Digitale Spionage Sicherheitsexperten enttarnen gewaltige Hacker-Operation

  • Die IT-Firma Kaspersky Lab hat die Arbeit einer bislang unbekannten Hacker-Gruppe detailliert offengelegt. Sie soll seit 2001 aktiv und hochspezialisiert sein.
  • 500 Organisationen seien alleine innerhalb eines Jahres ausspioniert worden, darunter Ölfirmen, Banken und Kraftwerke. Die IT-Experten gehen von Zehntausenden Betroffenen aus.
  • Einer der Angriffe ähnelt dem Stuxnet-Angriff auf das iranische Atomprogramm.
  • Spioniert wird vor allem in Iran, Pakistan und in Russland; aber auch in Deutschland.
Von Hakan Tanriverdi

Costin Raiu ist sich sicher, einer Elite der Hacker auf die Spur gekommen zu sein. Raiu arbeitet als Forschungschef bei der russischen IT-Firma Kaspersky Lab. Er kennt die Arbeit der professionellsten Hacker des Erdballs, er analysiert ihre Taten seit Jahren und untersucht, wie Computerviren und -würmer aufgebaut sind.

Als mit dem Stuxnet-Angriff das iranische Atomprogramm sabotiert wurde, gehörte Raiu zu denjenigen, die den Angriff weitgehend rekonstruieren konnten. "Aber die Leute, über die wir hier reden", sagt er nun, "sind viel besser als das Stuxnet-Team." Raiu spricht von dem komplexesten Spionage-Werkzeug, das bisher von Forschern auf Computern gefunden wurde.

Auf einer Konferenz in Mexiko hat Raiu nun über diese Hacker-Gruppe und ihre Strategien gesprochen. Das Kaspersky-Team nennt sie "Equation Group", die "Gleichungsgruppe". Der Name stamme daher, dass das Team vor allem Wert auf komplizierte Algorithmen und Rechenvorgänge lege, heißt es in einem Bericht, den die Firma veröffentlicht hat (PDF zum Download). Die Equation-Gruppe sei demnach verantwortlich für mehrere Angriffsformen. Alle sind extrem ausgetüftelt, einige bauen aufeinander auf. Kasperky hat ihnen Namen wie "Equationdrug", "Equationlaser", "Grayfish", "Double-" und "Triplefantasy" oder "Fanny" gegeben

Einige dieser Angriffe zielen auf ganz bestimmte Nutzer, zum Beispiel Besucher von Foren, die dort aber auch registriert sind. Andere wiederum übernehmen Computer komplett - Bildschirme werden dann unbemerkt aktiviert, Tastaturanschläge und damit Passwörter protokolliert und das Mikrofon angeschaltet.

Ziele: Iran, Russland, Pakistan - und Deutschland

Die Equation-Gruppe sei mindestens seit 2001 aktiv, heißt es. Raiu und sein Team haben nach eigenen Angaben alleine innerhalb eines Jahres Angriffe auf 500 Organisationen beobachten können. Da die Schad-Dateien sich aber nach einer nicht näher benannten Dauer von selbst zerstören, gehen die Forscher davon aus, dass mehrere Zehntausend Opfer auf diese Art ausspioniert wurden.

Zu den Angriffszielen gehören unter anderem: Banken, Atomkraftwerke, militärische Einrichtungen, Krankenhäuser und Botschaften. Betroffen sind vor allem Iran, Russland und Pakistan. Auch in Deutschland finden sich infizierte Computer.

Raiu selbst nennt weder betroffene Firmen oder Personen, noch will er Angaben darüber machen, welches Land hinter diesem Angriff stecken könnte. Doch aufgrund der Komplexität der Software kann als sicher gelten, dass ein Staat hinter so einem Programm stecken muss - Hinweise in Quellcode und Ähnlichkeiten der Software legen eine Beteiligung der NSA nahe. Hinzu kommt, dass sich in einer der Angriffsmethoden identische Mechanismen finden wie in Stuxnet - der gilt als amerikanisch-israelische Koproduktion.

Der "Fanny" genannte Stuxnet-Verwandte kann Netzwerke selbst dann analysieren, wenn keiner der betroffenen Computer an das Internet angeschlossen ist. Dazu wird der Wurm per USB-Stick eingeschleust, wo er Daten sammelt und diese im Falle einer Internet-Verbindung des infizierten Rechners weiterschickt. Etwa 12 000 Rechner seien so ausspioniert worden.

Weil der Wurm Lücken nutzt, die nur eine Handvoll Menschen kennen, können sich die Betreiber von Computersystemen nicht wehren. Die Equation-Gruppe nutzte zwei solcher Lücken bereits ein Jahr, bevor Stuxnet durch sie in Systeme eindringen konnte.

60 Prozent der infizierten Systeme in Pakistan

"Interessant ist vor allem, in welchen Ländern wir Systeme gefunden haben, die mit Fanny infiziert waren: 60 Prozent davon waren in Pakistan", sagt Raiu, "das ist ein Zeichen dafür, dass dieses Land gezielt mit Fanny angegriffen werden sollte." Es wurden jene Anlagen ausgewählt, deren Rechnernetzwerke keinen Internet-Zugang haben. "Das können auch Nuklearanlagen sein", spekuliert er.

Die gesammelten Informationen bringen ihn zur Überzeugung, dass mit Fanny getestet wurde, ob ein Cyber-Angriff auf eine Atomanlage möglich sei. Die Antwort lautet: ja. Stuxnet ist bis dato der einzig bekannte Angriff dieser Größenordnung. Dass die USA auch die atomaren Anstrengungen Pakistans mit größtem Argwohn verfolgen, ist bekannt.

Raiu spekuliert weiter: "Wenn wir uns die Liste der Länder anschauen, die von der Equation-Group vor allem ins Visier genommen wurden, sehen wir Iran. Hier haben wir Stuxnet. Dann gibt es noch Pakistan - mit Fanny. Das dritte Land ist Russland." Über einen gezielten Angriff auf russische Infrastruktur ist allerdings bis dato nichts bekannt.

Digitale Super-Wanze

Der Computerwurm, den Forscher entdeckt haben, ist ein Superlativ: Er ist hochkomplex, verwischt seine Spuren und attackiert individuell. Die Forscher glauben, das Spionage-Werkzeug eines Staates entdeckt zu haben. Von Hakan Tanriverdi und Helmut Martin-Jung mehr...