Equation-Hack: Exploits bestätigt, Hacker erhält Nachrichten in Blockchain, Snowden vermutet Russland hinter Shadow Brokers

Einige Tage, nachdem die Hackergruppe Shadow Brokers Dateien aus dem Hack der scheinbar zur NSA gehördenen Equation Group zum Verkauf angeboten hat, bestätigen Cisco und Fortinet die Echtheit der als Beispiel gegebenen Exploits. Auf der Bitcoin-Adresse der Hacker trudeln zudem immer mehr Transaktionen ein, die mitunter rätselhafte Nachrichten enthalten – während Experten die Auktion gegen Bitcoins für ein Ablenkungsmanöver halten und Edward Snowden eine diplomatische Krise zwischend den USA und Russland hinter der Veröffentlichung der Daten wittert.

Die Spekulationen, ob die Shadow Brokers wirklich über brisante Exploits verfügen, dürfen als beendet gelten. Mehrere ehemalige Mitarbeiter der Hacking-Abteilung der NSA haben gegenüber der Washington Post bestätigt, dass die Dateien das sind, wofür sie ausgegeben werden. “Das Zeug, von dem wir reden, kann die Sicherheit von einem Haufen von Regierungen und Unternehmensnetzwerken untergraben,” so einer der Ex-Geheimdienstler. “Das, was ich gesehen habe, lässt meiner Meinung nach keinen Zweifel, dass es echt ist,” kommentiert ein anderer.

Auch der Sicherheitsexperte Nicolas Weaver, von der Universität Berkeley, bestätigt die Authentizität der Daten: “… der Beweis selbst scheint sehr real zu sein. Die Datei besteht aus 134 Megabyte komprimierter Daten, die ein 301 Megabyte großes Archiv bilden. Dieses Archiv scheint einen großen Anteil der Implant-Frameworks der NSA für Firewalls, server side utility scripts und acht andere Exploits für eine Vielzahl von Zielen zu beinhalten.” Allerdings sei keiner der Exploits neuer als 2013, was darauf hindeutet, dass der Hack schon vor einigen Jahren geschehen ist. Weaver geht davon aus, dass die NSA direkt gehackt worden ist. “… all das deutet darauf hin, dass dies Code von Analyste ist – die Art von Code, die vermutlich niemals die NSA verlässt.” Bruce Schneier, ein anderer weltweit renommierter Sicherheitsexperte, stimmt Weaver zu: “Ja. Das ist nicht etwas, das man auf diese Weise fälschen kann.”

Dieser Hack könnte historisch sein. Einen historischen Fingerabdruck hinterlässt er in jedem Fall auf der Blockchain. Die Hacker haben eine Auktion der Dateien angekündigt. Wer die meisten Bitcoin auf die Adresse 19BY2XCgbDe6WtTVbTyzM9eR3LYr6VitWK sendet, wird die Daten erhalten. Bieter müssen per OP_Return ihre Bitmessage-Adresse in die Transaktion schreiben, um an der Auktion teilzunehmen.

Während die Erlöse der Hacker am Dienstag mit 0,1 Bitcoin und ein paar Zerquetschten noch recht mau aussahen, sind nun mit etwa 1,7 Bitcoin schon immerhin kleine Summen angekommen. Die eingegangenen Zahlungen geben kleine Hinweise auf Geschichten:

• das bislang höchste Gebot umfasst 1,5 Bitcoin. Die Transaktion wurde laut blockchain.info von einer IP-Adresse aus Beijing weitergeleitet. Dies bedeutet nicht zwingend,  dass die Transaktion von Beijing oder von China versendet wurde. Es bedeutet lediglich, dass der Knoten von blockchain.info diese Transaktion erstmals von einer IP-Adresse in Beijing erhalten hat. Auf eine gewisse räumliche Nähe deutet dies dennoch hin. Zumindest insoweit, als dass meine Transaktionen laut blockchain.info meist von Knoten in Deutschland, der Niederlande oder Großbritannien verbreitet werden.
• Eine andere Transaktion hat als Nachricht die Info, dass es sich um ein weitergeleitetes Gruppen-Gebot von cryptome.org handelt. Cryptome ist eine Website, die “Dokumente publiziert, die von Regierungen weltweit verboten sind, im speziellen Material zur Meinungsfreiheit, Privatheit, Kryptographie, Geheimdiensten, Regierungen …”
• Am vielleicht lustigsten ist eine Serie von zehn Transaktionen über jeweils 0,001337 Bitcoin. “1337” steht im Internetslang für “Leetspeak”, eine Methode, Buchstaben durch Zahlen zu ersetzen. Wenn man die 1337 auf den Kopf stellt kommt dabei “Leet” heraus, was eine Kurzform von Elite ist. Leetspeak war ursprünglich eine Geheimsprache in Hackerkreisen, ist aber mittlerweile relativ allgemein im Netz angekommen.  Die Herkunftsaddressen der zehn Transaktionen ergeben eine Nachricht:
  • 1never9kNNkr27UseZSHnaEHg1z8v3Mbb
  • 1gonnaV3MFNjymS4RGvUbHACstiS8aSYz
  • 1giveGEk184Gwep2KT4UBPTcE9oqWzCVR
  • 1youKBMLEohsexdZtkvnTzHnc4iU7Ffty
  • 1upAbpBEWQ467QNT7i4vBMVPzSfQ3sqoQ
  • 1never9kNNkr27UseZSHnaEHg1z8v3Mbb
  • 1gonnaV3MFNjymS4RGvUbHACstiS8aSYz
  • 11etAyypstpXLQpTgoYmYzT8M2foBSBe1
  • 1youKBMLEohsexdZtkvnTzHnc4iU7Ffty
  • 1downAsBbRQcBfUj8rgQomqhRsNFf1jM

