NSA bastelt an der Automatisierung von Unsicherheit – Malware in industriellem Maßstab

nsa_malware_feature

Die NSA arbeitet zusammen mit dem britischen GCHQ an einer industriellen Automatisierung von Malware. Das belegen neue Enthüllungen aus dem Fundus von Edward Snowden über die Glenn Greenwald bei TheIntercept berichtet: How the NSA Plans to Infect “Millions” of Computers with Malware

Die Existenz der Tailored Access Operations (TAO), einer speziellen Abteilung bzw. Einheit der NSA zur geheimdienstlichen Aufklärung durch Infiltration ausländischer Rechner und Netzwerke, war schon länger bekannt. Mittlerweile gibt es aber von verschiedenen Quellen neue Informationen, die das Gesamtbild etwas mehr vervollständigen. So weiß man mittlerweile, dass TAO 1997 gegründet wurde und mittlerweile mehr als 1000 Mitarbeiter hat – sowohl vom Militär als auch Zivilisten. Diese arbeiten rund um die Uhr in mehreren Schichten. Operationsziel ist dabei Computer Network Exploitation – das systematische Infiltrieren ausländischer Computernetzwerke, um so an relevante Informationen zu gelangen. Zu den Techniken gehört u.a. das Verschicken von massenhaft Spam, um Malware damit zu vertreiben.

Automatisierter Befall

Zuerst wurden diese Techniken dazu genutzt, sonst schwer zu erreichene Ziele zu überwachen. Die dafür entwickelte Technik wurde dann im Rahmen des Projektes TURBINE automatisiert und auf „industrielles Niveau“ skaliert. Das dahinterstehende Grundprinzip ist simpel: Der größte Flaschenhals bei der Infizierung von Zielsystemen ist der menschliche Aufwand, sprich die manuelle Konfiguration der Schadsoftware, sodass sie zum jeweiligen System passt. Dadurch, dass TURBINE das automatisch ermittelt, sinkt die menschliche Mitwirkung quasi auf Null – die Größenordnung möglicher infizierter Systeme steigt laut eines NSA-Papiers von hunderten auf Millionen an. Von Dimensionen im Größenbereich von Hunderttausend gab es bereits Berichte. Anscheinend war TURBINE Teil des „Owning the Net“-Projektes, für das im vergangenen Jahr 68 Millionen Dollar bereitstanden.

Aber was für Malware ist das, die da mit TURBINE ausgerollt wird? Die NSA hat erwartungskonform ein ganzes Arsenal an Schnüffelspielzeug:

  • Auf seinem 30C3-Talk erwähnte Jake Applebaum UNITEDRAKE, das zusammen mit SLICKERVICAR schadhafte Festplatten-Firmware installiert, um Zugriff auf den Master Boot Record von Systemen zu bekommen.
  • CAPTIVATEDAUDIENCE fängt über integrierte Mikrofone Unterhaltungen und Geräusche in der Umgebung auf
  • GUMFISH übernimmt die Webcam eines Rechners
  • FOGGYBOTTOM kümmert sich um die Browser-History und sammelt dabei Logins und Passwörter
  • GROK loggt Tastendrücke
  • SALVAGERABBIT extrahiert Daten von USB-Sticks, die in einen infiltrierten Computer gesteckt wurden.

Ist das Ende infiziert, hilft auch die Ende-zu-Ende-Verschlüsselung nicht mehr…

Wir hatten ja gestern erst wieder darauf hingewiesen: Ende-zu-Ende-Verschlüsselung ist gut, um Kommunikation zu schützen und kann, wenn die Protokolle und Verfahren nicht kompromittiert sind, nicht ohne weiteres mitgelesen werden. Wenn die NSA das jetzt aber einfach dadurch umgehen kann, dass sie nicht mehr auf der Leitung, sondern direkt in unseren Computern schnüffelt, sieht es düster aus. Bisher war man davon ausgegangen, dass solcher Aufwand noch zu teuer für ungezielte Massenüberwachung sei. Sieht man aber solche Projekte, fühlt man sich noch ein bisschen beobachteter als sowieso schon.

