Schattenmakler: Hacking-Werkzeuge der NSA in freier Wildbahn

Die anonyme Hacker-Gruppe „The Shadow Brokers“ veröffentlicht massenweise gesammelte Sicherheitslücken, laut ihrer Aussage von der NSA. Unter den angegriffenen Rechnern waren wohl auch mehrere von deutschen Universitäten.

Schattenmakler (Symbolbild) – Public Domain Viktor Kern

Die Hacker-Gruppe „The Shadow Brokers“ veröffentlichte kurz vor Ostern eine Sammlung an Sicherheitslücken und Exploits. Damit können alle gängigen Betriebssysteme infiltriert werden. Die Exploits stammen angeblich aus dem Arsenal der „Equation Group“, die zur US-Spionagebehörde NSA gehören soll.

Windows-Hersteller Microsoft will die meisten der betroffenen Sicherheitslücken durch mehrere Updates bereits geschlossen haben. Dies trifft jedoch nur auf Windows-Versionen zu, die Microsoft noch unterstützt. Nutzer mit Systemen ab Windows 7 seien laut Microsoft „nicht in Gefahr“. Unklar bleibt, von wem der Hersteller auf die Lücken hingewiesen wurde.

Deutsche Hochschul-Rechner womöglich betroffen

Aus einer weiteren Veröffentlichung der Shadow Brokers von Anfang April geht hervor, dass die „Equation Group“ Systeme von fünf deutschen Universitäten gehackt haben soll.

Die Universität Rostock sagt gegenüber netzpolitik.org, dass der Einbruch möglicherweise durch Sicherheitslücken im Betriebssystem Solaris zustande kam. So waren zu dem Zeitpunkt „kleine Server und Desktops […] in einem Institut“ im Einsatz und gegebenenfalls betroffen. Weitere Erkenntnisse seien nicht möglich.

Eventuell betroffene Rechner der Hochschulen aus Gießen und Erlangen-Nürnberg sowie der Bundeswehruniversität München sind ebenfalls nicht mehr in Verwendung. Die Technische Hochschule Mittelhessen in Gießen weist gegenüber netzpolitik.org darauf hin, dass sie zwar Kenntnis über die veröffentlichte Liste habe, aber einen Einbruch nicht bestätigen könne.

Kein Handlungsbedarf

Dem folgt die Datenschutzbehörde des Landes Mecklenburg-Vorpommern. Ein Sprecher sagt gegenüber netzpolitik.org, dass sie „keine Veranlassung [sehe], angesichts der inzwischen verstrichenen Zeitspanne bezüglich des […] angesprochenen Vorfalls noch aktiv zu werden“.

Die Friedrich-Alexander-Universität Erlangen-Nürnberg betont die „Popularität“ der geleakten Liste. Deswegen geht die Hochschule davon aus, dass die Liste „allen einschlägigen Behörden bekannt [sei und] diese entscheiden, ob sie Ermittlungen anstrengen“. Sie würde „bei einem handfesten Verdacht die zuständigen Behörden“ informieren, der hier nicht vorliege.

Die Universität Bremen hat zum jetzigem Zeitpunkt nicht auf unsere Anfrage reagiert.

Laut einem Sicherheitsforscher der Firma Symantec sind manche der nun geleakten Werkzeuge dem Computer-Wurm Stuxnet sehr ähnlich. Mit Stuxnet sollte gezielt das iranische Atomprogramm angegriffen werden. Demnach wären beide Skripte aus der gleichen Hand.

2 Ergänzungen

  1. Die Unis können das nicht mehr bestätigen, weil die Server ausgemustert sind. Also können sie auch nicht klagen, weil der Beweis verschrottet wurde. Die hätten sowieso nicht geklagt.

    Nebenbei gibt es auch Methoden, die die NSA auch verwendet, bei denen die Spuren verwischt werden. Richtig moderne Methoden kommen erst noch. Da gibt es dann einen Eintrag in der Registry, den man nicht öffnen kann, der aber die Schadware direkt aus dem Netz in den Arbeitsspeicher, oder noch moderner in den Speicher der Grafikkarte, lädt und jedesmal beim Hochfahren neu geladen wird. Da ist noch lange nicht das Ende des Elends erreicht. Immer mal in der registry nachsehen was sich denn so unter run oder runs gesammelt hat.

    Das Tolle an den NSA-Tools ist, dass die auch die Linuxe mit Interesse verfolgen. Wer Interesse hat, die Spielzeuge sehen wirklich interessant aus. Nur für den EIGENEN Gebrauch, ohne fremde Rechner anzugreifen bitte. Aber letztlich benehmen sich nicht nur bei den Amis diverse staatliche Einrichtungen wie banale Kriminelle. Die sind wahrscheinlich sogar zahlreicher als die Kriminellen, die mehr können, als nur mit irgendwelchen Trojanerbaukästen rumspielen. Sie werden nirgendwo irgendwas finden und ihr Treiben ist einfach peinlich.

  2. Zur Ergänzung, das, was da publiziert wurde, waren nicht nur Lücken, sondern auch regelrechte Werkzeugkästen, wie Metasploit &. co..

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.