Die Trojaner-Entwickler der Equation Group sind schwer zu enttarnen
Forscher haben weitere Teile des Schadcodes der Equation Group analysiert und Hinweise gefunden, die wieder Richtung NSA und ihrer Verbündeten deuten. Die Analyse zeigt aber viel deutlicher, warum es so schwer ist einen Schuldigen ausfindig zu machen.
(Bild: Kaspersky)
- Fabian A. Scherschel
Die Virenjäger von Kaspersky haben weitere Erkenntnisse vorgelegt, die darauf hindeuten, dass es sich bei den Hackern der Equation Group um Mitglieder eines Five-Eyes-Geheimdienstes (USA, Großbritannien, Kanada, Australien, Neuseeland) handelt. Die Forscher haben die "EquationDrug"-Spionagesoftware der Gruppe genauer unter die Lupe genommen. An Hand von Text-Strings und Zeitstempeln wollen sie ausgemacht haben, dass der Quellcode von einer Gruppe von Entwicklern stammen muss, die von einem Staat finanziert wurde und im Osten Nordamerikas ihre Arbeit verrichten. Die Ergebnisse zeigen aber vor allem, wie schwer es ist, die möglichen Programmierer von Schadcode zu identifizieren.
Zuerst einmal müsse man die Komplexität der Schadsoftware anerkennen. Sie bestehe aus einer schlanken Hauptkomponente, die wie der Kern eines Betriebssystems operiere und eine Reihe von Plug-ins installieren und laden könne: Ein flexibles Tool, das auf verschiedene Einsatzzwecke zugeschneidert werden könne. Eine solche Infrastruktur deutet auf einen Geheimdienst hin, der auf den Rechnern seiner Opfer keine Spuren hinterlassen will. Des weiteren analysieren die Forscher Textbausteine im Code, besonders auffällig sei hier der String BACKSNARF_AB25, der mit dem Codenamen "Backsnarf" übereinstimmt, der in einer Liste von NSA-Projekten vorkommt. Im Allgemeinen deuten viele Textschnipsel darauf hin, dass die Entwickler von EquationDrug englischsprachig sind.
Trojaner-Entwicklung nur werktags
Bei einer Analyse der Zeitstempel in den Datei-Headern falle vor allem auf, dass die Programmierer der Spionagesoftware ihre Arbeit dem Augenschein nach äußerst geregelt verrichtet haben. Der Compiler übersetzte die Binärdateien demnach fast ausschließlich von Montag bis Freitag in einem deutlichen Acht-Stunden-Rhythmus mit fester Mittagspause – was darauf hindeute, dass EquationDrug von normalen Arbeitnehmern programmiert wurde. Kriminelle Hacker oder Hobbyprogrammierer haben meist weitaus weniger geregelte Tagesabläufe. Kaspersky interpretiert diese Daten so, dass die Entwickler aus den Zeitzonen UTC -3 oder UTC -4 stammen, was der Ortszeit in Grönland, Brasilien oder dem äußersten Osten von Kanada beziehungsweise der Sommerzeit im Osten der USA entspricht. Das NSA-Hauptquartier in Fort Meade befindet sich übrigens in der Zeitzone UTC -5 (beziehungsweise UTC -4 zur Sommerzeit). Allerdings erklären die Forscher nicht, warum die Zeitumstellung keinen Einfluss auf die Arbeitszeit der Programmierer zu haben scheint.
Das alles sind Indizien, wirkliche Beweise, dass die Equation Group Teil eines Five-Eyes-Dienstes ist, hat Kaspersky immer noch nicht. Die Analyse zeigt, dass das wahrscheinlich auch so bleiben wird. Immerhin könnten die untersuchten Text-Schnipsel und Zeitstempel auch absichtlich manipuliert worden sein. Nur an Hand von in freier Wildbahn entdeckten Schadcode-Komponenten zu beweisen, wer den Code verfasst hat, ist äußerst schwierig. Vor allem wenn der Übeltäter sich Mühe gibt, seine Identität zu verschleiern. (fab)
