anheizte. Darin wird nämlich die Arbeitѕweise der Einheit "APT1" beschrieben, laut Mandiant auch "als zweites Büro der dritten Generalstabsabteilung in der Volksbefreiungsarmee PLA" bzw. "UNIT 61398" bekannt.
Diesem voluminösen, im Netz frei erhältlichen Bericht von Mandiant, der drei der führenden PLA-Agenten auch noch mit ihren Klarnamen nennt, ist obendrein ein Video beigefügt. Gezeigt wird darin, was sich auf den Bildschirmen mehrer Agenten von "UNIT 61398" während deren Arbeit abspielt.
Scheitern auf der Kommandozeile
Man kann beim Login in ein Gmail-Konto, das für gezielte Attacken mit Schadsoftware genutzt wird, ebenso zusehen, wie Interaktionen mit der Serverinfrastuktur von APT1 alias 61398 beobachten. "Die nun folgende einstündige Sequenz haben wir herausgeschnitten", so der süffisante Kommentar aus dem Off , "da hat er wieder und wieder über die DOS-Kommandozeile vergeblich probiert, sich mit gestohlenen Passwörtern Zugang zu verschaffen."
Alle gezeigten, chinesischen Angriffsrechner waren Windows-PCs, die mit den eigenen Exploit-Servern vollkommen unverschlüsselt via FTP Daten austauschen.
Der Bericht von Mandiant samt dem beigefügten Video hatte erwartungsgemäß in Beijing zu lautstarker Verärgerung geführt. Der Gebäudekomplex in Shanghai, von dem laut Mandiant die Einheit "APT1" der chinesischen Volksbefreiungsarmee operiert, wurde in den Tagen danach geräumt.
Was hinter der Inszenierung steckt
Klarerweise waren diese Volksarmee-PCs gehackt, die schiere Fülle und Qualität der von Mandiant veröffentlichten Erkenntnisse aber macht das enorme Ausmaß der gesamten Operation erahnbar. Damit ist ziemlich klar, wer da wirklich hinter dieser Spion-gegen-Spion-Inszenierung steckt. Die NSA äußert sich offiziellerweise sehr selten, aktuelle Entwicklungen werden niemals selbst kommentiert, das besorgen grundsätzlich immer ausgewählte Vertragsfirmen.
Der Grund für dieses erstmals öffentlich sichtbare offensive Vorgehen der USA sind die seit Monaten persistenten DDoS-Attacken auf Server von US-Finanzdienstleistern und die eskalierenden Spionageangriffe auf Hightech-Firmen.
Was die Aktionen erzählen
Laut dem Report von Mandiant im Februar wurden allein von dieser Einheit mehrere hundert Terabyte an Daten von mindestens 141 Organisationen aus verschiedenen Branchen vor allem in den USA gestohlen. Nach eigenen Angaben verfolgt Mandiant das Treiben dieser Einheit bereits seit 2007.
Das Narrativ der US-Seite lässt sich dieser öffentlichen Inszenierung unschwer entnehmen, da sie ja dazu dient, China etwas auszurichten. Im Februar begann das so: "Nehmt zur Kenntnis, dass wir den ersten von zwanzig eurer Cyberwar-Units paradigmatisch gehackt haben und jetzt öffentlich bloßstellen. Wir wissen alles über Infrastruktur, Aufbau und Arbeistweise eurer Cybertruppe ", das war die eindeutige Botschaft des Mandiant-Hacks.
Weiter im Narrativ, nun seitens der US-Regierung: "Für chinesische IT- und Elektronikkonzerne werden Exporte in die USA schwierig bis zeitweise unmöglich werden" mit dem Zusatz "außer ihr stellt die agressive Cyberspionage und die Attacken ein." Die Sicherheitsüberprüfung, die den Verkauf von chinesischem Netzwerk-Equipment in den USA de facto blockiert, ist nämlich bis 30. September befristet, womit das ein ziemlicher klarer Fall von einem Ultimatum ist.
Die Botschaften der NSA
Und was spricht dann aus der völlig überraschenden (Teil)-Veröffentlichung des internen NSA-Newsletters mit Dokumenten eines so hohen Geheimhaltungsgrads durch die Obergeheimniskrämer selbst?
Folgende Botschaft, etwas salopp formuliert: "Wie ihr hier lesen könnt, haben wir uns seit 1981 intensiv mit Netzwerkangriffen beschäftigt. Die Lizenz zum Draufhauen haben wir seit 1997 ganz offiziell, also seids nicht deppert, sonst machen wir Ernst. Da hätten wir noch ein paar der einfacheren alten Krypto-Rätsel für euch zum Üben und zum Abschluss haben wir noch einen Bericht über unsere ersten 50 erfolgreichen SIGINT-Jahre im Klartext draufgegeben."
Dabei handelt es sich um den neuesten der im Klartext publizierten Cryptolog-Artikel.
Die ebenfalls aus dieser Richtung inspirierte Message von Mandiant: "Wer meint, mit Windows-PCs, FTP-Servern und bescheidenen Kenntnissen auf der Kommandozeile Cyberwar spielen zu können, wird sich warm anziehen müssen."
Ausblick
Was Nordkorea angeht, so wurde dort das rhetorisch-theatralische Pulver mit der am Dienstag angekündigten Wiederaufnahme der Uran- und Plutoniumanreicherung ziemlich verschossen. Man kann davon ausgehen, dass sich die Verhaltensmuster des nordkoreanischen Regimes ungefähr am Verlauf des Cyberwar-Konflikts zwischen China und den USA orientieren.