US-Sicherheitsfirma HBGary Computerknacker im Staatsauftrag

Rechner infiltrieren, Nutzer belauschen, Tarnidentitäten im Web pflegen: Die US-Sicherheitsfirma HBGary liefert Abwehr- und Spionage-Software. Zu den Kunden gehören auch die Sicherheitsbehörden der USA. Nun geben entwendete Firmen-E-Mails einen Einblick in das Geschäft mit dem digitalen Krieg.
Von Konrad Lischka
Aktivisten der Anonymous-Bewegung: Die US-Regierung fürchtet die Hacker

Aktivisten der Anonymous-Bewegung: Die US-Regierung fürchtet die Hacker

Foto: JAVIER SORIANO/ AFP

Vorigen Juni entdeckt ein Manager der US-Sicherheitsfirma HBGary ein hochspannendes Projekt auf der Ausschreibungs-Plattform FBO.gov der US-Bundesregierung: Die Air Force sucht einen Zulieferer, der eine sogenannte "Persona Management Software" schreibt. Das System soll es jedem Anwender ermöglichen, mit bis zu zehn Tarnidentitäten im Netz unterwegs zu sein. Der Anspruch der Auftraggeber an die Tarnidentitäten: "Es muss möglich sein, eine solche Person in jeder Region der Welt zu verorten." Die im Netz platzierten Details sollten auch für "erfahrene Gegner" nicht als Fälschung zu erkennen sein.

Im Klartext: Da bestellt sich das Militär ein Management-Werkzeug zum Anlegen, Verwalten und Nutzen digitaler Legenden für Einsatzkräfte. Zu welchem Zweck ist unklar. Denkbar ist einiges: Verbreiten von Propaganda, Aushorchen von Quellen, Schutz der Tarn-Identitäten exponierter Mitarbeiter.

Der HBGary-Manager springt sofort an, mailt den Link zur Ausschreibung an einige seiner Kollegen, ergänzt um den Kommentar: "Das schreiben die im öffentlich zugänglichen Netz aus. Das ist doch nicht deren Ernst?" Aber HBGary bewirbt sich um den Auftrag.

Gute Kontakte zu US-Geheimdiensten

Einige Monate später kann jeder Internet-Nutzer diese Nachricht und einige Zehntausend weitere E-Mails der Sicherheitsfirma HBGary im Web nachlesen. Hacker haben die Daten geklaut, der Einbruch brachte dem Unternehmen viel Häme ein. Für den Datendiebstahl nennt sich die Anonymous-Gruppierung verantwortlich. Die Hacker-Gruppierung ist unter anderem berühmt für Angriffe gegen Kreditkartenfirmen im Nachgang der Sperrung von WikiLeaks-Konten. Ein HBGary-Manager hatte zuvor erklärt, er kenne die Identität der wichtigsten Anonymous-Aktivisten. Nach dieser Ankündigung verschafften sich Unbekannte die Passworte einiger HBGary-Manager, griffen E-Mails ab, übernahmen die Web-Seite des Unternehmens und einige Twitter-Accounts.

Trotz der peinlichen Sicherheitslücken im eigenen Firmennetz sollte man HBGary nicht unterschätzen. Aus den Firmen-E-Mails geht hervor, dass zu den HBGary-Kunden unter anderem das Department of Homeland Security und das US Special Operations Command zählen. Die Manager der vor einigen Jahren gegründeten Tochterfirma HBGary Federal waren zuvor beim Rüstungskonzern Northrop Grumman tätig, haben unter anderem mit Vertretern der Nachrichtendienste CIA, NSA und des Militärgeheimdiensts DIA gearbeitet.

HBGary hat Anfragen von SPIEGEL ONLINE zu den veröffentlichten E-Mails nicht beantwortet. Die Mitarbeiter diskutieren in den Nachrichten Angebote zur Erstellung von Schnüffelprogrammen und Werkzeugen zur Analyse und Infiltrierung sozialer Netzwerke mit Tarnidentitäten.

