Liste mit vermeintlich von der NSA gehackten Servern veröffentlicht

Die erstmals im Sommer dieses Jahres unter dem Namen Shadow Brokers aufgetretene Gruppe meldet sich mit Neuigkeiten aus dem Reich des US-Nachrichtendienstes NSA zurück: Es ist eine frei zum Download verfügbare Liste mit 352 IP-Adressen beziehungsweise 306 Domain-Namen von Servern aufgetaucht, die unter Kontrolle der zur NSA zugerechneten Equation Group gestanden haben sollen.

Darunter finden sich auch 17 Server mit DE-Domains – alle aus dem universitären Umfeld (Uni Rostock, FH Gießen, FH München, Bundeswehr-Universität München und weitere). Der Großteil der übrigen Einträge verweist auf Server in China oder Taiwan, darunter auch Regierungs-Domains (.gov). Eine Karte zeigt die vermeintlichen Standorte der Maschinen.

Glaubhaft?

Für die Authentizität spricht: Das 39 Kilobyte große Archiv, aus dem die Server-Informationen hervorgehen, ist mit dem gleichen PGP-Schlüssel signiert wie die weitaus umfangreichere Veröffentlichung von NSA-Hackersoftware aus dem August durch die Shadow Brokers.

Die nun veröffentlichten Daten sind jedoch wenig selbsterklärend und einige Einträge stellen die Glaubwürdigkeit infrage: So findet sich in den Logfiles ein der Uni Bremen zugeordneter Rechner unter der nicht existierenden Domain "uni-bremin.de". Eine der in den Daten der Bundeswehr-Uni in München zugeschriebene IP-Adresse gehört bereits seit 2004 zum Bestand eines norwegischen Internet-Providers – was zumindest außergewöhnlich wäre.

Veraltete Daten

Laut Logfiles fand auf der Maschine aber zuerst, beziehungsweise zuletzt – es liegen hierzu keine weiteren Informationen vor –, im Jahr 2006 im Zusammenhang mit den angeblichen NSA-Tools eine Aktivität statt. Also nach dem Zeitpunkt, an dem der Provider den Adressblock registriert hat. Dazu kommt, dass die Liste ohnehin veraltet ist: Die ältesten Logfiles verweisen auf Daten aus dem Jahr 2000, die jüngsten sind mindestens sechs Jahre alt.

Derzeit gibt es keinerlei Informationen, ob die in den Dateien verwendeten Namen wie Pitchimpair, Dewdrop, Stoicsurgeon oder Patchicillin auf NSA-Spionageprogramme oder Software-Tools hinweisen. Offensichtlicher ist da schon, welche Betriebssysteme zumeist angegriffen wurden: Ein gutes Drittel lief unter Solaris 2.8 (SPARC-Plattform), ein weiteres Drittel unter anderen Solaris-Versionen. Daneben finden sich noch Hinweise auf verschiedene Linux- und andere Unix-Systeme.

In ihrem in krudem Englisch verfassten Begleitschreiben legen die Shadow Brokers den Verdacht nahe, dass die von der NSA angegriffenen Maschinen per Pitchimpair als Sprungbrett für weitere Angriffe auf andere Systeme verwendet wurden. Auf diese Weise ließe sich der Ursprung geschickt verschleiern. Ein Blogbeitrag des britischen Unternehmens Hacker House gibt zudem zu bedenken, dass die bislang unbekannten Tools nach wie vor im Einsatz sein könnten, um Unix-Systeme anzugreifen. Laut Hacker House seien einige der Hosts aus der Liste zudem nach wie vor aktiv und liefen mit dem gleichen Betriebssystem wie in den Logfiles vermerkt. (des)