Der Sprecher der Ukrainischen CyberAllianz Sean Townsend schildert im nachfolgenden Artikel wie Kaspersky und der FSB sich als „Hacker“ The Shadow Brokers ausgaben, um geheime Entwicklungen der NSA zu kapern und bekanntzumachen. Wegen dieses Leaks fanden solche Epidemien wie WannaCry, NotPetya und BadRabbit statt.
Mythen und Realität der Antivirus-Programmen
Rund um Antivirus-Firmen existieren viele Mythen. User beschuldigen sie zweier Todsünden: dass sie die Virenprogramme selber schreiben, um sich daran zu bereichern, und dass die Antivirenprogramme zur Beschattung benutzt werden können. Diese Mythen sind falsch, sind aber sehr überlebensfähig, und den Entwicklern der Antivirenprogramme gelingt es seit Jahrzehnten nicht, sich von diesen Verschwörungstheorien zu befreien. Der Verdacht kommt auch deshalb auf, da die Nutzung der Antivirusprogramme auf Vertrauen basiert.
„KasperskyLab“ hielt 25 Jahr lang durch, eines Tages brach es aber auch zusammen. Und in der Erinnerung der Menschen bleibt das Antivirusprogramm nun nicht mehr als Beschützer…
Mythen über die Hacker
Über Hacker gibt es nicht weniger Mythen. In der Massenkultur wird Hacking als eine „Superpower“ wahrgenommen. Wie Arthur Clark sagte: „Eine hinreichend entwickelte Technologie ist von der Magie nicht zu unterscheiden“. Die Figur in der Guy-Fawkes-Maske kann angeblich ein paar Knöpfe drücken und Passwörter erfahren, Millionen Dollar überweisen und einen Tunnel auf Gegenverkehr schalten, Panik und Zerstörung säen. So passiert es aber nicht. Beziehungsweise, es kann so sein, aber nicht ganz genau so.
Die Mehrheit der Hacker arbeitet in irgendeinem einzelnen Spezialgebiet und wird durch ihre Anzahl, Stabilität und Einfachheit der Technologien erfolgreich, und nicht durch einen mythischen Computer-Vodoo. Zu Grunde liegen einfache wirtschaftliche und statistische Gesetzmäßigkeiten. Besser Tausend Mal einen Cent, als einmal eintausend. Die Chancen sind nicht vergleichbar. Darum beginnt der Preis eines zielgerichteten Angriffs bei mehreren Tausend Dollar. Für die Entwicklung von Hacker-Instrumenten braucht man Zeit (also Geld), die man für etwas anderes aufwenden könnte, als für Versuche, eine Wand mit dem Kopf durchzubrechen.
Ich sage das, um zu betonen, dass es erkennbare Verhaltensmuster gibt, die Hacker von jenen unterscheiden, die sich für sie ausgeben möchten. Und es gibt immer die Verführung, die eigenen Fehler von sich zu weisen oder Spuren zu verwischen, indem man alles auf einen Hackerangriff schiebt („I was hacked“, „Der Virus hat die Datei mit dem Budgetprojekt gefressen“, The Shadow Brokers). Kaum jemand versteht, wie Hacker arbeiten und die Ausreden sehen durchaus wahrheitsgetreu aus. Die Geheimdienste brauchen aber ziemlich konkrete Informationen, sie sind weder durch Zeit noch durch Geld, noch durch irgendwelche ethische Überlegungen eingeschränkt. Nationale Sicherheit und Punkt.
Die Geschichte mit dem Leak aus der NSA hielt jahrelang an. Im Februar 2015 veröffentlichte „KasperskyLab“ einen Bericht über Equation Group (ein Codename, den Kaspersky sich für eine Abteilung der NSA ausgedacht hatte, die angeblich Cyber-Aufklärung betreibt). Im März desselben Jahres war die Agentur gerade von den Snowden-Leaks zu sich gekommen und ließ die russischen Sicherheitsdienstler wissen, dass sie sich auf das falsche Feld begeben hatten. Bloomberg veröffentlichte den Artikel „The Company Securing Your Internet Has Close Ties to Russian Spies„. Der Gründer der Firma Ewgenij Kaspersky tat so, als ob er die Andeutung nicht verstünde.
Das Faktum der Zusammenarbeit von Kaspersky mit den Geheimdiensten Russlands ist natürlich für niemanden ein Geheimnis. Die Tätigkeit von Kaspersky begann damit, dass er von einem ehemaligen Professor der KGB-Hochschule Reschetnikow unterstützt wurde, und die Mitarbeiter des Unternehmens verheimlichen nicht nur die Zusammenarbeit mit den Geheimdiensten sondern sind sogar stolz darauf.