Auftragsentwicklung von Spionage-Software überrascht Experten

Für solche Angebote war HBGary bislang nicht berühmt. Mehrere von SPIEGEL ONLINE befragte Sicherheitsexperten kennen HBGary und schätzen die bisherige Arbeit als fachlich solide an. HBGary ist allerdings vor allem für Abwehrprodukte bekannt, insbesondere den Responder. Das ist ein häufig eingesetztes Werkzeug, mit dem man prüfen kann, ob Rechner von Schad- und Schnüffelsoftware befallen sind. Die Software Responder Pro nutzen den Firmen-E-Mails zufolge auch mehrere deutsche Landeskriminalämter.

Doch HBGary hat nicht nur Verteidigungs- sondern auch Angriffssoftware im Angebot.

Der Informatiker Thorsten Holz, Professor für Embedded Malware an der Ruhr-Universität Bochum bezeichnet das Beratungsunternehmen als "durchaus angesehen". Greg Hoglund, der Geschäftsführer der Mutterfirma, ist seiner Einschätzung nach "einer der Experten für Rootkits". Hoglund hat vor einigen Jahren mit Jamie Butler eines der Standardbücher zur Rootkit-Entwicklung geschrieben.

Ein Rootkit ist ein Satz von Programmen, die alle vollen Zugriff auf das System eines Rechner haben. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass Abwehrprogramme wie Virenscanner diese bemerken können.

Natürlich müssen Entwickler von Defensiv-Software auch die möglichen Angriffe durchspielen, die Perspektive wechseln, um Schwachstellen zu finden, erklärt der Informatiker Holz. Details aus den E-Mails des Unternehmens haben ihn dennoch überrascht: "Für mich ist die Information neu, dass HBGary auch offensive Software wie Rootkits entwirft und verkauft."

Auftrag: Schutzprogramme aushebeln, Dateien herausschleusen

In den HBGary-Nachrichten finden sich viele Konzepte für solche Angriffsprogramme. Einige wie die HBGary "Rootkit Keylogger Platform" bietet das Unternehmen direkt Kunden an, andere entwickelt das Unternehmen im Auftrag von Rüstungskonzernen - seit 2009. Die Codenamen der Projekte wie "Task Z", "Project C", "12 Monkeys" oder "Magenta" sind unterschiedlich, die Malware soll aber immer die gleichen Anforderungen erfüllen:

  • Die Schnüffelprogramme sollen Tastatureingaben protokollieren und, so steht es in einem Konzept, das System nach Dateien mit bestimmten Schlagworten im Inhalt durchsuchen, diese Daten Huckepack mit gewöhnlichem Datenverkehr beim Webbrowsen übertragen.
  • Gängige Anti-Rootkit-Schutzprogramme sollen die Anwendungen nicht bemerken.
  • Die Schadsoftware soll von Firewall-Software ungehindert mit der Steuereinheit über Internet-Traffic kommunizieren, den Datenverkehr nach außen in anderem Netzwerk-Traffic verbergen.
  • Die Schnüffelprogramme sollen über verschiedene Wege einschleusbar sein - Web-Seiten, zu öffnende Dateien, E-Mail, übertragene Datenpakete.

Zugriff auf Flash-Komponenten aus der Ferne

Einige Spionage-Komponenten scheinen den Beschreibungen in den Nachrichten zufolge schon fertig entwickelt worden zu sein. So diskutieren die HBGary-Manager, wie der Vertrag mit einem Rüstungskonzern zu formulieren ist, der festlegt, in welchem Rahmen der Partner von HBGary zugelieferten Programmcode nutzen darf. Die Rede ist von einem "Adobe Macromedia Flash Player Remote Access Tool" und der "HBGary Rootkit Keylogger Platform".

