Russische Agenten in den USA Wie das FBI die Spitzel-Stümper enttarnte

Sie verschlüsselten Funkübertragungen, verstecken Botschaften in Bildern: Die nun gefassten russischen Spione in New York bedienten sich etlicher Hightech-Werkzeuge, um ihre Erkenntnisse zu übermitteln. Am Ende wurden ihnen zu viel Selbstvertrauen und ein dahingekritzeltes Passwort zum Verhängnis.

Von und


Auf den ersten Blick mutet es wie Hightech an, wie die mutmaßlichen russischen Spione Daten mit ihren Kontaktpersonen vom russischen Konsulat in New York austauschten. Letztlich aber nutzten sie Kommunikationstechnik von der Stange. Wie das FBI ausführlich in seinem Bericht beschreibt, verwendeten die Verdächtigen sogenannte Ad-hoc-Netzwerke, um ihre Computer miteinander zu vernetzen. So bauten sie drahtlose Verbindungen zwischen Laptops auf - und hätten ohne persönliches Treffen und völlig unbemerkt kommunizieren können. Wäre ihnen das FBI nicht auf die Schliche gekommen.

Denn die von ihnen genutzte Technik ist alles andere als ungewöhnlich. Schon seit einigen Jahren stecken die Grundlagen für Ad-hoc-Netzwerke in jedem Laptop. Wer nicht weiß, wie so etwas funktioniert, sollte seinen pubertierenden Nachwuchs fragen: Für Tech-affine, Lan-Party-gestählte Youngster gehört so etwas zum digitalen Alltag.

Entwickelt wurde diese Technik, um es kleinen Gruppen von Notebook-Usern zu ermöglichen, auch ohne Netzwerk-Hardware, also ohne einen Hotspot, ein W-Lan aufzubauen, über das sie miteinander kommunizieren und Daten austauschen können. So können beispielsweise Kollegen auf Reisen ihre Rechner miteinander vernetzen, um gemeinsam zu arbeiten.

Fotostrecke

3  Bilder
Ad-hoc-Vernetzung: So funktioniert das Netzwerk der Spione
Genau diese Technik, so die FBI-Ermittler, haben die mutmaßlichen Spione nun in mehreren dokumentierten Fällen genutzt, um mit ihren Kontaktleuten von der russischen Vertretung in New York zu kommunizieren, ohne sie persönlich zu treffen. Die FBI-Ermittler mussten sich simpler Hobby-Hacker-Methoden bedienen, um die virtuellen Treffen zu beobachten und die Beteiligten eindeutig zu identifizieren - das reichte.

Schnüffel-Werkzeug aus dem Elektronik-Kaufhaus

Die Vorgehensweise war dabei immer dieselbe: Die vom FBI der Spionage verdächtigten, Anna Chapman und Mikhail Semenko, gingen stets an einen möglichst unverfänglichen Ort, in einen Coffeeshop, eine Buchhandlung, ein Restaurant. Dort packten sie ihren Laptop aus und errichteten ein drahtloses Ad-hoc-Netzwerk. Wenig später trat ein zweites Gerät diesem Netzwerk bei, und es begann der Datenaustausch zwischen den Geräten.

Nach jeweils 20 bis 30 Minuten war der ganze Zauber vorbei, Spione und russische Konsulatsmitarbeiter verließen den Schauplatz, ohne während ihres Datenaustauschs tatsächlich miteinander in Kontakt getreten zu sein. Die Russen wurden dabei von den FBI-Agenten mal in einem Kleintransporter, mal in einem geparkten Auto, mal einfach "in der Nähe" gesichtet. Immer jedoch, so die FBI-Agenten, stellten diese Russen mit einem Computer eine drahtlose Verbindung zum Laptop des jeweils beobachteten Spions her. Aus sicherer Entfernung konnten Ermittler beobachten, dass stets dieselben Rechner miteinander zugange waren. Einfache Elektronik half ihnen dabei.

Fotostrecke

13  Bilder
USA: Verdächtige in der Vorstadt
Vermutlich mit einem sogenannten W-Lan-Sniffer, einem Gerät, das Drahtlos-Netzwerke und drahtlos vernetzte Computer in seiner Umgebung anzeigen kann, stellten sie fest, dass ein Ad-hoc-W-Lan aufgebaut wurde, sobald beispielsweise Chapman in einem Coffeeshop ihr Laptop anwarf. Wenig später trat dann ein weiteres Gerät diesem Netzwerk bei. Während dieser Untersuchungen protokollierten die Agenten stets auch die MAC-Adressen der beteiligten Geräte. Das sind weltweit eindeutige Zahlenkombinationen, die vernetzte Geräte wie ein Nummernschild identifizieren. Selbst für manche Smartphones gibt es Software, die man zu solchen Zwecken verwenden kann.