Ins Büro kommt regelmäßig die Polizei. Als ich zum Tisch kam, saßen dort schon zwei Leute. „Reden wir in fünf Minuten“, sagte Schewtschenko und bot mir einen Stuhl an, „Das ist die Abteilung „K“. Wir brauchen einen weiteren Bericht“, sagte er, als diese Menschen die Tür hinter sich schlossen, „Der FSB kommt hier auch regelmäßig vorbei…“. Schewtschenko verzog nicht mal das Gesicht, als er diese Buchstaben aussprach“. (Novaya Gazeta „Gäste aus der Zukunft“, September 2005).
Warum die NSA Kaspersky erst 2017 drangenommen hat
„Warum hat die NSA erst 2017 und nicht früher verboten, Kaspersky-Software zu nutzen? Das ist doch ein Spion des KGB?“, wird sich der Leser fragen. Die Sache ist, dass es sich damals rein um ein Muster der schädlichen Software handelte. Ein Muster (oder, in professioneller Sprache: Sample, Body) ist nur ein Fragment eines großen Programms. Ebenjener Virus, den die Antiviren beseitigen sollen. In der heutigen Zeit tauchen so viele Viren auf, dass kein Mensch, keine Firma mit ihrer Analyse fertig wird. Den Großteil der Viren fängt die Automatik auf, und in den Antivirusprogramme sind Zehntausende undeutlicher Regeln eingebaut, und wenn die Datei als allzusehr verdächtig erscheint, schickt das Antivirusprogramm diese Datei an seine Mutterfirma zur Analyse. So ist der Großteil der Antiviren aufgebaut.
Die Geheimdienste verschiedener Länder wurden bereits mehrmals bei Erschaffung von Viren ertappt. Wenn es sich nur um Samples handeln würde, würden die amerikanischen Geheimdienste weiter schweigen und Kaspersky nicht mal mit dem Finger der freien Presse drohen. Sie hatten aber schon den Verdacht, dass diesmal nicht alles lief wie gewohnt. Nachdem die Demokratische Partei der USA im Sommer 2016 angegriffen worden war, wurden die Russen des Hackerangriffs beschuldigt. Und direkt danach, im August 2016, taucht eine niemandem bekannte Hackergruppe The Shadow Brokers auf und erklärt, sie habe Equation Group gehackt. Und sie begannen nicht nur die Analytik und Samples zu veröffentlichen sondern ganze Pakete an Hackersoftware zusammen mit Unterlagen. Geld, genauso wie im Fall von NotPetya, interessierte dabei niemanden.
Hacker oder Geheimdienste (Verhaltensanalyse ohne Gleichsetzung)
Ein schwerwiegender Fehler. Wenn es Hacker gewesen wären, so hätten sie erklärt, dass sie die NSA oder ihre Abteilung „Office of Tailored Access Operations“ gehackt haben – sie hätten aber auf keinen Fall ihrer Gruppe einen Namen gegeben, wie Kaspersky ihnen einen gegeben hatte. Und ich rede nicht mal davon, dass Hacker niemals Hackerinstrumente im Wert von einigen Millionen Dollar (!!!) ins Netz gestellt hätten. Es ist komisch, einen Computer zu hacken und nicht zu wissen, wem genau dieser gehört. Die NSA nennt sich selbst manchmal aus Spaß „No Such Agency“, aber ganz bestimmt wird sie sich nicht mit einem Namen betiteln, den irgendein russky sich ausgedacht hat.
Die Leute, die hinter den The Shadow Brokers stehen, konnten entweder den relativ hohen Wert der veröffentlichten Instrumente nicht genügend verstehen, oder umgekehrt – sie verstanden ausgezeichnet, dass Sicherheitslücken wie Eternal Blue und Eternal Romance auf der Stelle von „Black Hackers“ ausgenutzt werden. Oder von solchen, die sich für Black Hackers ausgeben wollen. Und das wird die Aufmerksamkeit der Öffentlichkeit vom Trump-Gate, russischen Hackern und Spionageoperationen ablenken. So war es auch geschehen: die „Erpresser“ WannaCry, NotPetya und BadRabbit benutzten die durch The Shadow Brokers geleakten Entwicklungen der NSA.
