"I hunt sys admins": NSA will Millionen Rechner infiltrieren
Im Zuge der Snowden-EnthĂĽllungen wurde bereits berichtet, dass die NSA zehntausende Rechner und Netze infiltriert hat. Das reicht dem Geheimdienst nicht, abgezielt wird offenbar auf Millionen sogenannte Implantate. Und das soll automatisch geschehen.
Der US-Geheimdienst NSA arbeitet daran, Millionen von Rechnern oder Netzwerken automatisiert angreifen und infiltrieren zu können. Das berichtet The Intercept unter Berufung auf Dokumente von Edward Snowden und nennt dabei neue Einzelheiten zu bereits enthüllten Überwachungsprogrammen. Demnach umfasst das Programm "Turbine" automatisierte Prozesse, um eine deutliche Ausweitung der Angriffe zu ermöglichen. Statt der bislang berichteten knapp 100.000 gekaperten Rechner und Netze, könnten so Millionen angegriffen werden.
Den Dokumenten zufolge hat die NSA bereits vor einiger Zeit festgestellt, dass die Kontrolle des Netzwerks aus übernommen Geräten die eigenen Angestellten überfordere. Deshalb sei "Turbine" so entwickelt worden, dass das Programm einige Aufgaben automatisch abwickeln könne. Das umfasse etwa die Einrichtung der Schnüffelsoftware oder die Auswahl der abzugreifenden Informationen. Das bedeute aber einen drastischen Strategiewechsel bei der NSA, gebe sie doch damit Entscheidungen an Maschinen ab, die zuvor von Menschen gefällt wurden.
"I hunt sys admins"
Die Technik wurde den Dokumenten zufolge gegen Terrorverdächtige und "Extremisten" angewendet, aber nicht ausschließlich. Ein wichtiges Ziel seien auch Systemadministratoren bei ausländischen Telefonbetreibern und Internet Service Providern (ISP). Die seien "ein Mittel zum Zweck", sei in einem internen Forum geschrieben worden. Unter der Überschrift "Ich jage Sysadmins" ("I hunt sys admins") erklärte ein NSA-Analyst, dass es mit dieser Strategie leichter sei, an andere Zielpersonen zu kommen. Dazu gehörten auch "Regierungsvertreter, die das Netz zu einem Zeitpunkt benutzen, an dem der Administrator die Verantwortung hat."
Weitere Tools auf die der Bericht eingeht, werden für Angriffe auf Virtual Private Networks (VPN) genutzt. Die beiden Programme heißen intern "Hammerchant" und "Hammerstein". Damit könnten auch Voip-Gespräche – etwa über Skype – überwacht werden. Andere Software sei gar nicht zur Überwachung entwickelt worden, sondern um Nutzeraktionen zu unterbinden. "Quantumsky" etwa sei seit 2004 im Einsatz und erlaube es, an dem infizierten Rechner den Zugang zu bestimmten Internetseiten zu blockieren. "Quantumcopper" wiederum sei erstmals 2008 getestet worden und korrumpiere Dateien, die heruntergeladen werden.
Angriff von allen Seiten
Schließlich erläutern die Autoren noch Man-on-the-Side-Angriffe, die gegen Zielpersonen durchgeführt werden. Bereits enthüllt worden war, dass diese dazu auf gefälschte LinkedIn-Seiten gelotst werden. Nun wird auch Facebook als Netzwerk genannt, das nachgebaut wird, um Besuchern NSA-Malware unterzujubeln. Die infizierten Computer stehen dann für die beschriebenen Angriffe offen. Ein Sprecher von Facebook habe bereits erklärt, man wissen nichts von solchen Aktivitäten, habe aber vergangenes Jahr HTTPS für alle Nutzer implementiert, was die Sitzungen sicherer mache.
In dem Bericht werden außerdem verschiedene Plugins eines Spionagetools namens "Unitedrake" aufgezählt, das die vollständige Übernahme eines Computers erlaube. "Captivatedaudience" etwa erlaube den Zugriff auf ein Mikrofon, um Gespräche in der Nähe aufzuzeichnen. Mit "Gumfish" könnten über die Webcam Fotos aufgenommen werden und "Foggybottom" zeichne den Browsing-Verlauf auf und sammle dabei Logindaten sowie Passwörter. Mit "Grok" könnten Tastatureingaben verfolgt werden und "Salvagerabbit" ziehe Dateien von angesteckten Speichern. In diesem Fall gehe aus den Dokumenten aber nicht hervor, wie oft diese Programme eingesetzt werden. (mho)