Abgesehen davon, dass jemand ein Lied von Rick Astley öffentlichkeitswirksam in die Blockchain schreiben will, ist es schwer, sich einen Reim aus dieser Botschaft zu machen. Darum gehen wir nochmal zu dem zurück, was über den Hack gesagt wird.

Mittlerweile haben auch zwwei Hersteller von Routern und Firewalls, Cisco und Fortinet, bestätigt, dass die Angriffe echt sind und die von ihnen hergestellten Geräte betreffen – was für TechCrunch ein weiterer Hinweis darauf ist, dass die gehackte Equation Group Teil der NSA ist. Die Exploits betreffen Geräte der beiden Firmen vor 2012 und können mit einem Update der Software verhindert werden.

Aus operativer Perspektive, so der Experte Weaver, ist der Leak keine Katastrophe. “Nichts deutet auf spezielle ‘NSA Magie’ hin. Stattdessen ist dies ein Beweis für gute Handwerkskunst mit einem weiten, modularen Framework, das dafür gemacht wurde, leicht zu benutzen zu sein.” Die unmittelbare Konsequenz sind ein Haufen Stunden Arbeit, um Updates einzuspielen und die Exploits auszuschalten.

Das große Bild um den Hack herum ist aber gruseliger, so Weaver. “Jemand hat es geschafft, 301 Daten von einem TS//SCI System irgendwann zwischen 2013 und heute zu stehlen. Vermutlich geschah es 2013 […] Den Zeitstempeln zufolge war das wahrscheinlichste Datum der 11. Juni 2013. Das ist zwei Wochen, nachdem Snowden nach Hongkong geflohen ist und sechs Tage, nachdem der Guardian erstmal darüber berichtet hat. Das ergibt Sinn, da die NSA als unmittelbare Reaktion auf die Leaks sämtlichen möglichen Quellen nachgegangen sein und absichtlich oder unabsichtlich den Zugang des Angreifers ausgeschaltet haben könnte.”

Die Auktion gegen Bitcoins hält Weaver für “nonsens”: “Bitcoins Nachverfolgbarkeit bedeutet, dass es niemandem möglich ist, auch nur 1 Million Dollar aus einer so bekannten Wallet zu waschen, ohne aufzufliegen, ganz zu schweigen von den 500 Millionen Dollar, die die Hacker für die vollständige Veröffentlichung wollen […] Weil die Akteure hier ganz sicher keine Amateure sind, ist die Auktion ein wenig wie ein ‘Doctor Evil’ Theater.” Diejenigen, die die Daten gestohlen haben,  so Weaver, wollen keine Bitcoins, sondern sie wollen, dass die Welt es weiß. “Die Liste von Verdächtigen ist kurz: Russland und China. Und im Kontext der jüngsten Konflikte zwischen den USA und Russland über Einmischungen in die Wahl, ist das erste die wahrscheinlichere Wahl.”

Edward Snowden hingegen hat in einem Tweetstorm erklärt, was er von dem Hack hält.

Laut Snowden ist es nicht außergewöhnlich, dass die Hacker der NSA die Hacking-Tools und Malware von feindlichen Hackern stehlen, um sie aufzubewahren, zu manipulieren und die Hacker später dadurch zu identifizieren. Dies macht nicht nur die NSA, sondern auch die Feinde der NSA. Dass ein NSA-Malware-Server von Feinden gehackt werde, sei an sich nichts neues. Neu hingegen sei, dass dies öffentlich gemacht wird.

Warum dies getan wurde, weiß niemand. Snowden vermutet aber, dass eher diplomatische als geheimdienstliche Motive dahinter stehen, die im Kontext des Hacks auf Server der demokratischen Partei (DNC-Hack) in den USA zu finden sind. Der nach Russland geflohene Whistleblower hält russische Interessen hinter dem NSA-Hack für am wahrscheinlichsten. Der Besitzer der Daten könne beweisen, dass die USA für zahlreiche Hacks mit der geraubten Malware verantwortlich sei, was schwerwiegende diplomatische Konsequenzen haben könne. Vor allem, wenn mithilfe dieser Malware in Wahlen in anderen Ländern interveniert wurde. Die Veröffentlichung der gehackten NSA-Malware zu diesem Zeitpunkt könnte demnach eine Warnung an die USA darstellen, sich in ihrer Reaktion auf den DNC-Hack zurückzuhalten und nicht wie geplant Sanktionen gegen Russland zu erlassen. Das Spiel der gegenseitigen Schuldzuschreibungen bei Auslands-Hacks könnte für die USA nach hinten losgehen.

Das ganze Bitcoin-Ding wäre, in diesem Hack, nicht mehr als eine Finte.