Der „Hacker-Skandal“ ließ aber nicht nach. The Shadow Brokers veröffentlichte weiterhin Leaks mit NSA-Entwicklungen. Und allmählich hatte es die Agentur satt. Im Frühling 2017 begannen Überlegungen über ein Verbot der Nutzung von Kaspersky-Antivirus im US-Staatssektor, und als das Verbot verabschiedet wurde, haben große amerikanische Einzelhändler auf den Verkauf des russischen Antivirenprogramms verzichtet. Warum so spät? Russen und Amerikaner sind nicht die einzigen Teilnehmer des Cyberkrieges, im selben Jahr 2015 traten auch die Geheimdienste Israels (Codename: Duqu) in den Krieg ein.
Der israelische Nachrichtendienst hackte das Kaspersky-Labor und ein paar andere technologische Unternehmen. Der Hackerangriff wurde im Juni 2015 entdeckt („Kaspersky Lab investigates hacker attack on its own network“). Und Israels Einmischung war nicht von ungefähr: Kaspersky legte ihnen nicht zum ersten Mal Steine in den Weg (Stuxnet). Darum zog es auch die Aufmerksamkeit der stärksten Spieler auf sich. Der Knoten zog sich fest zu. Auf Kasperskys Hals.
Was ist denn passiert? Meine Version
Kaspersky ist es auf dem Markt der Antivirenprogramme zu eng geworden. Einen 100500. Bank-Trojaner (und das ist keine Übertreibung) in die Basis einzutragen ist sehr langweilig. Und das Kaspersky-Labor begann Spionagespiele zu spielen. Aus dem ANT-NSA-Katalog (Snowden, Dezember 2013) erfuhren sie die Codenamen der Geheimprogramme der NSA. Solche wie COTTONMOUTH. Weiter kann man das Wort unter den gesammelten verdächtigen Dateien suchen (und von solchen hat Kaspersky Dutzende, wenn nicht Hunderte Millionen). Dazu kann man auch eine spezielle Prozedur in die Antivirus-Basis hinzufügen.
Bei den modernen Antivirenprogrammen bestehen die Basen nicht nur aus Schablonen für die Suche sondern auch aus einem Code. Und wenn Kaspersky den Amerikanern vorschlägt, den Code seines Antivirus aufs Vorhandensein von „Registerblättern“ zu prüfen, ist es eine reine List. In der Antivirus-Basis sind Tausende Programme enthalten, sie alle zu prüfen gibt es keinerlei Möglichkeit, und sie können sich gleich nach der ersten Aktualisierung verändern. Der Code kann dabei wie folgt aussehen: Jede Datei, die ein Wort aus 11 Buchstaben beinhaltet, die in der Summe 164 (A=1, B=2 usw.) ergeben, muss ans „Zentrum“ zur Analyse geschickt werden. Somit wird die Datei, die das Wort „COTTONMOUTH“ beinhaltet, an Kaspersky Security Network (ein Speicher für verdächtige Dateien) geschickt. Der Algorithmus dabei kann etwas schwieriger sein als einfaches Summieren, und keine Analyse des Codes wird erlauben zu beweisen, dass Kaspersky nach einer geheimen amerikanischen Entwicklung suchte und nicht nach einem prähistorischen Virus aus den Zeiten von MS-DOS.
Als die Amerikaner verstanden, dass Kaspersky ihre Viren nicht zufällig sondern zielgerichtet studiert – da haben sie auch eine Warnung über Bloomberg geschickt. Wegen dieser einen Einzelniederlage hätte sich niemand solche Mühe gemacht, um das Regime der Geheimhaltung nicht zu stören. Die Israelis aber, die das Kasperksy-Labor gehackt hatten, haben dort wohl nicht nur einzelne Viren-Bodys gefunden, sondern auch irgendwelche Dokumente sowie einen zusätzlichen, nicht schädlichen Code. Kaspersky hatte nicht nur die Viren gefunden – er hatte auch die Computer ermittelt, auf denen diese Viren geschrieben und getestet wurden. Was die Kaspersky-Antivirussoftware auf diesen Computern verloren hatte, ist eine andere Frage. Ewgenij Kaspersky konnte sich wohl nicht zurückhalten und verstieß gegen das erste Gebot: Niemals das eigene Produkt zum Angriff benutzen – und nahm den Inhalt der Computer komplett aus. Und begann dann wohl mit Erpressungen: „Entweder ihr hört auf, russische Hacker zu beschuldigen, oder The Shadow Brokers veröffentlichen Leaks darüber, wie Ihr andere angreift“. Womöglich leitete Kaspersky die Informationen zunächst an den FSB weiter, und diesem ist es nicht gelungen, die bereitgestellten Infos zu nutzen, und er nutzte sie stattdessen für politischen Druck.
