Vom Darknet-Auftritt des IS ist nur noch eine Werbung für Potenzmittel übrig

Die Darknet-Dependance des IS-Propagandaauftritts ist vorerst Geschichte.

Hacktivisten haben die Webpräsenz am 24.11. abgeschaltet und mit einem Werbebanner für eine Online-Apotheke im Darknet ersetzt, die auch ohne Rezept Viagra und Prozac verkauft. Unterstützer des Islamischen Staats werden gebeten, ihr Gemüt zu kühlen und sich auf eine Seite zu begeben, die Beruhigungs- und Potenzmittel verkauft. In einer etwas missverständlich formulierten Nachricht auf der Website heißt es nun:

„Beruhigt euch. Zu viele Menschen interessieren sich für dieses IS-Zeug. Bitte betrachtet diese wunderschöne Anzeige, damit wir unsere Infrastruktur aufrüsten können, um euch die IS-Inhalte zu liefern, nach denen ihr euch so sehnt."

Die Anzeige auf dem Defacement scheint zu wechseln; war es gestern noch der Medikmantenshop, ist heute ist eine Bitcoin-Bankenwerbung als Banner zu sehen.

Bislang ist nicht klar, wer die Website deaktiviert und durch die Werbung ersetzt hat—obwohl mehrere Medien unter Berufung auf die IBT berichten, dahinter würden die Hacktivisten von Anonymous beziehungsweise deren Eliteeinheit GhostSec stecken. Keine der beiden Gruppen hat sich bislang öffentlich zu dem Defacement bekannt. Die im Allgemeinen recht auskunftsfreudige Ghost Security Group (wir erinnern uns: Das ist die Abspaltung von GhostSec, die mit dem FBI zusammenarbeitet) äußerte sich auf unsere Anfrage folgendermaßen in einer knappen Mail: „Das waren nicht wir, sondern Anonymous."

Nach ungefähr fünf Tagen im Betrieb schalteten unbekannte Hacker die Seite Isdarat bereits am 21. November vorübergehend ab. Nun ist das Schwarze Brett der Islamisten zumindest unter dieser Adresse tatsächlich passé.

Es scheint, als würde es zunehmend schwerer für IS-Propaganda, sich im Netz auszuweiten. Die Clearnetseite von Isdarat ist bereits down, Telegram zensiert munter Pro-IS-Channels und auch viele Twitter-Accounts werden nach wie vor auch von Seiten des Unternehmens selbst blockiert. Auf welchen Kanälen die Unterstützer jedoch weiter kommunizieren, ist unklar.

Isdarat, was übersetzt „Veröffentlichung" bedeutet, war eine gespiegelte Propagandawebsite des IS mit Filmen und Nachrichten. Im Zuge des von Anonymous ausgerufenen „Cyberkriegs" gegen den Islamischen Staat nach der Anschlagsserie von Paris verschoben IS-Unterstützer das ursprünglich im Clearnet abrufbare Propagandaoutlet in eine Onion-Domain, die nur mit dem Tor-Browser abrufbar ist.

An der ursprünglichen Konfiguration hegten Sicherheitsexperten bereits lautstarke Zweifel: Laut Scot Terban (aka The Jester—ein patriotischer Hacker, der sich gern öffentlich mit Anonymous anlegt), hätten die Macher hinter der Seite offensichtliche, schwerwiegende „Anfängerfehler" begangen, die Isdarat angreifbar machten: Terban fand bereits durch Daten, die er von der Seite zog, heraus, dass die Website in Amsterdam auf Servern der US-Firma Choopa liegt. „Das System hinter diesen Datenfeeds könnte anfällig für Angriffe sein", schreibt Terban.

Ein netter Nebeneffekt: Manche der Seiteninhalte wie Videos oder Bilder sind aus dem Clearweb eingebettet. Das wiederum bedeutet, dass Besucher ihre Identität preisgaben, sobald sie auf einen dieser Inhalte klickten. Die Domain der Seite kann mit simplen Tools wie Google Translate ganz einfach im Clearnet angezeigt werden. Zu guter Letzt lief die Seite zudem auf Wordpress—ebenfalls nicht gerade das Tool der Wahl für den anonymitätsbewussten Dschihadisten. Terban hat noch weiter Details über die löcherige Sicherheit auf seinem Blog—offenbar konnte jemand mit einem gesteigerten Interesse an der Unterbindung dieser Propaganda etwas mit diesen Informationen anfangen.