Fast alles an dieser Geschichte schreit "Hoax". Aber selbst wenn es nur ein Täuschungsmanöver sein sollte, dann zumindest ein ziemlich unterhaltsames: Unbekannte behaupten – in klischeehaft gebrochenem Englisch – an verschiedenen Stellen im Internet, eine der NSA nahestehende Hackergruppe gehackt zu haben. Nun versteigern sie ihre angebliche Beute, die Angriffswerkzeuge der Elitehacker. Wenn sie eine Million Bitcoin bekommen, wollen sie einen Teil der Dateien veröffentlichen. Nach derzeitigem Kurs wären das umgerechnet 511 Millionen Euro.

Es klingt, als ob die Drehbuchautoren der Austin-Powers-Filme zu lange auf 4chan waren. Wenn da nicht die Kostproben wären.

Die Unbekannten, die sich The Shadow Brokers nennen (ein Begriff aus dem Computerspiel Mass Effect), haben einige der angeblich erbeuteten Dateien ins Netz gestellt. Und mehrere Sicherheitsforscher halten sie für echt.
Wenn das ein Hoax ist, dann ein extrem aufwändiger

Echt soll in diesem Zusammenhang heißen: Die Dateien enthalten nach ersten Analysen dieser Firma und dieses Sicherheitsforschers wirklich mehrere Exploits, also Schadcode, mit dem bestimmte Router und Firewalls angegriffen und somit ganze Netzwerke überwacht werden können. Dazu gibt es detaillierte Anleitungen und Informationen zur Konfiguration von Command-and-Control-Servern. Solche Server nutzen Angreifer zum Beispiel, um heimlich Daten von ihren Opfern abzugreifen oder neue Malware nachzuladen. Gleichzeitig dienen sie dazu, die Spur zu den Angreifern zu verwischen.

Auch Linus Neumann, Sicherheitsforscher und einer der Sprecher des Chaos Computer Clubs, sagt nach einem ersten Blick auf die Dateien: "Die geschilderten Angriffspfade sind denkbar und realistisch. Die Anleitungen enthalten Hinweise auf häufige Fehler und Details, die Nutzer beachten müssen. Auch das vermittelt den Eindruck, dass sie einem tatsächlichen Einsatz entstammen." Sein vorläufiges Fazit: "Wenn es sich um einen Fake handelt, dann hat sich jemand sehr viel Mühe gegeben, ihn sowohl technisch als auch als Gesamtpaket glaubwürdig zu gestalten."

Die Equation Group wird mit der NSA in Verbindung gebracht

Wenn es also kein Scherz ist, lautet die nächste Frage, woher der Code stammt, den die Shadow Brokers versteigern. Sie selbst behaupten, sie hätten die Equation Group gehackt. Nach Angaben des russischen IT-Sicherheitsunternehmens Kaspersky ist die Equation Group "wahrscheinlich eine der raffiniertesten Cyberangriffsgruppen der Welt und die am weitesten entwickelte Bedrohung, die wir je gesehen haben." 2015 hatte Kaspersky die Gruppe und ihre extrem ausgefeilten Spionagewerkzeuge entdeckt, sie Equation Group getauft und mehrere Indizien aufgezeigt, die darauf hinweisen, dass die Gruppe mit der NSA mindestens zusammengearbeitet hat. Unter anderem konnte Kaspersky aufzeigen, dass die Malware der Equation Group einige jener Tricks beherrschte, die zu den Kernfunktionen der NSA-Waffen Stuxnet und Regin gehören.

In den Worten der Shadow Brokers: "We find cyber weapons made by creators of stuxnet, duqu, flame. Kaspersky calls Equation Group. We follow Equation Group traffic. We find Equation Group source range. We hack Equation Group. We find many many Equation Group cyber weapons."

Tags: