/Hacker

Warum ein ukrainischer Hacker den Clinton-Hack aufdecken könnte

Michael Förtsch 17.08.2017 Lesezeit 3 Min

Ein ukrainischer Hacker hat sich den Behörden gestellt und arbeitet nun mit dem FBI zusammen. Er könnte diejenigen identifizieren, die hinter den Angriffen auf die Rechner der US-Demokraten stehen. Abertausende Mails und die Wahlkampfstrategie von Hillary Clinton waren dadurch geleaked worden. 

Vor kurzem soll sich ein junger Mann der ukrainischen Polizei gestellt haben. Verhaftet wurde er jedoch nicht. Stattdessen arbeitet er mittlerweile als Zeuge mit dem amerikanischen FBI zusammen. Denn offenbar handelt es sich bei dem als „verschreckt“ beschriebenen Ukrainer um denjenigen, der hinter dem Pseudonym Profexer steht. Seine genaue Identität soll weiterhin geheimgehalten werden. Nach einem Bericht der New York Times habe er angegeben, dass er hinter der Software PAS Web shell steht, die bei Attacken auf das Computernetzwerk der Dachorganisation der US-Demokraten zum Einsatz kam.

Im Juni vergangenen Jahres hatte sich ein gewisser Guccifer 2.0 als Angreifer geoutet. Laut IT-Sicherheitsfirmen und dem US-Heimatschutz sollen in Wahrheit jedoch unabhängig voneinander agierende Hackergruppen hinter den Angriffen stehen, die von russischen Geheimdiensten gestützt werden – unter anderem mit dem Ziel, den Wahlkampf von Hillary Clinton zu sabotieren. Diese wurden von IT-Experten Fancy Bear und Cozy Bear getauft. Mehrere Zehntausend Emails und Spendenverzeichnisse, die dabei erbeutet wurden, wurden im Juli 2016 auch auf Wikileaks veröffentlicht. Die beschrieben unter anderem aber auch die Wahlkampfstrategie des Democratic National Committee und offenbarten, wie die Kampagne von Bernie Sanders sabotiert werden sollte.

Wie Profexer der ukrainischen Polizei gestanden habe, will er das Tool entwickelt haben, das offenbar durch die Gruppe Fancy Bear bei einem Hack im ersten Quartal 2016 genutzt wurde. Diese Gruppe soll auch hinter dem Bundestag-Hack stehen und wird mutmaßlich vom russischen Geheimdienst FSB gelenkt und finanziert. Selbst am Angriff beteiligt sei Profexer aber nicht gewesen. „Er erzählte uns, er hätte die Software nicht für einen derartigen Einsatz konzipiert“, zitiert die New York Times Serhiy Demediuk von der IT-Sicherheitsabteilung der ukrainischen Polizei. Jedoch wurde die PAS Web shell verwendet, um durch eine Hintertür verschiedenste Befehle auf dem gehackten System des Democratic National Committee auszuführen.

Über lange Zeit war Profexer zuvor als Auftragsentwickler auf einer eigenen Seite im Darknet aktiv. Seine PAS Web shell war dort grundsätzlich kostenfrei. Wer aber eine spezialisierte Ausführung mit zusätzlichen Optionen wollte, musste dafür zahlen. Ebenso beteiligte sich Profexer oft an Debatten in Foren und Chats. Ende vergangenen Jahres wurden dann im Joint Analysis Report der US-Heimatschutzbehörde detaillierte Informationen zur Welle von russischen Hackerangriffen und der dabei verwendeten Software veröffentlicht.

Caption

Profexer geriet offenbar in Panik. Er schloss seine Seite, tauchte unter, aber ließ Kollegen wissen, dass er noch lebe. Dann fällte er den Entschluss, mit den Behörden zu kooperieren. Denn wie Profexer nun realisiert hatte, waren einige seiner Kunden Mitglieder des Fancy-Bear-Kollektivs – und er jemand, der ihnen gefährlich werden könnte.

Er war von der Gruppe angeheuert worden, um eine nach den Ansprüchen der Hacker angepasste Version der PAS Web shell zu schreiben. Diese Art des Outsourcing soll ins Schema staatlich gestützter Angriffe aus Russland passen. Kontakt zwischen Profexer und den Käufern bestand alleinig über Voice Calls und Chat. Aber dadurch soll es jedoch schon möglich gewesen sein, einige der Beteiligten anhand ihrer Pseudonyme zu identifizieren. Langfristig könnte Profexer dem FBI nun helfen, die Beteiligten zu enttarnen und nachzuvollziehen, auf welche Weise russische Geheimdienste tatsächlich involviert waren. Damit ließe sich letztlich sogar aufklären, welche Rolle Hackerangriffe und der Kreml für den Wahlsieg von Donald Trump spielten.