Erstellt am: 16. 3. 2014 - 18:35 Uhr

Wie die NSA mit Cyber-Kriminellen kooperiert

Die neuen Dokumente Glenn Greenwalds zeigen, dass die NSA dieselben Methoden wie Kriminelle nutzt. Statt sie vom Netz zu holen werden diese Gangs instrumentalisiert.

Die neuesten, von Aufdecker Glenn Greenwald am Donnerstag veröffentlichten NSA-Dokumente lassen keine Zweifel daran, dass die NSA Aktivitäten von Cyber-Kriminellen nicht nur toleriert, sondern auch indirekt mit diesen Gangs zusammenarbeitet. Durch die systematische Sabotage von Sicherungsmechanismen und das Verbreiten von Schadsoftware durch NSA und GCHQ wiederum werden enorme Löcher in die Sicherheitsinfrastruktur gerissen, was den Kriminellen entgegenkommt.

Die neuen Dokumente Greenwalds betreffen die bereits vom Angriff auf den belgischen Provider Belgacom bekannte QUANTUM-Software und hatten einen Wutanfall von Facebook-Gründer Mark Zuckerberg zur Folge. In seinem offenen Brief vom Donnerstag stellte Zuckerberg einen direkten Zusammenhang zwischen den Aktivitäten der US-Geheimdienste und Cyber-Kriminellen her. "Wenn unsere Techniker rastlos für höhere Sicherheit arbeiten", dann hätten sie dabei "den Schutz der Benutzer gegen Kriminelle im Auge, aber nicht Schutz gegen die eigene Regierung", schrieb Zuckerberg auf seiner Facebook-Seite.

Schlüsselrolle für Browser

Aus den Dokumenten Greenwalds geht hervor, dass die Angriffsrechner von NSA/GCHQ als legitime Server von Facebook und anderen Internetfirmen getarnt sind, um der jeweiligen "Person von Interesse" Schadsoftware unterzujubeln. Solche Angriffe im Interesse der "nationalen Sicherheit" sind technisch deckungsgleich mit Attacken durch Kriminelle, die es etwa auf Zugangsdaten zum Online-Bankverkehr abgesehen haben. In beiden Fällen spielen Webbrowser eine Schlüsselrolle, ob die Mittelsmann-Angriffe ("Man-in-the-Middle-Attacks") erfolgreich sind.

Ermöglicht werden sie durch den schwarzen Markt, auf dem bis dahin unbekannte Sicherheitslücken samt den entsprechenden Skripts für Angriffe gehandelt werden. Wegen der großen Nachfrage nach solchen "Zero-Day-Exploits" sind die Preise dafür enorm gestiegen. Das zeigte sich auf dem größten, einschlägigen Event, das Mittwoch und Donnerstag über die Bühne ging.

850.000 Dollar Prämien

Auf der von HP veranstalteten zweitägigen Pwn2own-Konferenz wurden insgesamt 850.000 Dollar an Prämien für neu entdeckte Sicherheitslöcher in Webbrowsern ausgeschüttet. Den Löwenanteil - fast die Hälfte - staubte mit Vupen dabei eine Firma ab, die mit solchen "Zero Day Exploits" handelt und sie gegen Höchstgebot verkauft. Erst Anfang März hatte eine Anfrage nach dem Informationsfreiheitsgesetz in den USA ergeben, dass auch die NSA bei Vupen kauft.

Vom Internet Explorer angefangen, über Firefox, Chrome und Safarі wurden auf der Pwn2own neue Angriffe gegen alle gängigen Browser erfolgreich demonstriert. Damit wurden sie eigentlich schon abgewehrt, weil die Browser-Hersteller darüber informiert wurden, das ist der Zweck der Pwn2own-Konferenz. Es ist also in Kürze mit einer Serie von Sicherheits-Updates bei allen Browsern zu rechnen.

Wie das Geschäft funktioniert

Das Geschäft mit solchen Sicherheitslücken ist sehr lukrativ, aber auch risikobehaftet. Die Entdeckung ist in der Regel zeit- und arbeitsintensiv, zum Einsatz kommen entsprechend teure Teams von Spezialisten. Die Abnehmer in diesem zwielichtigen Geschäft sind Mittelsmänner von Kriminellen, Vertragsfirmen der Geheimdienste aber auch bestimmter Polizeibehörden in Staaten, in denen der Einsatz von Schadsoftware zur Strafverfolgung legal ist.

Auch in Österreich gab es solche Begehrlichkeiten der Gesetzeshüter nach "Online-Durchsuchungen" bzw. "Fern-Forensik", in Deutschland bürgerte sich dafür der wesentlich genauere Begriff "Bundestrojaner" ein. Von der Technik her passiert in allen Fällen nämlich dasselbe, der PC des Benutzers wird - auf welchem Weg auch immer - mit Schadsoftware infiziert.

