Update, 22.08.16: Neue Analysen der Daten aus dem Equation-Group-Hack zeigen, dass die NSA tatsächlich über Jahre hinweg die Cisco-Firewall aushebelte. Mittels eines Tools mit dem Namen BenignCertain nutzte die NSA einen Exploit in Cisco's Internet Key Exchange. Sie konnte so sichere private Netzwerk-Daten von Cisco entschlüsseln und auslesen. Mittlerweile gibt es eine neue Version der Firewall und die Lücke wurde geschlossen. Noch immer laufen aber tausende von Rechnern mit dem veralteten System und sind verwundbar. Die NSA gerät durch die Affäre zunehmend in Bedrängnis, die Hintergründe stehen im folgenden Text.
Es braucht insgesamt sieben Ausrufezeichen. „!!! Aufgepasst ihr staatlichen Unterstützer des Cyber-Kriegs und all jene, die davon profitieren !!!!“, schreibt die ominöse Hacker-Gruppe The Shadow Brokers zu Beginn der Woche in einem Manifest. „Wir haben Cyber-Waffen gefunden, die von den Erfindern von Stuxnet, Duqu und Flame stammen (...) Einige davon bekommt ihr kostenlos als Beweis.“
Die Worte, und vor allem die Tat dahinter, haben Sprengkraft. Hinter den berüchtigten Würmern Stuxnet, Duqu und Flame steht die Equation Group – eine Organisation, die mutmaßlich seit 14 Jahren unentdeckt in Computersysteme auf der ganzen Welt einbricht. Erst das Sicherheitsunternehmen Kaspersky konnte sie im vergangenen Jahr enttarnen. Bei Experten ist seitdem klar: Die Equation Group gehört zum amerikanischen Geheimdienst NSA.
Die anonymen Hacker von Shadow Brokers behaupten jetzt also nicht weniger, als Daten von der NSA gestohlen zu haben. Aber dabei bleibt es nicht: Sie bieten diese Informationen zum Verkauf an. Die Broker wollen eine Million Bitcoin (rund 505 Millionen Euro) für ihre Beute.
Sicherheitsexperten, die sich die Daten schon angesehen haben, glauben, die Daten könnten echt sein. „Es sieht so aus, als hätte die NSA jemanden gehackt, und dieser jemand konnte den Angriff zurückverfolgen und einen Gegenhack starten“, sagt Claudio Guarnieri zu WIRED US. Er ist Forscher beim Citizen Lab der University of Toronto und spezialisiert auf staatliche Malware-Attacken. In den Daten fand er etwa 300 Megabyte Code zu Programmen, die nachweislich auch von der NSA benutzt werden. Außerdem tauchen einige Namen in den Daten auf, die auch in den Snowden-Dokumenten Erwähnung finden, etwa BANANAGLEE der EPICBANANA. Andere Experten mutmaßen gegenüber Motherboard, dass es sich um einen älteren Hack handeln könnte und die Angreifer schon seit Jahren auf dem Datensatz sitzen.
Es könnte also etwas dran sein am Datensatz der Shadow Group. Weniger mysteriös macht das die Sache allerdings nicht. Alles klingt einfach zu übertrieben. Eine übertriebene Summe, eine übertriebene Sprache, zu viel Cyber und zu viel Shadow.
Potentielle Bieter müssen ihre Bitcoins außerdem blind an die Gruppe übertragen, wenn sie eine Chance auf die Informationen haben wollen. Wer bei der Auktion verliert, bekommt sein Bitcoin-Gebot nicht zurück. Die Hacker behaupten, als Ausgleich lediglich einen weiteren Datensatz online zu stellen, falls sie die Summe von einer Million Bitcoins tatsächlich erreichen sollten. Sie verbinden ihre Aktion mit einer scheinbar revolutionären Sprache, die sich gegen „reiche Eliten“ richtet und irgendwie mehr an Mr. Robot erinnert als an die echte Welt.
Vielleicht geht es aber auch gar nicht ums Geld. Eine Gruppe, die in der Lage ist, die Strukturen einer Organisation wie der NSA zu verstehen, muss selbst mit außerordentlichen Ressourcen ausgestattet sein – sowohl in Bezug auf ihre Experten als auch auf ihre finanziellen Mittel. Die medienwirksame Auktion könnte eine Ablenkung sein, genau wie der Einzeltäter im Fall des DNC-Hacks vor einigen Wochen ein Ablenkungsmanöver war. Nach dem Einbruch in die Server der Demokratischen Partei bekannte sich ein einzelner Programmierer zur Tat, später kam aber heraus, dass es sich um eine russische Angreifer-Gruppe handelte.
Whistleblower Edward Snowden vermutet, dass hinter dem angeblichen Hack der NSA-Daten Russland steht. Aber warum? Seine Theorie: Es geht mehr um eine versteckte Drohung, als um Spionage. Russland zeige mit der Aktion, welche Folgen es haben könnte, wenn die USA wegen des DNC-Hacks zu einem digitalen Gegenschlag ausholen würde.
Es bleiben zwei mögliche Schlussfolgerungen: Entweder, die Shadow Brokers veranstalten da gerade einen Betrug, der weltweit Schlagzeilen macht, oder es steckt wesentlich mehr hinter dem Hack als nur ein simpler Raubzug.
Update 17.08.16: Die Einschätzung von Edward Snowden wurde hinzugefügt.
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
