Hacker stellen Tools von angeblicher NSA-Elite-Truppe ins Internet

Eine Gruppe, die unter dem Pseudonym „The Shadow Brokers" auftritt, behauptet, eine mit der NSA in Verbindung stehende Hacker-Truppe gehackt zu haben. Als Beweis haben der oder die anonymen Hacker begonnen, ihre angebliche Beute in Form von Hacking-Tools dieser Gruppe online zu stellen. Nun verlangen die Hacker allerdings erstmal eine Million Bitcoin (was nach heutigem Wechselkurs rund 512 Millionen Euro entspricht), um dann noch mehr Daten zu veröffentlichen.

„Attention government sponsors of cyber warfare and those who profit from it!!!!", schrieben die Hacker in einem Manifest, das offensichtlich auf die Schattenwelt von Behörden und Firmen zielt, die Überwachungssoftware entwickeln und einsetzen. Den Text veröffentlichten sie in einem Pastebin, auf GitHub und auch in einem speziell dafür angelegten Tumblr. „How much you pay for enemies cyber weapons? […] We find cyber weapons made by creators of stuxnet, duqu, flame", heißt es dort in etwas holprigem Englisch.

Die Hacker erklärten, dass das Opfer ihres Angriffs niemand geringeres sei als die „Equation Group". Hinter dem Namen verbirgt sich eine Elite-Truppe, die für zahlreiche besonders hochwertige Hacking-Tools der vergangenen Jahre verantwortlich gemacht wird und von der Experten vermuten, dass sie direkt oder indirekt zur NSA gehört.

Die Sicherheitsfirma Kaspersky demaskierte die Equation Group 2015 und bezeichnete sie als die fortschrittlichste Hackergruppe, die die Kaspersky-Forscher je gesehen hatten. Kaspersky sagte zwar nicht direkt, dass die Gruppe zur NSA gehöre, allerdings präsentierten die Forscher umfassende Beweismittel, die stark auf einen Zusammenhang zur US-amerikanischen Spionagebehörde hindeuten—darunter eine lange Serie von Codenamen, die von der Equation Group benutzt werden und sich auch in den streng geheimen NSA-Dokumenten wiederfinden, die Edward Snowden veröffentlicht hatte. Laut Kaspersky Lab zielte die Equation Group auf dieselben Opfer wie die Gruppe hinter dem Virus Stuxnet. Diese wohl US-amerikanisch-israelische Kooperation sollte das iranische Atomprogramm angreifen und setzte zwei Zero Day-Exploits ein, die sich auch im jüngsten Leak wiederfinden.

Die Shadow Brokers behaupten nun, die Equation Group gehackt und ein paar ihrer Hackingtools veröffentlicht zu haben. Die Gruppe stellte den Dump am Samstag online und verbreitete einen Link zum Manifest gezielt an diverse Medienhäuser via Twitter.

Bei den veröffentlichten Daten handelt es sich überwiegend um Installationsskripte, Konfigurationen für Command- and Control-Server und Exploits, die spezielle Router und Firewalls angreifen können. Die Namen mancher dieser Werkzeuge korrespondieren mit den Namen, die sich auch in den Snowden-Dokumenten finden, so wie BANANAGLEE oder EPICBANANA.

Es ist noch unklar, ob die Daten echt sind, aber manche Sicherheitsexperten stimmen nach einer ersten Analyse bereits überein, dass die Daten wahrscheinlich authentisch sind.

„Wenn das ein Hoax ist, hat sich jemand sehr viel Mühe gegeben", sagte ein IT-Sicherheitsexperte, der als The Grugq bekannt ist, gegenüber Motherboard. „Die Beweisdateien sehen ziemlich echt aus. Das sind genau die Art von Exploits, die man von einer Gruppe erwarten würde, die Kommunikationsinfrastruktur angreift, um sie zu übernehmen und ausnutzen zu können."

Claudio Guarneri, ein unabhängiger Sicherheitsforscher, der auch schon andere Hackingoperationen von westlichen Geheimdiensten untersucht hat, sagte mir, dass die Dateien von einem gehackten NSA-Server stammen könnten, welcher in einer Operation verwendet wurde. Er wies allerdings auch daraufhin, dass dies eine vorläufige Analyse sei und weitere Analyse von Nöten sein würde.

Die jüngste Datei in dem Dump ist auf Juni 2013 datiert, obwohl die Hacker die Daten auch manipuliert haben könnten. Dmitri Alperovitch, Gründer von CrowdStrike, spekulierte, dass „die Leaker vermutlich jahrelang auf dieser Information gesessen haben und auf den bestmöglichen Zeitpunkt zur Veröffentlichung gewartet haben".

Matt Tat, ein weiterer Sicherheitsforscher und früherer britischer Geheimdienstmitarbeiter, twitterte, dass die Daten von „einem alten Counter-Hack" stammen könnten.

Ein Forscher des Kaspersky Labs wollte sich nicht dazu äußern. Ein weiterer Kaspersky-Mitarbeiter merkte auf Twitter an, dass sich in den Dateien „nichts" befände, was sie mit der Equation Group in Verbindung bringe, aber dass manche der Namen aus dem ANT-Katalog stammen, einem NSA Hacking-Toolset, das der Spiegel Ende 2013 veröffentlicht hatte. Was auch noch zu beachten wäre: Selbst wenn die von „The Shadow Brokers" veröffentlichten Daten keine direkte Verbindung zu The Equation Group haben, könnten sie aus einer anderen Operation stammen als jener, die das Kaspersky Lab gesehen hat.

„The Shadow Brokers" behaupten, an die Daten durch Verfolgung des Equation Group- „Traffics" herangekommen zu sein, die Gruppe dann gehackt zu haben und ihre „Cyberwaffen" gefunden zu haben. (Sowohl der oder die Hacker als auch die NSA wollten sie nicht zu dem Vorfall äußern.)

Zum Zeitpunkt der Veröffentlichung hat das Bitcoin-Wallet, in dem die Hacker Auktionsangebote entgegennehmen, erst fünf Eingänge verzeichnet. Allerdings bewegen sich alle im Bereich von deutlich unter einem Bitcoin und damit weit entfernt von den eigentlich geforderten Summen.

Die Motive hinter der seltsamen Enthüllungsaktion bleiben unklar. Sollten sich die Daten jedoch als echt herausstellen, wäre es einer der schockierendsten Hacks aller Zeiten.