Weitere Dokumente zeigen, wer neben den vielzitierten Terroristen und Extremisten unter besonderer Beobachtung steht: Die Systemadministratoren. Die interne Notiz, die das Verrät, trägt den schönen Titel:

I hunt sys admins

Und klar, hat man Zugriff auf den Rechner des Administrators großer Telekommunikationsunternehmen, ist es bis zum Zugriff auf sämtliche Kommunikationsabläufe nicht mehr weit. Der Fall Belgacom, in dem GCHQ den belgischen Provider mittels eines implantierten Virus kompromittiert hatte, zeigt da deutliche Parallelen.

VPNs, eine weitere unliebsame Sicherheitsvorkehrung

Netzwerkendpunkte, Verschlüsselung, Offline-Systeme. Alles wird von der NSA angegriffen. War’s das nicht langsam, was fehlt denn noch zu „Owning the Net“? Ein Punkt auf der Liste sind VPNs. Die Virtual Private Networks sind eine Maßnahme, um über das Internet so sicher zu kommunizieren, als befände man sich im gleichen Intranet. Unschön für die Allüberwachung, daher setzt die NSA mit den Programmen  HAMMERCHANT für VoIP-Kommunikation und HAMMERSTEIN für den Datenaustausch direkt am Router an, um diese Sicherheitsvorkehrung zu schwächen. Aber auch andere Sachen, die man mit Routern machen kann, sind der NSA und ihren 5-Eyes-Partnern eingefallen:

hackingrouters

NSA implantiert Malware genau wie gewöhnliche Kriminelle

Um ihre Implantate auf den Zielrechner zu bringen hat auch die NSA zunächst die Methode gewählt, die bei aller Malware weit verbreitet ist und die Programme hinter Links in Spam-Mails versteckt. Aber das klappt heute nicht mehr ganz so gut, da der Großteil der Nutzer Spamfilter benutzt und mittlerweile gelernt hat, dass es selten eine gute Idee ist, dubiose Links anzuklicken oder Dateianhänge zu öffnen. Deshalb haben die findigen Geheimdienstler weitergedacht.

quantuminsertBesucht ein Nutzer eine Internetseite, die von der NSA kontrolliert wird, wird er unbemerkt auf einen NSA-Server geroutet, von dem dann Datenpakete mit der Malware gesendet werden. Das Ganze gibt es auch in abgewandelter Form als QUANTUMHAND für Facebook.

In some cases the NSA has masqueraded as a fake Facebook server, using the social media site as a launching pad to infect a target’s computer and exfiltrate files from a hard drive. In others, it has sent out spam emails laced with the malware, which can be tailored to covertly record audio from a computer’s microphone and take snapshots with its webcam. The hacking systems have also enabled the NSA to launch cyberattacks by corrupting and disrupting file downloads or denying access to websites.

Das untenstehende Video

stammt aus einer internen Präsentation, die die Funktionsweise erläutern soll.

In diesem Fenster soll der Inhalt eines Drittanbieters wiedergegeben werden. Hierbei fließen personenbezogene Daten von Dir an diesen Anbieter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Viele Unternehmen nutzen die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an den Drittanbieter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Der Drittanbieter betrachtet Deinen Klick möglicherweise als Einwilligung die Nutzung deiner Daten. Weitere Informationen stellt der Drittanbieter hoffentlich in der Datenschutzerklärung bereit.

Zur Datenschutzerklärung von Vimeo

Zur Datenschutzerklärung von netzpolitik.org

How the NSA Secretly Masqueraded as Facebook to Hack Computers for Surveillance von First Look Media auf Vimeo.

Im QUANTUM-Paket findet sich auch noch mehr. QUANTUMDNS zum Beispiel, das DNS-Server angreift und damit ermöglicht, URLs, die ein Nutzer besuchen will, in gefälschte IP-Adressen umzusetzen. QUANTUMBOT nutzt passive IRC-Bots, um Rechner in Botnets zu finden und zu übernehmen.

Die obigen Techniken beschäftigen sich alle mit der Manipulation von Routing oder ähnlichem. Aber auch das Blockieren von Internetverkehr liegt im Bereich von QUANTUM-Anwendungen. Bei QUANTUMSKY werden Webpagezugriffe mittels RST Packet Spoofing geblockt. Die selbe Technik findet man auch bei der Firewall der Opponenten in China.

