NSA-Programm "Quantumtheory": Wie der US-Geheimdienst weltweit Rechner knackt

Von Jacob Appelbaum, , Jörg Schindler, Holger Stark und

DER SPIEGEL

Zum Arsenal der NSA gehört eine Methode, mit der sich nahezu jeder Rechner unbemerkt mit Spähsoftware bestücken lässt. Streng geheime Dokumente zeigen, wie das System genau funktioniert.

Eines der mächtigsten Werkzeuge der NSA nennt der Geheimdienst selbst "Quantumtheory". Es bietet offenbar diverse Möglichkeiten: vom Übernehmen von Botnetzen (Quantumbot) bis hin zur Manipulation von Software Up- und Downloads (Quantumcopper). Mit einer Methode namens Quantum Insert können Spezialisten der NSA-Abteilung Tailored Access Operations (TAO) fast nach Belieben Rechner von Zielpersonen mit Schadsoftware verseuchen. Ist so eine Hintertür erst einmal etabliert, lassen sich weitere Software-Komponenten nachladen, die ganz nach Bedarf bestimmte Informationen an das sogenannte Remote Operations Center (ROC) der NSA weiterleiten.

Das können Auskünfte über das Netzwerk sein, in dem sich der gehackte Rechner befindet, aber auch Dateien von der Festplatte oder heimlich angefertigte Bildschirmfotos, die verlässlich zeigen, was der ahnungslose Benutzer gerade auf seinem Monitor sieht. "Präsenzpunkt" nennt die NSA es, wenn sie einen Rechner auf diese Weise in ihre Gewalt gebracht hat. Einem Bericht der "Washington Post" zufolge verfügte die NSA 2013 über mindestens 85.000 solcher "Präsenzpunkte", teils auf Desktop-Rechnern von Einzelpersonen, teils aber auch verborgen in der Netzwerk-Hardware von Unternehmen, Internet- und Mobilfunkanbietern.

Spam war gestern

Früher war es für die NSA noch vergleichsweise mühsam, sich Vollzugriff auf den Computer einer Zielperson zu verschaffen. Sie griff dazu auf eine Methode zurück, die auch Cyberkriminelle und Staatshacker aus anderen Ländern einsetzen: Sie verschickten Spam-E-Mails mit Links, die auf virenverseuchte Webseiten führten. Kennt man die Sicherheitslücken eines Browsers - besonders populär ist bei den NSA-Hackern Microsofts Internet Explorer - kann man allein mit dem Aufrufen einer entsprechend präparierten Internetseite Schad- und Spähsoftware auf einem Rechner einschleusen. Doch die Spam-Methode hatte einen entscheidenden Nachteil: Sie funktionierte viel zu selten.

Hier kommt die vergleichsweise neue Methode namens Quantum ins Spiel: "Bestimmte Quantum-Missionen haben eine Erfolgsquote von bis zu 80 Prozent, während Spam bei weniger als einem Prozent liegt", heißt es in einer NSA-internen Präsentation, die der SPIEGEL einsehen konnte.

Fotostrecke

14  Bilder
NSA-Dokumente: So knackt der Geheimdienst Internetkonten
Die Quantum-Methode beruht auf der Tatsache, dass die NSA neben dem eigentlichen Internet ein zweites, ein Schattennetz betreibt. Es dient einerseits dazu, möglichst viel von dem zu überwachen, was im Internet geschieht ("passive collection"), und andererseits als Angriffswaffe (Computer Network Exploitation, CNE; Computer Network Operations, CNO).

Eine Quantum-Attacke funktioniert, grob erklärt, folgendermaßen: Zunächst wird der Internet-Traffic an den Punkten, an denen die NSA oder befreundete Dienste darauf Zugriff haben, nach digitalen Lebenszeichen der Zielperson durchkämmt. Das kann eine bestimmte E-Mail-Adresse sein oder etwa ein Webseiten-Cookie. Besonders gern benutzen die US-Spione einer internen Präsentation zufolge einen Cookie der Firma Yahoo. Cookies sind kleine Textdateien, die Webseiten auf den Rechnern ihrer Besucher ablegen, um sie beim nächsten Besuch wiederzuerkennen.

Yahoo, Facebook, Gmail, Hotmail, YouTube etc.

Wenn der gewünschte Marker in einer gigantischen Datenbank namens Marina erst einmal gefunden ist, kann sich der interessierte NSA-Analyst von dort aus weiterhangeln: Er kann weitere E-Mail-Adressen oder andere Cookies desselben Nutzers suchen, etwa den von Facebook oder Microsofts Hotmail-Dienst. Je mehr potentielle Warn-Marker der Analyst für die Zielperson findet, desto besser seine Chancen. Dann wird der Befehl zur "Exploitation" des betreffenden Rechners gegeben.

Fotostrecke

28  Bilder
NSA-Dokumente: So übernimmt der Geheimdienst fremde Rechner
Die "größten Erfolge", heißt es in einer geheimen Präsentation zum Thema (siehe Fotostrecke), erziele die NSA mit "Yahoo, Facebook und statischen IP-Adressen". Zu den für Quantum nutzbaren "Reichen" ("realms"), wie die NSA das nennt, gehören aber auch Microsofts Mail-Dienst Hotmail, das Business-Netzwerk LinkedIn, YouTube und Twitter. Weitere "Reiche" können der Präsentation zufolge die Kollegen vom britischen GCHQ beisteuern, etwa Googles E-Mail-Dienst Gmail, AOL und den E-Mail-Dienst des russischen Suchmaschinenbetreibers Yandex (siehe Fotostrecke).

