Costin Raiu ist sich sicher, einer Elite der Hacker auf die Spur gekommen zu sein. Raiu arbeitet als Forschungschef bei der russischen IT-Firma Kaspersky Lab. Er kennt die Arbeit der professionellsten Hacker des Erdballs, er analysiert ihre Taten seit Jahren und untersucht, wie Computerviren und -würmer aufgebaut sind.
Als mit dem Stuxnet-Angriff das iranische Atomprogramm sabotiert wurde, gehörte Raiu zu denjenigen, die den Angriff weitgehend rekonstruieren konnten. "Aber die Leute, über die wir hier reden", sagt er nun, "sind viel besser als das Stuxnet-Team." Raiu spricht von dem komplexesten Spionage-Werkzeug, das bisher von Forschern auf Computern gefunden wurde.
Auf einer Konferenz in Mexiko hat Raiu nun über diese Hacker-Gruppe und ihre Strategien gesprochen. Das Kaspersky-Team nennt sie "Equation Group", die "Gleichungsgruppe". Der Name stamme daher, dass das Team vor allem Wert auf komplizierte Algorithmen und Rechenvorgänge lege, heißt es in einem Bericht, den die Firma veröffentlicht hat (PDF zum Download). Die Equation-Gruppe sei demnach verantwortlich für mehrere Angriffsformen. Alle sind extrem ausgetüftelt, einige bauen aufeinander auf. Kasperky hat ihnen Namen wie "Equationdrug", "Equationlaser", "Grayfish", "Double-" und "Triplefantasy" oder "Fanny" gegeben
Einige dieser Angriffe zielen auf ganz bestimmte Nutzer, zum Beispiel Besucher von Foren, die dort aber auch registriert sind. Andere wiederum übernehmen Computer komplett - Bildschirme werden dann unbemerkt aktiviert, Tastaturanschläge und damit Passwörter protokolliert und das Mikrofon angeschaltet.
Ziele: Iran, Russland, Pakistan - und Deutschland
Die Equation-Gruppe sei mindestens seit 2001 aktiv, heißt es. Raiu und sein Team haben nach eigenen Angaben alleine innerhalb eines Jahres Angriffe auf 500 Organisationen beobachten können. Da die Schad-Dateien sich aber nach einer nicht näher benannten Dauer von selbst zerstören, gehen die Forscher davon aus, dass mehrere Zehntausend Opfer auf diese Art ausspioniert wurden.
Zu den Angriffszielen gehören unter anderem: Banken, Atomkraftwerke, militärische Einrichtungen, Krankenhäuser und Botschaften. Betroffen sind vor allem Iran, Russland und Pakistan. Auch in Deutschland finden sich infizierte Computer.
Raiu selbst nennt weder betroffene Firmen oder Personen, noch will er Angaben darüber machen, welches Land hinter diesem Angriff stecken könnte. Doch aufgrund der Komplexität der Software kann als sicher gelten, dass ein Staat hinter so einem Programm stecken muss - Hinweise in Quellcode und Ähnlichkeiten der Software legen eine Beteiligung der NSA nahe. Hinzu kommt, dass sich in einer der Angriffsmethoden identische Mechanismen finden wie in Stuxnet - der gilt als amerikanisch-israelische Koproduktion.
Der "Fanny" genannte Stuxnet-Verwandte kann Netzwerke selbst dann analysieren, wenn keiner der betroffenen Computer an das Internet angeschlossen ist. Dazu wird der Wurm per USB-Stick eingeschleust, wo er Daten sammelt und diese im Falle einer Internet-Verbindung des infizierten Rechners weiterschickt. Etwa 12 000 Rechner seien so ausspioniert worden.
Weil der Wurm Lücken nutzt, die nur eine Handvoll Menschen kennen, können sich die Betreiber von Computersystemen nicht wehren. Die Equation-Gruppe nutzte zwei solcher Lücken bereits ein Jahr, bevor Stuxnet durch sie in Systeme eindringen konnte.
60 Prozent der infizierten Systeme in Pakistan
"Interessant ist vor allem, in welchen Ländern wir Systeme gefunden haben, die mit Fanny infiziert waren: 60 Prozent davon waren in Pakistan", sagt Raiu, "das ist ein Zeichen dafür, dass dieses Land gezielt mit Fanny angegriffen werden sollte." Es wurden jene Anlagen ausgewählt, deren Rechnernetzwerke keinen Internet-Zugang haben. "Das können auch Nuklearanlagen sein", spekuliert er.
Die gesammelten Informationen bringen ihn zur Überzeugung, dass mit Fanny getestet wurde, ob ein Cyber-Angriff auf eine Atomanlage möglich sei. Die Antwort lautet: ja. Stuxnet ist bis dato der einzig bekannte Angriff dieser Größenordnung. Dass die USA auch die atomaren Anstrengungen Pakistans mit größtem Argwohn verfolgen, ist bekannt.
Raiu spekuliert weiter: "Wenn wir uns die Liste der Länder anschauen, die von der Equation-Group vor allem ins Visier genommen wurden, sehen wir Iran. Hier haben wir Stuxnet. Dann gibt es noch Pakistan - mit Fanny. Das dritte Land ist Russland." Über einen gezielten Angriff auf russische Infrastruktur ist allerdings bis dato nichts bekannt.
Schadsoftware, tief versteckt in der Festplatte
Die Arbeit der Equation-Gruppe sei ausgetüftelter als der Computer-Wurm Regin, der zur NSA gehören soll. Regin nutzte ein fünfstufiges System, das seine Spuren verwischte. Die Dateien wurden aber auf der Festplatte gespeichert. Das Schadprogramm Grayfish hingegen lagere die entsprechenden Dateien in einer viel tieferen Ebene, der Registrierdatenbank, wo es schwerer entdeckt werden kann.
Klassische Antivirenprogramme suchen nach speziellen Mustern. Wenn aber Schadsoftware verschlüsselt, also unlesbar, abgespeichert wird, bleibt sie mit größerer Wahrscheinlichkeit unentdeckt. Die eigentliche Schadsoftware startet, bevor das eigentliche Betriebssystem anspringt. "Dein Computer lädt quasi nicht mehr Windows, sondern Grayfish und dieses Programm ist so nett, dir auch Windows anzuzeigen", erklärt Raiu.
Es ist insbesondere ein Angriff, der ihn besonders fasziniert: Dem Equation-Team sei es gelungen, die Firmware von mehreren Festplatten-Herstellern zu infizieren. Die Firmware sorgt dafür, dass PC und Hardware, zum Beispiel also eine Festplatte, miteinander kommunizieren können, also Dateien am richtigen Ort abgespeichert werden.
Die Equation-Gruppe konnte die Firmware so manipulieren, dass die Angreifer auch dann noch Zugang zum Rechner haben, wenn die Festplatte formatiert oder das Betriebssystem neu aufgesetzt wird. "Um das zu können, muss man ein unfassbares Wissen über den jeweiligen Aufbau der Festplatte haben. Das ist etwas, das wir in dieser Form noch nie gesehen haben", sagt Raiu.
Gegen solche Angriffe kennen Raiu und seine Kollegen momentan keine technischen Gegenmittel. Als das Kaspersky-Team den Vortrag hält und auf diesen Trick zu sprechen kommt, ist auf der Leinwand im Hintergrund eine Festplatte zu erkennen: sie wurde vollständig zerstört. Die einzige Möglichkeit, der Spionage zu entgehen