Verräterische MAC-Adressen und Radiogramme

Nachdem sie einmal diese MAC-Adressen festgestellt hatten, konnten die Beamten mit ihrem W-Lan-Sniffer künftig schon anhand der Netzwerk-Aktivitäten feststellen, wann der russische Konsulatsmitarbeiter und die mutmaßlichen Spione versuchten, miteinander Kontakt aufzunehmen und Daten auszutauschen. So etwa am 7. April dieses Jahres, als der russische Offizielle offenbar bemerkte, dass er beobachtet wurde und deshalb seine Bemühungen einstellte. Während er in sein Büro zurückkehrte, protokollierte der Sniffer, dass die MAC-Adresse des Laptops der Beklagten wieder aktiv war, sie offenbar vergeblich versuchte, über ihr Ad-hoc-Netz eine Verbindung zu ihrem Kontaktmann herzustellen.

Die mutmaßlichen Spione hatten die Hauptmission "Verbindungen in Politikkreise in den USA aufzutun und zu entwickeln" - das zitierte das FBI aus einer entschlüsselten Botschaft.

Doch wen genau die angeblichen Agenten ausspionierten und ob sie erfolgreich waren, dazu machte das US-Justizministerium keine genaueren Angaben. Die Missionen der meisten Verdächtigen seien langfristig angelegt gewesen - teilweise operierten sie seit Anfang der neunziger Jahre. Sie hätten auch außerordentlich verdeckt gearbeitet. Offiziell gingen sie unverdächtigen Jobs nach, etwa als Reporterin in einer spanischsprachigen Zeitung oder Angestellter in einem Reisebüro. Acht der Verdächtigen waren verheiratet.

Verglichen mit ihren halbvirtuellen Treffen per Ad-hoc-W-Lan muten die sogenannten Radiogramme, mit denen die Spione nach FBI-Ansicht mit Informationen und Anweisungen versorgt wurden, an wie ein Relikt aus den vierziger Jahren. Radiogramme sind verschlüsselte Datenpakete, die per Kurzwellenfunk übertragen werden. Dass die Spione über solche Nachrichten kommunizierten, schließen die Ermittler daraus, dass in einigen abgefangenen Botschaften die Buchstabenkombination "RG" erwähnt wird, die sie als Kürzel für "Radiogramm" einordnen. So heißt es in einer Botschaft an die Spione: "Bitte stellt sicher, dass eure Funkausrüstung betriebsbereit ist. Wir wollen ein paar Test-RGs senden."

Die Ver- und Entschlüsselung der per Radiogramm gesendeten Nachrichten scheint dabei auf ausgesprochen altertümliche Weise von Hand erledigt worden zu sein. Darauf deuten zumindest einige Ringbücher voller Zahlentabellen hin, welche bei heimlichen Hausdurchsuchungen in den Wohnungen Verdächtiger gefunden wurden.

Agenten versteckten Botschaften in Bilddateien

Die mutmaßlichen Agenten fühlten sich sehr sicher. Sie haben laut der Klageschrift die mit ihren Auftraggebern ausgetauschten Botschaften zwar in Bilddateien versteckt, aber keine besonderen Vorkehrungen getroffen, um dieses Verhalten zu verbergen.

FBI-Agenten haben bei heimlichen Hausdurchsuchungen in New Jersey 2005 die Festplatten einiger der Verdächtigen kopiert. Bei der Auswertung dieser verschlüsselten Daten entdeckten die Ermittler eine Sammlung von Web-Adressen. Auf diesen Internetseiten fanden die Ermittler Fotos - "völlig unauffällig für das nackte Auge" laut Klageschrift. Mit einer speziellen Steganographie-Software konnten die Ermittler in diesen Bilddateien versteckte Botschaften auslesen.

Das Steganographie-Prinzip ist uralt: In digitalen Fotos, Videos oder Klangdateien versteckt eine spezielle Software Zusatzinformationen. Diese Details können nur von Menschen ausgelesen werden, die mit versteckten Mitteilungen rechnen und wissen, wie diese codiert sind - man braucht den passenden Schlüssel. So haben schon während des Zweiten Weltkriegs Geheimdienste gearbeitet: Damals wurden zum Beispiel mit Präzisionskameras, Mikroskopen und Jodid Codes in den i-Punkten in scheinbar harmlosen Texten versteckt.

In digitalen Bilddaten lassen sich noch leichter Zusatzinformationen verstecken. Einige der Verfahren sind mit statistischen Methoden aufzuspüren. Für Ermittler ist Steganographie schwierig aufzuspüren, wenn

  • sie keinen Anhaltspunkt haben, in welchen Daten die Botschaften versteckt sind,
  • sie nicht wissen, mit welcher Methode die Steganographen arbeiten und
  • die Steganographen die eingebetteten Textbotschaften vorab zusätzlich mit einer Krypto-Software verschlüsseln.