J’accuse! Ich bin mir absolut sicher, dass das Kaspersky-Labor und die „Hacker-Gruppe“ The Shadow Brokers ein und dasselbe sind. Unabhängig davon, ob hinter Kaspersky der FSB steht oder ob er alles allein gemacht hat. Ein Nebenzweig dieser ganzen Geschichte ist der Cyberberkut und der Angriff auf die Zentrale Wahlkommission der Ukraine im Mai 2014. Cyberberkut ist eine low-tech-Gruppe, über die meistens Leaks laufen. Aber nach dem Angriff erklärte sie, sie hätten den Exploit des Zero-Days in Cisco benutzt. Sie hätten was auch immer schreiben können, hätten auch schweigen können, haben aber genau das geschrieben. Ihnen hat damals aber keiner geglaubt. Aber die Exploits des Zero-Days in Cisco gehören der NSA, und sie wurden von The Shadow Brokers gleich im ersten Dump der „Equation Group“ veröffentlicht.
Ein Teil meiner Schlussfolgerungen ist bislang spekulativ, aber im Großen und Ganzen sieht alles genauso aus, wie ich vermutete. Nun haben wir alle Puzzleteile: Die Verwaltung des russischen Präsidenten, die den allgemeinen politischen Kurs einschlägt, uneinheitliche Black Hacker, die von Zeit zu Zeit hinzugezogen werden und sowohl echte Hacker als auch eine Deckungslegende sein können, und den FSB, der mit den Herstellern der Software und den Unternehmen, die sich mit Informationssicherheit beschäftigen, eng zusammenarbeitet.
Und hier begeht ein auf den ersten Blick kluger Mensch einen fatalen Fehler: Ewgenij Kaspersky bestätigte in einem Interview an Associated Press das Faktum, dass er nicht nur im Besitz der Virus-Bodys war (die auf natürlichem Wege an ihn gelangen konnten) sondern auch im Besitz von zusätzlicher Software und geheimen Dokumenten, die nur durch einen Hackerangriff erhalten werden konnten.
Kaspersky behauptet, dass die Dateien infolge einer Datensammlung über die Hackergruppe Equation Group, die angeblich mit der NSA zusammenarbeitet, in seine Hände gelangten. Den Worten des Geschäftsmanns nach, hat er, als er über diesen zufälligen Fund erfuhr, gefordert, diese Daten unverzüglich zu löschen („Das Kaspersky-Labor hat zufällig die geheimen NSA-Dokumente heruntergeladen“).
Es ist dabei völlig unwichtig, ob er die tatsächlich „gelöscht“ hat oder nicht. In Wirklichkeit natürlich nicht. Das Wichtigste ist, dass Kaspersky zugegeben hat, dass er tatsächlich den Antivirus zum Hackerangriff und Spionage benutzt hatte. Und dass er die Viren-Pandemie zumindest provoziert hatte, wenn nicht selbst organisiert. Im Grunde öffnete er die Büchse der Pandora, in der es prinzipiell keine Hoffnung gibt!
Wenn eine Abmachung auch nur einmal verletzt wird (wie im Fall des Budapester Abkommens), so ist das System der kollektiven Sicherheit nicht mehr funktionsfähig. Und wir haben es nicht mit einem gewöhnlichen Duell von Spionen zu tun sondern beteiligen uns an einem Cyber-Weltkrieg. Wie im Fall des russisch-ukrainischen Krieges, haben die Russen nicht mal verstanden, dass sie eine unsichtbare aber sehr wichtige Grenze überschritten haben. Und nun können sie noch so viel mit den Händen fuchteln und schreien: „Wieso denn uns?“, „Wieso dürfen die das und wir nicht?“. Sie verstehen tatsächlich nicht, dass es nichts ändern wird, denn wegen ihres wahnsinnigen Vorgehens hat sich die Welt irreversibel geändert.
Dieses Material wurde von Sean Townsend exklusiv für InformNapalm vorbereitet; übersetzt von Irina Schlegel; editiert von Klaus H.Walter.
Beim Nachdruck und Verwenden des Materials ist ein Hinweis auf unsere Ressource erforderlich ( Creative Commons — Attribution 4.0 International — CC BY 4.0 )
Wir rufen unsere Leser dazu auf, unsere Publikationen aktiver in den sozialen Netzwerken zu verbreiten. Das Verbreiten der Untersuchungen in der Öffentlichkeit kann den Verlauf von Informationskampagnen und Kampfhandlungen tatsächlich brechen.
Besuchen Sie uns beim Facebook: InformNapalmDeutsch
No Responses to “Der Kaspersky-Fall und Cyberspionage: Wie Russland die Büchse der Pandora öffnete”