NSA-Dokumente So übernimmt der Geheimdienst fremde Rechner

Zum Arsenal der NSA gehört eine Methode, mit der sich nahezu jeder Rechner unbemerkt mit Spähsoftware bestücken lässt. QuantumInsert basiert auf geheimen, superschnellen NSA-Servern. Streng geheime Dokumente zeigen, wie das System genau funktioniert - das keineswegs nur gegen Terrorverdächtige zum Einsatz kommt.
1 / 28

R&T steht für Requirements and Tasking. Diese Analysten sind mit dem technischen Prozess der Infiltration fremder Rechner mit Hilfe der Quantum-Methoden der NSA betraut. Es gibt eine weitere, nahezu identische Präsentation für Analysten einer anderen Abteilung dem sogenannten Tasking Office of Primary Interest (TOPI).

Foto: SPIEGEL ONLINE
2 / 28

Quantumtheory erlaubt NSA-Angestellten mit unterschiedlichen Rollen unterschiedliche Arten von Rechner-Infiltration. Die R&T-Analysten können dauerhafte Hintertüren auf Rechnern einrichten, die entsprechende Schadsoftware nennt die NSA Validator, das Nachfolgeprogramm wird als Commondeer bezeichnet. Topi-Analysten dagegen können nur ein anderes Programm namens Quantumnation benutzen, um Schadsoftware mit dem Codenamen Seasonedmoth (Smoth) zu verteilen. Diese "Motten" sterben nach 30 Tagen automatisch ab, die Schadsoftware löscht sich also selbsttätig, wenn keine Genehmigung zu ihrem weiteren Betrieb erteilt wird.

Foto: SPIEGEL ONLINE
3 / 28

Quantum ist eine Man-on-the-Side-Attacke. Das bedeutet: Das System jubelt dem Rechner einer Zielperson neben einer eigentlich aufgerufenen Website Datenpakete aus anderer Quelle unter, sogenannten Foxacid-Servern. Diese zusätzlichen Datenpakete enthalten Schadsoftware wie Validator oder Seasonedmoth. SSO steht für Special Source Operations; das ist die Abteilung, die im Auftrag der NSA Unterseekabel anzapft.

Foto: SPIEGEL ONLINE
4 / 28

So funktioniert das Quantumtheory-System: Folien aus einer streng geheimen Präsentation für NSA-Techniker und -Analysten, erstellt vom NSA-Dienstleister Booz Allen. Zentrale Rollen spielen in dieser Erläuterung der Rechner einer Zielperson ("Target"), das Internetunternehmen Yahoo, eine zentrale Schaltstelle im Internet ("Internet Router"), und ein Standort der NSA-Abteilung Special Source Operations (SSO). Diese Abteilung ist unter anderem für das Anzapfen internationaler Internetverbindungskabel zuständig, entweder durch Zusammenarbeit mit großen Telekommunikationsunternehmen oder durch verdeckte Operationen.

Foto: SPIEGEL ONLINE
5 / 28

Schritt 1: Die Zielperson versucht, sich in ihren Yahoo-Account einzuloggen.

Foto: SPIEGEL ONLINE
6 / 28

Schritt 2: Ein Server, den die Abteilung SSO an einer zentralen Schaltstelle der Internetinfrastruktur platziert hat, entdeckt ein Datenpaket mit einem "Selector", also einem Datenpunkt, der auf eine Zielperson hinweist, die auf der NSA-Wunschliste steht (die Person ist "tasked"). In diesem Fall ist der "Selector" das Yahoo-Login der Zielperson. Der Hinweis, dass die Zielperson gerade versucht, sich in ihren Yahoo-Account einzuloggen, wird an einen Server der NSA-Abteilung für "maßgeschneiderte Operationen" (TAO) weitergereicht. Diese Server tragen den Codenamen Foxacid.

Foto: SPIEGEL ONLINE
7 / 28

Schritt 3 und 4: Der Foxacid-Server schickt ein Datenpaket zum Rechner der Zielperson, das als Yahoo-Datenpaket getarnt ist. Es enthält einen Verweis auf eine von TAO mit Schadsoftware präparierte Internetadresse (URL). Gleichzeitig erreicht das Datenpaket vom Rechner der Zielperson den eigentlich angesprochenen Yahoo-Server.

Foto: SPIEGEL ONLINE
8 / 28

Schritt 5: Das gefälschte Datenpaket vom Foxacid-Server kommt vor dem echten Yahoo-Datenpaket auf dem Rechner der Zielperson an. Das entsprechende Yahoo-Datenpaket kommt zu spät und wird zurückgewiesen. Das funktioniert nur, weil die benutzten Server und Verbindungen extrem schnell sind. Nicht immer gewinnt das Foxacid-System das Rennen, manchmal sind einige Versuche nötig.

Foto: SPIEGEL ONLINE
9 / 28

Schritt 6: Die Zielperson sieht auf ihrem Rechner die angeforderte Yahoo-Seite, doch gleichzeitig wird der Browser unbemerkt zu einer Foxacid-URL umgeleitet.

Foto: SPIEGEL ONLINE
10 / 28

Schritt 7: Die Foxacid-Server prüft noch einmal, dass der benutzte Browser tatsächlich die gewünschte Sicherheitslücke aufweist, damit der Rechner der Zielperson mit Schadsoftware infiziert werden kann. Die passende Schadsoftware wird nun auf den Weg gebracht.

Foto: SPIEGEL ONLINE
11 / 28

Schritt 8: Die Schadsoftware erreicht ihr Ziel, der Rechner der Zielperson ist nun mit einer NSA-Hintertür ausgestattet. Sie erlaubt erste Manipulationen des Rechners und gestattet es, weitere, spezialisierte Spähsoftware nachzuladen.

Foto: SPIEGEL ONLINE
12 / 28

Quantum-Fähigkeiten der NSA: All diese "Selektoren" kann die NSA einsetzen, um den Rechner einer Zielperson mit Spähsoftware zu infizieren. Besonders effektiv funktioniert die Methode dieser Präsentation zufolge mit Yahoo, Facebook und statischen IP-Adressen. Aber auch YouTube, Twitter und das Business-Netzwerk LinkedIn gehören zu den Angeboten, die der US-Geheimdienst auf diese Weise missbrauchen kann. LinkedIn kam etwa beim Eindringen in Rechner von IT-Personal des halbstaatlichen belgischen Telekommunikationskonzerns Belgacom zum Einsatz. Durchgeführt wurde diese "Operation Socialist" vom britischen GCHQ, mit Unterstützung der NSA.

Foto: SPIEGEL ONLINE
13 / 28

Quantumtheory-Fähigkeiten des GCHQ: Dieser Präsentation zufolge haben die Staatshacker des britischen Geheimdienstes GCHQ auch noch andere Dienste im Angebot als die Kollegen von der NSA. Dazu gehören etwa die E-Mail-Dienste von Google (Gmail) und dem russischen Suchmaschinenbetreiber Yandex, aber auch AOL.

Foto: SPIEGEL ONLINE
14 / 28

QFD steht für Query Filled Dataset. Diese Folie erklärt Analysen, wie sie sich von einem "Selector", also einer online verfügbaren Information über eine Zielperson zu weiteren vorarbeiten können. Der Analyst sucht dabei in einer Datenbank namens Marina, in der die NSA große Datenmengen aus dem Internet speichert. Dieser Datensatz enthält bereits eine Telefonnummer, einen Facebook-Cookie, die IMSI, also Identifikationsnummer der Sim-Karte eines Handys, Informationen über einen Yahoo-Account und den Namen der Zielperson.

Foto: SPIEGEL ONLINE
15 / 28

Diese Suche in der Marina-Datenbank zeigt Daten von Yahoo und Skype.

Foto: SPIEGEL ONLINE
16 / 28

Die Marina-Datenbank enthält Selektoren aus diversen Quellen - hier sind Beispielsweise Yahoo-, Skype- und Gmail-Daten augeführt. Besonders gut funktioniert die Quantum-Methode mit Yahoo und Facebook, heißt es hier. Wenn die NSA-Analysten einen Gmail-Account nutzen wollen, um Schadsoftware auf dem Rechner einer Zielperson einzuschleusen, müssen sie sich aber an die Kollegen vom GCHQ wenden.

Foto: SPIEGEL ONLINE
17 / 28

Marina-Suchergebnisse: Browser-Version, Yahoo-Cookies, etc. von einem "bekannten Selektor" hat der Analyst sich zu zwei weiteren, bislang "unbekannten" vorgearbeitet: Gmail-Account und Yahoo-Cookie der Zielperson.

Foto: SPIEGEL ONLINE
18 / 28

Von diesen neuen Selektoren aus kann der Analyst nun versuchen, noch weitere Accounts zu suchen, die etwa mit dem Gmail-Account verknüpft sind.

Foto: SPIEGEL ONLINE
19 / 28

Marina erlaubt es, nach Selektoren wie Yahoo-, Google- oder Skype-Accounts Monate oder sogar Jahre in die Vergangenheit zu suchen.

Foto: SPIEGEL ONLINE
20 / 28

Auf diese Weise lassen sich nun wiederum weitere Selektoren finden – hier wurde ein Facebook-Datensatz entdeckt, der mit der Zielperson assoziiert ist.

Foto: SPIEGEL ONLINE
21 / 28

Als nächstes werden die Analysten instruiert zu prüfen, welche der gefundenen Selektroren sich am besten einsetzen lassen, um mit der Quantum-Methode Schadsoftware auf dem Rechner der Zielperson einzuschleusen. Dazu wird geprüft, ob der Nutzer einen bestimmten Dienst (hier Facebook) in der letzten Zeit tatsächlich genutzt hat.

Foto: SPIEGEL ONLINE
22 / 28

Da die NSA bestimmte Selektoren nutzen kann, das GCHQ aber andere – etwa Gmail – sind die NSA-Analysten zuweilen auf Hilfe aus Großbritannien angewiesen. Dafür gibt es ein "Partnering Agreement" mit den Briten. In ein entsprechendes Formular muss der NSA-Analyst den Ort der Datenerfassung (Sigad) angeben sowie die IP-Adresse(n), unter denen die Zielperson aktiv ist.

Foto: SPIEGEL ONLINE
23 / 28

Hier wird erklärt, wie der Analyst prüfen kann, ob sein Auftrag für eine Quantum-Operation tatsächlich ins automatische System übernommen wurde. Das System versucht nun automatisch, den Rechner der Zielperson zu infizieren, sobald sich die Gelegenheit bietet. Das System zeigt dem Analysten sogar an, wann die Versuche genau stattgefunden haben, und natürlich, ob sie erfolgreich waren.

Foto: SPIEGEL ONLINE
24 / 28

Eine Zusammenfassung des Quantumnation-Programms: Quantumnation sorgt dafür, dass mit "leichtgewichtiger" Schadsoftware eine erste Hintertür auf den ins Visier genommenen Geräten eingerichtet wird – etwa auf der Basis des Facebook-Accounts der Zielperson. Diese Folie verrät auch: Es gibt auch eine Validator-Schadsoftware für iOS-Geräte, als iPhones und iPads von Apple.

Foto: SPIEGEL ONLINE
25 / 28

Diese Folie erklärt den bürokratischen Prozess, den ein Analyst durchlaufen muss, um den Computer oder das Handy einer Zielperson zu knacken.

Foto: SPIEGEL ONLINE
26 / 28

Diese Folie zeigt ein Beispielformular, das ein Analyst mit den nötigen Daten füttern muss, um eine Quantum-Attacke in Gang zu setzen.

Foto: SPIEGEL ONLINE
27 / 28

Wenn das Formular korrekt ausgefüllt wurde, wird der Analyst über den Fortgang auf dem Laufenden gehalten. Der letzte Satz ermahnt die Spione, die Quantum-Anweisung wieder zurückzunehmen, wenn der Rechner der Zielperson erst einmal erfolgreich infiziert ist.

Foto: SPIEGEL ONLINE
28 / 28

Noch Fragen?

Foto: SPIEGEL ONLINE
Die Wiedergabe wurde unterbrochen.