Die mutmaßlichen Spione haben in zwei Punkten versagt: Sie haben darüber gesprochen, wie und wo sie versteckte Botschaften ablegen. So konnte das FBI mithören.

Passwort im Klartext auf einem Notizzettel

Die bei der heimlichen Hausdurchsuchung 2005 kopierten Festplatten waren zwar verschlüsselt. Doch das Passwort spürten die Ermittler laut Klageschrift so auf: "Die Agenten entdeckten und fotografierten einen Papierzettel. Darauf stand 'Alt', 'Control' und 'e', gefolgt von 27 Zeichen".

Schwer zu glauben, dass Spione sich so dilettantisch anstellen. Andreas Pfitzmann, Informatikprofessor an der Technischen Universität Dresden, gibt zu bedenken, dass das Passwort nicht unbedingt auf einem Notizzettel gestanden haben muss: "Natürlich kann das so passiert sein. Aber angenommen, der Geheimdienst hätte sich technisch anspruchsvollerer Mittel bedient, um das Passwort herauszufinden, würden die nicht unbedingt in der Klageschrift beschrieben werden."

Pfitzmann zufolge ist es beim Abhören von Wohnungen mit der richtigen Technik und Software kein Problem, mit der Zeit auch die Tastaturanschläge zu identifizieren: "Jede Tastatur strahlt ab. Wenn man das lange genug mitschneidet und die Eingabe normaler Texte analysiert, kann man den einzelnen Signalen auch die korrekten Zeichen zuordnen."

Wie auch immer die Ermittler an das Passwort kamen: Sie tippten diese 27 Zeichen als Kennwort zum Entschlüsseln des Datenträgers ein und konnten so das Steganographie-Programm nutzen und die Links zu den Bilddaten im Web abrufen. Insgesamt entschlüsselten die Ermittler mehr als hundert Textbotschaften aus diesen Bilddateien.

Einige dieser versteckten Botschaften der mutmaßlichen Agenten an ihre Auftraggeber zitiert die Klageschrift - es geht um Computerprobleme und Ärger mit gefälschten Ausweisen:

  • "Treffen mit M verlief wie geplant. A übergab M das Laptop, zwei USB-Sticks und 9000 US-Dollar in bar. Nach Ms Angaben stellt sich das Problem mit seiner Ausrüstung so dar: Das Laptop 'hängt' / 'friert ein', bevor die Programme normal durchgelaufen sind."
  • "Auch kann seine Frau die Vereinigten Staaten nicht verlassen, weil die Dokumente, die sie hat, nicht mehr für Reisen ausreichen, weil sich die Anforderungen für die Einreise dieses Jahr geändert haben für das Land, in das sie aus den USA reisen möchte. M braucht Rat in dieser Sache."

Die Anweisungen der Auftraggeber sind da klarer.

  • Im Frühjahr 2009 erhielten die mutmaßlichen Spione den Auftrag, einen Besuch des US-Präsidenten in Moskau vorzubereiten. Die Aufgabe an die Agenten in Bezug auf vier namentlich genannte Mitarbeiter des US-Außenministerium: "Versuchen Sie ihre Ansichten zu skizzieren und vor allem Obamas Ziele für den Gipfel im Juli zu erfassen und die Pläne seines Teams, wie Russland in eine Kooperation im Sinne der US-Interessen gelockt werden soll."
  • Bisweilen gab es Lob. Eine Agentin hatte 2009 die Einschätzung ihrer Quellen der Goldpreis-Entwicklung weitergegeben. Ihre Auftraggeber kommentieren: "Information: in Bezug auf Gold - s. nützlich, es wurde direkt (nach nötiger Adaption) an das Finanz- und Wirtschaftsministerium geschickt."

Experten nennen die Spione mal "dilettantisch", mal "pfiffig"

Hartmut Pohl, Professor für Informationssicherheit an der Hochschule Bonn-Rhein-Sieg lobt einige der Ideen der Hacker als "pfiffig". Zum Beispiel die Idee mit den Ad-hoc-Netzwerken. Pohl: "Das ist interessant - so ist es recht schwierig, die Kommunikation abzufangen. Da die Ermittler sehr dicht an den Zielpersonen bleiben müssen, steigt das Risiko, dass sie entdeckt werden."