Nach Umleiten und Blocken ist der nächste logische Schritt das aktive Fälschen von Datenverkehr. SECONDDATE heißt die Technik, mit der in Echtzeit die Kommunikation zwischen Client und Server manipuliert werden kann. Das dient laut einer Präsentationsfolie nicht nur der tatsächlichen Manipulation, sondern ermöglicht den massenhaften Befall von Zielsystemen, wenn diese mit bestimmten Knotenpunkten kommunizieren.

Wie werden die Zielrechner ausgewählt

Noch reicht es wohl nicht, um wahllos alle Rechner der Welt zu identifizieren. Aber wenn man nun diese Masse an potentiell befallenen Rechnern sieht, fragt man sich, wie die NSA es schafft, die Rechner auszuwählen, auf denen die Malware installiert wird. Dafür wurden überall auf der Welt TURMOIL-„Sensoren“ auf Internetknoten und in Abhörstationen installiert. Wenn diese ein Paket empfangen, das von der NSA als interessant befunden wird, kann durch TURMOIL mit TURBINE kommuniziert werden und ein Malwareangriff kann beginnen. Andere Auswahlkriterien können Cookies, Mailadressen, MAC-Adressen, IMEIS, … – also beinahe alles – sein.

selectors-1024x768

Die Tatsache, dass die TURMOIL-Stützpunkte auf der Welt verteilt sind, zum Beispiel auch an GCHQ-Standpunkten, und auf einigen Dokumenten vermerkt ist, dass die Präsentationen mit den Partnern aus Australien, Kanada, Großbritannien und Neuseeland geteilt werden sollen, kann man sicher sein, dass nicht nur die Amerikaner, sondern auch andere von diesem Wissen und der dahinterstehenden Technik wussten. Wer wittert da nicht Verstöße gegen geltende Gesetze?

Aber, alles kein Problem. Denn wie immer spricht GCHQ sein kleines Gebet von Recht und Angemessenheit:

[…] all of GCHQ’s work is carried out in accordance with a strict legal and policy framework which ensures that our activities are authorized, necessary and proportionate, and that there is rigorous oversight.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Kann man sich eigentlich überhaupt noch dagegen schützen?

    Die Regierung rät einem ja dazu. Aber ich sehe keinen Weg, wenn das NSA selbst die ISP Router dirigieren kann. VPN, Verschlüsselung, https ist alles nutzlos für sicher Kommunikation und für „Wir machen Überwachung so teuer dass es sich nicht lohnt…“

    Also ich sehe absolut keinen Weg, wie man sicher online kommunizieren kann, sobald man einen Internetanbieter hat.

    Tja, vor ein paar Jahren wurde man für solche Blogposts noch beinahe in die Klapse gesteckt…

    Greetz,
    GHad

    1. VPN etc. sind nicht geknackt.
      Es gilt halt nur, dass wenn du geowned bist dann bringt es nichts
      (oder wenig) neues zu verschlüsseln.
      Wobei so ganz stimmt es nicht, denn es ist ja nicht klar von wem du
      gehackt wurdest und es muss nicht automatisch die USA sein.

      Zudem heisst es nicht, dass (fast) alle gehackt sind.
      Die Ammies haben halt, wie jede andere kriminelle Orginisation,
      eine Infrastruktur aufgebaut, um andere Computer zu übernehmen.
      Das ist nichts neues und auch kein allmächtiges Werkzeug oder
      Wundermittel.

      Es gilt was früher galt, wenn man sicher kommunizieren will.
      Durch diese Information hat sich im wesentlichen nichts verändert
      und ja es lohnt sich.
      In Wirklichkeit wären solche Sachen nicht

    1. Es ist naheliegend, dass weder Neuseeland noch Australien unabhängig, sondern zu 99% britische Kolonien sind.

  2. Ihr schreibt das sich die Nachrichtendienste wie Kriminelle bzw. SPAM-Versender benehmen. Schon mal überlegt ob es da zwischenzeitlich evtl. personelle Überschneidungen gab/gibt.

    Schließlich schüttelt man sich derartiges know how nicht von Bäumen und hat bei den verbliebenen Experten dann ggf. auch noch mit moralischen Bedenken zu kämpfen.

    Professionellen Spamern und Black hats fehlt dieser Malus nachweislich und sofern finanzielle Anreize nicht ausreichen sind Druck durch/Schutz vor den Strafverfolgungsbehörden sicher Motivation genug.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.