Ist es einmal beauftragt, arbeitet das Quantum-System praktisch automatisch: Taucht irgendwo in einem Datenpaket, das durch die von der NSA überwachten Kabel und Router fließt, die betreffende E-Mail-Adresse, der betreffende Cookie auf, dann schlägt das System blitzschnell Alarm (siehe Fotostrecke). Es ermittelt, welche Website die Zielperson gerade aufrufen möchte und aktiviert dann einen sogenannten Foxacid-Server. Der versucht, sich zwischen den Rechner der Zielperson und die von ihr tatsächlich angeforderte Website zu schieben. Statt der eigentlich angeforderten Yahoo-Seite ruft der Browser unbemerkt eine weitere Adresse auf, die von einem NSA-Server stammt. Sie transportiert Schadsoftware, die bereits perfekt auf die Sicherheitslücken im Rechner der Zielperson abgestimmt ist - ohne dass diese davon etwas mitbekommt. Das Opfer sieht nur die normal wirkende Yahoo-Seite.

Schadsoftware nachladen und Webcam einschalten

Statt zahllose Spam-E-Mails zu verschicken, muss die NSA nun also nur noch warten, bis die Zielperson eine von einer ganzen Reihe bestimmter Webseiten aufrufen will. Blitzschnell und unbemerkt wird dem Nutzer dann eine Spähsoftware untergejubelt - sein Rechner ist infiziert, auch er gilt der NSA fortan als "Präsenzpunkt".

Bis vor kurzem kam dazu bevorzugt eine Software namens Validator zum Einsatz. Schon in einem streng geheimen NSA-Papier aus dem Jahr 2004 heißt es, Validator richte "eine einzigartige Hintertür auf den Personal Computern von Zielpersonen von nationalem Interesse" ein, und zwar "einschließlich terroristischer Zielpersonen, aber nicht beschränkt auf diese".

Validator ist aber nur die erste Hintertür, die NSA-Hacker auf den Rechnern ihrer Opfer installieren. Die Schadsoftware ist dazu entwickelt, weitere Programme nachzuladen, etwa den Trojaner "Olympus", der den Angreifern dann weitergehende Zugriffsmöglichkeiten auf den Rechner der Zielperson bietet, ganz nach Wunsch. Wer sich einmal derartigen Zugang zu einem Computer verschafft hat, kann mit dem infiltrierten Gerät nach Belieben verfahren: Dateien manipulieren, das umliegende Netzwerk auskundschaften, die Webcam einschalten oder mit permanenten Screenshots mitverfolgen, was der Ausgespähte gerade auf seinem Rechner tut.

Fotostrecke

16  Bilder
Geheimdokumente: Die Spezialabteilung TAO der NSA stellt sich vor
Tatsächlich sind mittlerweile zahlreiche Fälle bekannt, in denen sich die NSA und das britische GCHQ mit der Quantum-Insert-Methode Zugriff auf fremde Rechner verschafften, die keineswegs Terroristen gehörten. GCHQ-Hacker etwa attackierten damit den halbstaatlichen belgischen Telekommunikationskonzern Belgacom und Mobilfunk-Abrechnungshäuser wie Mach. Auch die Organisation erdölexportierender Länder Opec wurde mit der Quantum-Methode angezapft (SPIEGEL 46/2013). Zu den Zielen der TAO-Hacker gehört das Konsortium, das das Unterseekabel Sea-Me-We 4 betreibt, ein Kabelsystem, das Internetverbindungen von Frankreich über Nordafrika, den Persischen Golf und Indien bis nach Singapur und Malaysia herstellt. Mehr zu diesem Fall lesen Sie in der aktuellen Ausgabe des SPIEGEL.

Die Abteilung TAO sei ein einzigartiges Instrument der USA, heißt es in einer Stellungnahme der NSA. Sie versetze den Dienst in die Lage, "die Nation und ihre Verbündeten an vorderster Front zu verteidigen. Sie konzentriert sich dabei auf die Informationsbeschaffung im Ausland durch die Ausbeutung von Computernetzen". Zu Einzelheiten über die Aufgaben der TAO äußere sich die NSA nicht.

NSA-Geheimdokumente
  • Zur Quantum-Familie gehört auch QFIRE. Das ist ein im Jahr 2011 ausgearbeitetes Pilotprojekt der NSA, um eine weltweite Struktur zum aktiven Angreifen von Internetverbindungen zu schaffen. Das System soll der NSA erlauben, Internetverbindungen zu unterbrechen und umzuleiten sowie die Kontrolle über Botnetze zu übernehmen.
  • Fotostrecke: "Vorwärtsverteidigung" mit QFIRE

Mitarbeit: Andy Müller-Maguhn, Judith Horchert, Laura Poitras, Ole Reißmann

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema NSA-Überwachung
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
SPIEGEL-Briefkasten
Mehr dazu im SPIEGEL



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.