Ob diese Anwendungen eingesetzt wurden und was sie in der Praxis leisten, geht nicht aus den von SPIEGEL ONLINE gesichteten E-Mails hervor. Die verfügbaren technischen Ausführungen bewerten Wissenschaftler als fundiert. Der Informatiker Thorsten Holz urteilt: "Die Projektvorschläge von HBGary Federal, die ich gelesen habe, klingen fachlich korrekt. Die Autoren diskutieren und wägen verschiedene Ansätze ab, die alle sinnvoll sind."

Soziale Netzwerke aushorchen und infiltrieren

Im Sommer 2010 berichtet ein Manager von HBGary Federal seinen Kollegen von einem - so sein Eindruck - gut angekommenen Vortrag bei einer NSA-Konferenz zum Thema "Schwachstellen bei Social Media" Es gäbe großes Interesse an Schutzmaßnahmen, aber auch an Werkzeugen zur Aufklärung per und Instrumentalisierung von Social Media für eigene Zwecke. So interessiere man sich beim "United States Army Intelligence and Security Command" für solche offensiven Maßnahmen.

Im internen Mailwechsel diskutieren die HBGary-Manager vor allem zwei Ansätze:

  • Sie wollen per Software die Analyse von Beziehungsnetzwerken in verschiedenen sozialen Netzwerken automatisieren.
  • Software-Bots sollen zu Tarnidentitäten passende Profile in sozialen Netzwerken anlegen und pflegen, damit der Eindruck entsteht, die erdachten Personen seien real, im Netz aktiv und sozial eingebunden.

Wie solche Tarnidentitäten benutzt werden können, beschreibt ein Manager in einem Gedankenspiel: Man könnte eine Hackergruppe in zwei Stufen infiltrieren. Man manipuliert die von der Gruppe eingesetzte Software und verteilt diese unter einer Identität. Unter einer anderen Identität enthüllt man dann die böswillige Manipulation, stellt den vermeintlichen Verräter bloß und gewinnt so das Vertrauen der echten Mitglieder.

Wie man so eine Armee digitaler Tarnidentitäten verwaltet und pflegt, macht den HBGary-Manager sichtlich Sorgen. "Das meiste müsste man per Software-Bot automatisieren", schreibt einer. Ein anderer antwortet, er kenne da jemanden: "Er hat viele Jahre Erfahrung im Entwickeln von Back-Office-Bots für die großen chinesischen Gold-Farming-Organisationen. Er kennt das Geschäft und die technischen Aspekte und viele Kriegsgeschichten zum WoW-Botting." Gemeint ist das Anhäufen von Spielgeld über Klick-Bots im Online-Rollenspiel "World of Warcraft" (mit dem Ziel, es an Spieler zu verkaufen).

Ein Einblick in die Praxis der digitalen Rüstungsindustrie

Letztendlich geht es natürlich um genau das auch im Sicherheitsgeschäft - die HBGary-Manager zeigen sich in ihren E-Mails als extrem engagierte Verkäufer. Sie diskutieren, welche Präsentationen bei möglichen Kunden Eindruck machen, welche wahrgenommenen und tatsächlichen Gefahren (beides verschwimmt in den Nachrichten doch sehr) es da draußen gibt und wie sich damit Produkte verkaufen lassen. Mit welcher Meldung kommt man in die Medien? Was macht beim Publikum auf Kongressen und bei Präsentationen so richtig Eindruck? Und kann man mit einem Rootkit nicht vielleicht auch das CD-Fach eines Rechner auf- und zufahren lassen?

Der winzige Einblick in die Praxis der digitalen Rüstungsindustrie zeigt vor allem eines: Was immer man für möglich hält, wird wahrscheinlich gerade irgendwo entwickelt. Zumindest für die nächste Präsentation bei potentiellen Auftraggebern.

Mehr lesen über

Cyberwar Computersicherheit Computerviren Internetkriminalität Hacker

Verwandte Artikel

Die Wiedergabe wurde unterbrochen.
Merkliste
Speichern Sie Ihre Lieblingsartikel in der persönlichen Merkliste, um sie später zu lesen und einfach wiederzufinden.
Jetzt anmelden
Sie haben noch kein SPIEGEL-Konto? Jetzt registrieren