Interne Dokumente: So wollte das US-Militär den IS hacken

Motherboard liegen eigentlich geheime Angriffspläne einer US-Spezialbehörde für Cyber-Attacken vor. Die Dokumente geben Einblick in die Arbeit der staatlichen Hacker – und verraten, was die USA dem IS zutrauen.

|
Aug. 3 2018, 6:30am

Bild: Imago | Teun Voeten

Im Jahr 2016 haben Hacker des US-Militärs die Terrororganisation Islamischer Staat angegriffen. Das geht aus ehemals streng geheimen Unterlagen hervor, die Motherboard vorliegen. Aufgrund der teils geschwärzten Dokumente lässt sich jetzt nachvollziehen, wie die "Cybercom"-Einheit die Operation plante und die politischen Folgen abwägte. Die für die Operation verantwortliche Behörde nennt sich offiziell US Cyber Command, wird jedoch oft mit Cybercom abgekürzt. Cybercom kümmert sich zwar als eine eigene Militärbehörde um die Themen Cyberwar und Internet-Sicherheit, unterstellt ist sie aber der NSA.

In den Cybercom-Dokumenten geht es auch um die Frage, was passiert, wenn der Islamische Staat einen Angriff auf die USA zurückverfolgen könnte. Die Dokumente zeigen auf, welche Überlegungen in eine Hacking-Operation des US-Militärs einfließen und wie Cybercom versucht, die möglichen Folgen eines geplanten Hacks zu berücksichtigen.

"In meiner Zeit beim US Cyber Command wurden die Operationen stets in intensiver Absprache mit der US-Regierung und manchmal sogar mit ausländischen Partnern geplant", sagt Ryan Duff, ein ehemaliger Cybercom-Operationsplaner im Chat mit Motherboard. Inzwischen arbeitet Duff für das US-Unternehmen Point3.

Wie das US-Militär offenbar Accounts des sogenannten Islamischen Staats kaperte

In diesem Motherboard vorliegenden Dokument wird erörtert, inwiefern sich eine Hacker-Attacke der USA zurückverfolgen ließe | Bild: Motherboard

Die Washington Post berichtete im Mai 2017 als erstes über eine Militäroperation namens "Operation Glowing Symphony". Sie sollte es dem IS schwerer machen, Propaganda zu verbreiten. Dem Bericht zufolge erbeuteten die Cybercom-Hacker für den Angriff die Passwörter von mehreren Admin-Accounts des sogenannten Islamischen Staats. Sie löschten Videoaufnahmen von Kampfszenen und änderten Passwörter, um die IS-Administratoren dauerhaft auszusperren.

In einem Motherboard vorliegenden Cybercom-Dokument fassen die Millitär-Experten die Strategie des IS in vier Worten zusammen: "Entwickeln", "Verteilen", "Verbreiten" und "Verteidigen". Motherboard erhielt das Dokument mithilfe des Freedom of Information Act (FOIA). Ähnlich wie das Informationsfreiheitsgesetz in Deutschland verpflichtet dieses US-Gesetz Behörden, bestimmte Informationen auf Anfrage zur Verfügung zu stellen. Wir veröffentlichen auch die gesamten Dokumente der FOIA-Anfrage. Ein Link dazu findet sich am Ende des Artikels.

Eine der wichtigsten Aufgaben der US-Hacker: Nicht erwischt werden

Ein weiteres Cybercom-Dokument beschreibt, wie die Terrororganisation Personal beschäftigt, um Websites und Smartphone-Apps des IS zu betreuen und dessen digitale Infrastruktur aufzubauen.

Besonders interessant sind Dokumente über die Vorbereitungen der Hacking-Operationen. Wie einer Seite zu entnehmen ist, kam Cybercom zu der Einschätzung, dass der IS gegen einen Hack wahrscheinlich nicht mit einem Angriff auf das US-Verteidigungsministerium zurückschlagen werde – und zwar wegen mangelnder Fähigkeiten. Auf einer weiteren Seite kamen die US-Hacker zu dem Schluss, dass es für ihren geplanten Angriff keine rechtlichen Bedenken gebe.

Diese Seite zeigt, wie mögliche politische Konsequenzen der Cybercom-Hacks eingeschätzt wurden | Bild: Motherboard

In einem anderen Dokument der Motherboard vorliegenden Unterlagen analysierten die US-Hacker die Wahrscheinlichkeit, erwischt zu werden. Die zentrale Frage: Wie leicht ließe sich ein Hack Cybercom zuschreiben? Zu welchen konkreten Schlüssen das US-Militär gelangt ist, geht aus den Dokumenten nicht hervor, denn die entsprechenden Stellen wurden schwärzt. Klar wird aber, dass der IS wohl die Möglichkeit hat, Hacks mithilfe technischer Analysen zurückzuverfolgen.

Üblicherweise ist es extrem anspruchsvoll und unwahrscheinlich, einen professionellen Hack auf technischem Weg zurückzuverfolgen – außer wenn Hacker absichtlich entlarvt werden wollen. Das kann der Fall sein, wenn sie beispielsweise Botschaften übermitteln oder ihre Fähigkeiten unter Beweis stellen wollen. Viel größer ist das Risiko, dass ein Hack bemerkt wird, während er gerade stattfindet.

"Es hat den Anschein, dass Cybercom regelmäßig und systematisch prüft, wie hoch das Risiko ist, auf frischer Tat ertappt zu werden", schrieb Thomas Rid, ein Professor für strategische Studien an der Johns Hopkins University, in einem Chatgespräch mit Motherboard.

Hinweise auf Hacking-Ziele in befreundeten Staaten

In einem weiteren Dokument beschäftigt sich Cybercom damit, welche geopolitischen Konsequenzen ein Hack haben könnte. Wieder sind die genauen Inhalte dieser Einschätzungen geschwärzt. Aber in einem Abschnitt des Dokuments geht es eindeutig um den sogenannten Islamischen Staat und Länder im Nahen Osten. Ein anderer Abschnitt handelt von Russland und China. Ein dritter Abschnitt behandelt weltweite Ziele und bezieht sich möglicherweise auf Länder, in denen sich vom Islamischen Staat genutzte Server befinden.


Ebenfalls auf Motherboard: Samy Kamkar legt Myspace lahm


Wie die Washington Post schreibt gehörten zu Cybercom-Operation offenbar auch Hacks innerhalb der Grenzen befreundeter Staaten. Beamte von CIA, FBI und dem US-Außenministerium sollen Bedenken darüber geäußert haben, eine solche Aktion durchzuführen, ohne die betroffenen Staaten zu informieren. Letztlich hätten die USA dem Bericht zufolge einige Verbündete eingeweiht.

Eine Motherboard vorliegende Notiz besagt, dass Cybercom die Unterstützung des britischen Nachrichtendiensts GCHQ und des FBI angefordert habe. Das passt zu einer Rede des GCHQ-Chefs Jeremy Fleming aus dem April 2018: Er sagte damals, dass seine Behörde eine Cyber-Kampagne gegen den IS durchgeführt habe.

"Diese Operation hat erheblich zum Einsatz unserer Koalition gegen IS-Propaganda beigetragen", so Fleming. "Wir haben die Möglichkeiten des IS eingeschränkt, Angriffe zu koordnieren, und unsere Streitkräfte auf dem Schlachtfeld geschützt." Alle Dokumente, die Motherboard im Zuge des Freedom of Information Acts erhalten hat, veröffentlichen wir hier in voller Länge .

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter