Aus Wut über Donald Trump Hacker stellen NSA-Daten über Spionagemethoden ins Netz
NSA-Rechenzentrum in Utah
Foto: GEORGE FREY/ AFPDer oder die Unbekannten, die sich hinter dem Pseudonym "The Shadow Brokers" verbergen, haben am Wochenende einen gefährlichen Datenschatz veröffentlicht. Mit einem Passwort, das sie am Sonnabend online gestellt haben, lässt sich eine verschlüsselte Datei öffnen, die geheime Software-Werkzeuge und Daten des US-Geheimdienstes NSA enthält.
Ursprünglich hatten der oder die Unbekannten versucht, diese Daten zu verkaufen. Im August veröffentlichten sie, quasi als Echtheitsbeweis, einen Teil der Geheimdaten. Den Rest stellten sie in Form einer verschlüsselten Datei ins Netz. Für den Schlüssel wollten sie per Online-Auktion mindestens eine Million Bitcoin haben, umgerechnet mehr als 500 Millionen Euro. Der Versuch scheiterte.
Nun hat die Shadow Group den damals als so wertvoll gepriesenen Schlüssel kostenlos ins Netz gestellt. Er bildet den Abschluss für einen langen Schmähbrief, in dem sich der oder die Unbekannten enttäuscht bei US-Präsident Trump beklagen. In dem auf "medium.com " publizierten Schreiben heißt es unter anderem: "Mr Trump, es scheint, Sie lassen 'Ihre Basis' fallen, 'die Bewegung', und die Menschen, die Sie gewählt haben."
Auf den folgenden fast zehntausend Zeichen wird Trumps Politik heftig kritisiert. Unter anderem stoßen sich der oder die Urheber des Textes daran, dass Stephen Bannon aus dem Nationalen Sicherheitsrat entfernt und ein syrischer Luftwaffenstützpunkt vom US-Militär angegriffen wurde. Auffällig ist die große Zahl offensichtlicher Rechtschreib- und Grammatikfehler, die sich durch das Dokument zieht.
50 Terabyte Daten in der Garage
Unklar ist weiterhin, wer sich hinter der Bezeichnung "The Shadow Brokers" verbirgt. Nicht mal, ob es sich um eine Einzelperson oder eine Gruppe handelt, ist bekannt. Eine These lautet, dass nur ein NSA-Mitarbeiter dahinterstecken kann. Tools wie die von den Shadow Brokers veröffentlichten würden auf einem sicheren Server liegen, der nicht mit dem Internet verbunden sei, auf den also nur Insider zugreifen könnten, argumentierte im August ein ehemaliger NSA-Analyst .
Die Vermutung, dass der ehemalige NSA-Mitarbeiter Harold Martin mit den Unbekannten zusammengearbeitet haben könnte, konnte bisher nicht bestätigt werden. Martin war im August 2016 festgenommen worden, weil er riesige Mengen geheimer Daten von NSA und CIA bei sich zu Hause aufbewahrt hatte. Die Ermittler fanden bei ihm rund 50 Terabyte an Daten aus den Jahren 1996 bis 2006. Vieles hatte Martin in seinem Auto und der Garage gelagert.
Daten aus den Neunzigern
Das Alter der Daten ist bisher aber der einzige Zusammenhang, der sich zwischen Martin und den Daten der Shadow Group herstellen lässt. Vieles von dem, was die Shadow Group am Wochenende der Öffentlichkeit zugänglich gemacht hat, scheint auch aus diesem Zeitraum zu stammen.
Etliche Hacker und Sicherheitsexperten beschäftigen sich schon seit dem Sonnabend mit den von den Shadow Brokers nun veröffentlichten Daten und haben bestätigt, dass vieles davon bis in die Neunzigerjahre zurückreicht. Trotzdem sei das Material sehr interessant, weil man damit beispielsweise die Arbeitsweise der NSA nachvollziehen könne, sagt etwa ein renommierter Experte, der bei Twitter unter dem Pseudonym "The Mach Monster" auftritt:
Teilweise diskutieren Sicherheitsforscher nun, wen die NSA mit bestimmten Werkzeugen eigentlich angreifen will oder wollte. So gehört zu dem Datensatz beispielsweise ein sogenannter Exploit, also eine noch nicht gestopfte Sicherheitslücke, für bestimmte Servermodelle, von denen nach Schätzung eines Experten weltweit nur noch zehn Exemplare existieren.
This is the most "single target" exploit I have ever seen in the wild (OK, sort of wild)... Linux on DEC Alpha... 10 machines worldwide? https://t.co/woml2xrXi9
— Arrigo Triulzi (@cynicalsecurity) April 8, 2017
Nach einer ersten Durchsicht des Datensatzes weist Whistleblower Edward Snowden darauf hin, das Archiv sei weit davon entfernt, das komplette Arsenal der NSA-Werkzeuge abzubilden. Allerdings, erklärt er weiter, sollte es der NSA anhand der große Datenmenge nun leichtfallen, die Quelle der Daten zu identifizieren und herauszufinden, wie diese abhandenkommen konnte.
...much here that NSA should be able to instantly identify where this set came from and how they lost it. If they can't, it's a scandal.
— Edward Snowden (@Snowden) April 8, 2017
Sicher kann man jedenfalls davon ausgehen, dass IT-Sicherheitsexperten die geleakten NSA-Tools in den kommenden Wochen und Monaten ausführlich analysieren werden. Eine der weniger spektakulären Erkenntnisse, die schon nach wenigen Stunden bekannt wurden, ist, dass die NSA in den Neunzigern Exploits zu Preisen bei Hackern eingekauft hat, die weit unter dem aktuellen Niveau liegen.
Wichtiger ist es freilich zu beobachten, ob sich in den Daten Hinweise auf Sicherheitslücken finden, die immer noch aktuell sind. Kurz nachdem The Shadow Brokers den ersten Teildatensatz veröffentlicht hatten, meldeten sich Netzwerkausrüster mit der Warnung, in den Dokumenten seien Sicherheitslücken enthalten, die etliche Produkte, etwa von Cisco und Fortinet, betrafen und von Angreifern ausgenutzt werden könnten. Etwas Ähnliches könnte sich nun wiederholen.