Zwei Anfängerfehler macht der Informatiker auf Basis der Klageschrift bei den mutmaßlichen Spionen aus: "Dass sich Agenten darüber unterhalten, wo und wie sie Botschaften verstecken, ist dilettantisch." Dass man 27-stellige Passwörter, die bestenfalls regelmäßig geändert werden, notiert, nennt Pohl "menschlich". Aber auch da hätten sich die Agenten wesentlich schlauer anstellen können. Pohl: "Wenn man es schon nicht auswendig lernen kann, lässt sich so ein Passwort doch besser verstecken."

Zum Beispiel über mehrere Telefonnummern in einem Adressbuch verteilt, als Satz in einem Tagebuch verschlüsselt - schon diese ganz simplen, allseits bekannten Methoden dürften bei einer schnellen, heimlichen Hausdurchsuchung weniger auffallen als ein Passwort auf einem Notizzettel.



Forum - Diskussion über diesen Artikel
insgesamt 58 Beiträge
Alle Kommentare öffnen
Seite 1
ted211 29.06.2010
1. Heimliche Hausdurchsuchung
Ich habe immer gehört, konspirative Hausdurchsuchungen gab es nur bei der Stasi. Stimmt das etwa nicht?
citizengun 29.06.2010
2. -
Die gesamte Vorgehensweise war dilettantisch. Konventionelle Funktechnik im Verbund mit Mac-Adressen, die sich nicht ändern, ist idiotisch. Der Rest ist bemitleidenswert aber typisch für Menschen, die sich mit Datensicherheit nicht oder nur am Rande auskennen. Man hätte Richtfunk und/oder unidirektionale Bursts ohne direkte Rückbestätigung verwenden müssen, die im normalen Protokollablauf untergehen. Die sind bestimmt aufgrund der Mac aufgeflogen, die auch von Telefonkonzernen registriert wird.
o.o 29.06.2010
3. aha
Zitat von ted211Ich habe immer gehört, konspirative Hausdurchsuchungen gab es nur bei der Stasi. Stimmt das etwa nicht?
Was ist das für eine blöde Fragestellung? Bei konspirativen Wohnungen, also der von Spionen oder Terroristen ist selbstverständlich auch heimliches Mithören erlaubt. Es sit außerdem ein Unterschied ob man gezielt Personen überwacht oder generell die gesamte Bevölkerung.
McSteph 29.06.2010
4. Dilettantisch
Zitat von citizengunDie gesamte Vorgehensweise war dilettantisch. Konventionelle Funktechnik im Verbund mit Mac-Adressen, die sich nicht ändern, ist idiotisch. Der Rest ist bemitleidenswert aber typisch für Menschen, die sich mit Datensicherheit nicht oder nur am Rande auskennen. Man hätte Richtfunk und/oder unidirektionale Bursts ohne direkte Rückbestätigung verwenden müssen, die im normalen Protokollablauf untergehen. Die sind bestimmt aufgrund der Mac aufgeflogen, die auch von Telefonkonzernen registriert wird.
Wenn ich den Artikel richtig gelesen habe, agierten diese Leute bereits seit Beginn der 90er Jahre. Es hat also rund 20 Jahre gedauert, bis sie entdeckt und überführt werden konnten. Das nenne ich von Seiten des ermittelnden Geheimdienstes bemitleidenswert und dilettantisch. Was mich auch wundert, ist, dass sie keine Verschlüsselung oder wechselnde MACs für ihre Kommunikation benutzt haben.
kuriosos 29.06.2010
5. aua
also mal davon ab das der spiegel stellvertretend für die gesamt-presse kleinigkeiten befördert von denen jeder staatsschützer wahrscheinlich dankbar wäre wenn sie nicht derartig breitgetreten würde, ist die methode der "spione", mehr als nur gewitzt. zwar lässt sich da einiges verbessern, aber das wird dann ja irgendein trüppchen perfektionieren. und äh @citizengun: mir schwant sie haben selber nicht so viele einsichten. denn adhoc netzwerke funktionieren nicht nur in spiegelartikeln wie funkgeräte, also ohne telecom carrier oder andere zwischeninfrastruktur, sondern auch in echt. richtfunk ist glaube ich im coffeeshop auch nicht so unauffällig wie sie vllt glauben und die änderung der mac ist eigentlich in so einem system auch nicht zwingend notwendig, da sie auf niemandes radar auftauchen. und wenn doch dann nützen ihnen die von ihnen beschriebenen methoden auch nicht viel. allerdings stellt sich schon die frage warum die nicht einfach truecrypt nutzen, da scheitert offensichtlich auch das fbi dran. alles in allem sehr effizient was die spurenvermeidung und vorratsdatenspeicherungsumgehung (geiles wort) anbelangt!
Alle Kommentare öffnen
Seite 1
Diskussion geschlossen - lesen Sie die Beiträge! zum Forum...

© SPIEGEL ONLINE 2010
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.