Von "Phishern" bis zur NSA

Wurde dies früher in erster Linie über verseuchte Mail-Anhänge praktiziert, so wird inzwischen über Sicherheitslücken in Webbrowsern angegriffen, die dann auf präparierte Websites umgeleitet werden. Diese "Drive-by-Infections" sind inzwischen die Standardangriffsform, egal ob es sich um gemeine "Phishing"-Kriminelle, Wirtschaftsspione oder eben staatliche Akteure wie NSA oder GCHQ handelt. Den Browsern kommt dabei eine Schlüsselrolle zu.

Wie die neuesten Dokumente Greenwalds zeigen, benutzt die NSA dabei die Cookies von Facebook oder Google als "Identifikatoren". Diese in allen Webbrowsern präsenten Marker dienen Internetfirmen dafür, ihre Benutzer zu identifizieren, damit individualisierte Dienste angeboten werden können. Da Cookies in der Regel im Klartext über das Netz gehen, können sie von jedem eingelesen werden, der über Zugriff auf den Datenverkehr an den wichtigen Internetknoten verfügt.

Falsche Facebook-Server

An diesen Flaschenhälsen - "Choke Points" im Jargon der NSA - werden "Personen von Interesse" verfolgt, indem die Cookies in ihren Browsern ausgelesen werden. Sobald der Browser dann eine Anfrage an einen Facebook-Server richtet, tritt die QUANTUM-Suite der NSA in Aktion und gibt sich dabei als "Facebook"-Server aus. Der Browser kommuniziert dann mit einem Server der NSA, der den Zielrechner über eine Sicherheitslücke im Browser mit Schadsoftware infiziert.

Der einzige wesentliche Unterschied zwischen der NSA und kriminellen Gangs ist in der Dimension der Angriffe. Von den schier unbegrenzten Budgets angefangen bis zur Präsenz auf vielen wichtigen Netzknoten sind große Geheimdienste hier sämtlichen Cyber-Kriminellen weitaus überlegen. Gerade der von der NSA geführte weltumspannende Geheimdienstverbund könnte mit den Cyber-Kriminellen relativ schnell aufräumen, was aber ebensowenig zu erwarten ist, wie ein konzertiertes Vorgehen Russlands oder Chinas gegen die eigenen Botnet-Gangs.

Wie die Zusammenarbeit funktioniert

Die Aktionen der Kriminellen im Netz eignen sich zum einen hervorragend dazu, die eigenen, subtiler angelegten Spionageaktivitäten zu verschleiern. Zum zweiten lässt sich im Bedarfsfall blitzartig eine ganze Armee von PCs rund um die Welt aus dem Boden stampfen, indem die Kommando- und Kontrollstruktur der Botnets einfach übernommen wird.

Diese für Spam-Mails oder DDoS-Attacken zur Erpressung der Betreiber von kommerziellen Websites rund um die Welt gekidnappten Rechner ahnungsloser User werden auch als "Zombies" bezeichnet. Sie führen einfach die Befehle der Kommando-Server aus. Was da in welchem Ausmaß kommandiert wird, hängt davon ab, wer Teile oder das gesamte Botnet zu welchen Zwecken mietet.

In analoges Kriegsgeschehen übersetzt, würde ein Aufräumen in diesem dunklen Teil des Internets durch die Militärgeheimdienste bedeuten, die bestehende, gute Deckung an einer strategisch wichtigen Position aufzugeben. Zudem verlöre man dadurch die Möglichkeit, je nach Bedarf auf "Söldnertruppen" zurückzugreifen, indem man Botnets von Kriminellen für seine Zwecke instrumentalisiert. Das ist der Hauptgrund, warum der kriminelle Cyber-Untergrund sich bis jetzt so resistent gegen strafrechtliche Verfolgung erwiesen hat.

DDoS-Duelle um die Krim

Aktuelle Beispiele dafür braucht man nicht lang zu suchen, denn die jüngsten derartigen Angriffe liegen nicht mehr als 24 Stunden zurück. Am Samstag holte eine Serie von schweren DDoS-Attacken die Website der NATO stundenlang vom Netz, nachdem Generalsekretär Anders Fogh Rasmussen das heutige Referendum über die Abspaltung der Krim dort als "illegal" bezeichnet hatte. Zum Angriff auf die NATO bekannten sich "ukrainische Patrioten", die gegen eine Einmischung der NATO in den Konflikt zwischen der Ukraine und Russland sind.

Die russische Referendumswebsite wurde - nach eigenen Angaben - ebenfalls angegriffen, die Betreiber dort beschuldigen die CIA der Urheberschaft dieser DDoS-Attacken.