Die sogenannte „Equation Group“ wird mit hoher Wahrscheinlichkeit von einem US-amerikanischen Geheimdienst gesteuert, wenn man einer Veröffentlichung und Analyse von Kasperky aus dem Jahr 2015 folgt. Bereits seit Ende der 1990er Jahre wurde die Gruppe sukzessive aufgebaut, um digitale Angriffswerkzeuge zu bauen und zur Anwendung zu bringen. Bei einigen der analysierten Angriffe sparte die Gruppe nicht mit Zero-Day-Exploits, auch schreibt man der Gruppe zumindest die Mitarbeit an den Stuxnet- und Flame-Angriffen zu.
Zu den Angriffszielen der „Equation Group“ schrieb Kaspersky:
Seit dem Jahr 2001 hat die Equation-Gruppe tausende, vermutlich zehntausende, Opfer in über 30 Ländern weltweit aus folgenden Bereichen infiziert: Regierungs- und diplomatische Institutionen, Telekommunikation, Luft- und Raumfahrt, Energie, Nuklearforschung, Öl- und Gasindustrie, Militär, Nanotechnologie, islamische Aktivisten und Gelehrte, Massenmedien, Transport, Finanzinstitute sowie Unternehmen, die Verschlüsselungstechnologien entwickeln.
Das kann man wohl das „Who is who“ der Welt nennen, man hat jedenfalls Mühe, einen Bereich zu finden, den die „Equation Group“ nicht angegriffen haben soll. Die eigene operative Sicherheit der Gruppe war von Kaspersky einst noch gelobt worden.
Nun behauptet eine Gruppe namens „theshadowsbrokers“, Zugriff auf die Angriffswerkzeuge der „Equation Group“ zu haben. Man habe die „Equation Group“ infiltriert und plane Daten zu veröffentlichen. Staatliche Stellen werden in der Erklärung in leicht gebrochenem Englisch gewarnt:
Attention government sponsors of cyber warfare and those who profit from it
[…]
We find cyber weapons made by creators of stuxnet, duqu, flame. Kaspersky calls Equation Group.(Achtung, Regierungsgeldgeber des Cyberkrieges und alle anderen, die davon profitieren
[…]
Wir besorgen Cyberwaffen von den Machern von stuxnet, duqu, flame. Kaspersky nennt sie Equation Group.)
Foto: Screenshot von github, das Repository ist mittlerweile „disabled“.
Die Gruppe zeigt eine paar Code-Fragmente und Screenshots, die von Sicherheitsforschern zumindest für plausibel gehalten werden. (Update: Erste Tests der Exploits zeigen: Sie sind recht einfach zu nutzen und funktionieren.)
Daneben starteten „theshadowsbrokers“ eine Art Auktion via Bitcoin. Bisher finden sich allerdings nur fünf Transaktionen im Bitcoin-Wallet der Gruppe, ein moderater Anstieg um drei in den letzten Stunden. Derzeit (15.30 Uhr) sind 0,12003067 BTC (ca. 67 US-Dollar) verzeichnet.
Zwar ist das github-Repository nicht mehr verfügbar, aber immerhin die dort angegebenen URLs:
- magnet:?xt=urn:btih:40a5f1514514fb67943f137f7fde0a7b5e991f76&tr=http://diftracker.i2p/announce.php
- https://mega.nz/#!zEAU1AQL!oWJ63n-D6lCuCQ4AY0Cv_405hX8kn7MEsa1iLH5UjKU,
- https://yadi.sk/d/QY6smCgTtoNz6,
- https://ln.sync.com/dl/5bd1916d0#eet5ufvg-tjijei4j-vtadjk6b-imyg2qkd,
- https://app.box.com/s/amgkpu1d9ttijyeyw2m4lso3egb4sola und
- https://www.dropbox.com/s/g8kvfl4xtj2vr24/EQGRP-Auction-Files.zip.
Wer also mitbieten möchte, kann sich auch ohne github noch informieren.
Snowden kommentiert
Edward Snowden hat den Leak bereits kommentiert:
This leak is likely a warning that someone can prove US responsibility for any attacks that originated from this malware server.
(Diese Enthüllung ist wahrscheinlich eine Warnung, dass jemand die Verantwortlichkeit der USA für alle Angriffe, die von diesem Schadsoftware-Server ausgingen, beweisen kann.)
Für einige der von Kaspersky beschriebenen Angriffe hatten wir letztes Jahr Festplatten-Hersteller und das Bundesamt für Sicherheit in der Informationstechnik (BSI) um Stellungnahme gebeten. Mit Ausnahme des BSI waren sie nicht sehr gesprächig.
