von Vlad Georgescu
Tatsächlich führte ein massives Sicherheitsleck innerhalb der NSA bereits im Sommer 2016 zur weltweiten Freisetzung jener mächtigen Angriffswaffen, mit denen der US-Nachrichtendienst jahrzehntelang sämtlichen elektronischen Datenverkehr überwachte, vor allem aber ohne Wissen der Nutzer Rechner weltweit kaperte. Während Medien und Politik gebannt Edward Snowdens Enthüllungen zu PRISM und SPECTRE verfolgten, machte sich eine bis heute nicht aufgedeckte Gruppe daran, die offensiven Cybertools der der NSA zugerechneten "Equation Group" jedem Zahlungswilligen zugänglich zu machen.
Die sich als "Shadow Brokers" bezeichnenden IT-Experten leakten und verkauften seit 2016 nicht nur die NSA-Tools in mehreren Wellen, sie machten auch auf eine weitere Schwäche im Cyber-Verteidigungssystem des Westens aufmerksam: Prozessoren und nahezu alle westlichen Malware-Schutzprogramme arbeiten so zusammen, dass über bestimmte Bugdoors die staatlichen Späher Zugang zu bestimmten Ports der Rechner erlangen.
Anders als Backdoors, bei denen die heimlichen Eintrittspforten von Beginn an so programmiert sind, dass Nachrichtendienste unter Umgehung der Zugriffssicherung Zugang zum jeweiligen PC haben, sind Bugdoors als kleine, harmlos wirkende Programmierfehler getarnt, die auf den ersten Blick nicht auffallen – und sich durch Änderung des Zeilencodes sogar beheben ließen. Wenn man sie kennt.
So verfügt auch GHIDRA, ein erst im vergangenen Jahr von der NSA weltweit zur Verfügung gestelltes Programm, mit dessen Hilfe Sicherheitsforscher Programme aus Maschinensprache dekompilieren – also in lesbaren Code rückübersetzen – können, über eine solche Eigenschaft.
Im sogenannten Debug-Modus öffnet die Software den Port 18001. An diese "Kommunikationspforte" können Nutzer von außen über das lokale Netzwerk ihre Befehle senden, die auf dem jeweiligen Rechner ausgeführt werden.
Zwar twitterte der Entdecker der Bugdoor die Lösung des Problems gleich mit. In der Datei mit dem Namen support/launch.sh muss in der Codezeile 150 lediglich das Sternchen * durch "127.0.0.1" ersetzt werden. Auf diese Weise werden vom Programm nur noch lokale Befehle ausgeführt, der Fernzugriff bleibt aus. Nur: Ist das die einzige Bugdoor, die GHIDRA aufzuweisen hat?
Weitaus komplexer sind sogenannte polymorphe Codes. Für sich allein betrachtet weisen sie weder Backdoors noch Bugdoors auf. Erst im Zusammenspiel mit dem Prozessor auf Kernel-Ebene entfalten sie ihre eigentliche Fernzugriff-Aktivität. Sie zu erkennen ist möglich – aber nur wenige Spezialisten weltweit sind dazu in der Lage.
Trotz solcher Bugdoors stellen Programme wie GHIDRA, die längst mit oder ohne Segen der NSA im Umlauf sind, das Rückgrat der kommenden und zu erwartenden Cyberattacken durch Kriminelle und Terrororganisationen weltweit dar. Denn ein Angreifer arbeitet offensiv, und dafür sind Tools wie GHIDRA prädestiniert.
So vermag die Software jedes andere Programm in seine ausführbaren Teile zu zerlegen und diese aus Maschinensprache in verständliche Codes zu übersetzen. Was wenig spektakulär klingt, hat es in sich. Ein Antivirenprogramm kann auf diese Weise zunächst lesbar gemacht werden, um anschließend jene Fragmente zu outen, die den eigentlichen Schutz des Rechners bewirken sollen. Sind diese enttarnt, können Hacker den Schutz vollkommen umgehen – ohne dass der Angegriffene davon etwas merkt.
Natürlich ist der Einsatz von GHIDRA, also die Dekompilierung eines kommerziellen oder staatlichen Programms, lediglich zu Forschungszwecken erlaubt und somit für die meisten Nutzer illegal. Doch kümmert das jene, die ohnehin lediglich rein kriminelle oder terroristische Ziele verfolgen?
Ohnehin lassen sich auch ohne Schützenhilfe der NSA Cyberangriffe von jedermann durchführen. "Einen Rechner zu kapern ist nicht schwer, wenn man über die nötige kriminelle Energie verfügt", erklärt ein auf seiner Anonymität beharrender "Ethical Hacker" und fährt fort: "Es ist so wie der Überfall auf einen Supermarkt – wenn ich bewaffnet hineingehe, gelange ich an das Geld aus der Kasse. Es ist illegal, aber nicht schwer umzusetzen."
Um sich juristisch gegen die Folgen von Cyberattacken zu schützen, verweisen die Anbieter der kommerziellen Angriffs-Cybertools daher auf deren Forschungscharakter. Doch wen schert's?
KALI LINUX etwa bietet alles, was das Hackerherz begehrt. Mit "John the Ripper" beispielsweise lassen sich Passwörter relativ mühelos knacken. Das Programm MEDUSA ermöglicht wiederum den Fernzugriff auf jeden PC, und den Umgang mit METASPLPOIT kann man sogar mit YouTube-Tutorials erlernen.
Wer selbst keinen Spaß am kriminellen Hacken hat, kann wiederum einen Hacker mieten – oder gleich eine ganze Hacking Unit, projektbezogen. So lassen sich bereits mit Investitionen von 5.000 bis 10.000 US-Dollar sehr hochkarätige Angriffe auf kritische staatliche Infrastrukturen starten. Die Vertuschung der Identität der Angreifer gibt es bei vielen kommerziellen Hacking Units als Bonus dazu. Woher die Angriffe genau kommen, lässt sich ohnehin nicht herausfinden.
So sind Angaben über vermeintlich staatliche Angriffe stets eine mediales Narrativ, das sich nie belegen lässt. Denn die Logfiles, jene Dateien also, in denen nach einem Angriff Spuren der Attacke zu finden sind, geben gerade bei gut arbeitenden Hacking Units allenfalls die Uhrzeit der Aktivität korrekt an. Die mag dann beispielsweise den Teheraner, Moskauer oder Pekinger Bürozeiten entsprechen – mehr aber auch nicht. Die eigentliche Herkunft der angreifenden Rechner bleibt im Dunkeln.
Für rund 400.000 US Dollar lassen sich bei einigen Hacking Units sogar falsche Länderidentitäten buchen, Nordkorea als Liebling der westlichen Medien steht als gefaktes Hacker-Ursprungsland dabei hoch im Kurs. Womöglich wird jetzt der Iran folgen.
In diesem Licht betrachtet, erscheint die Sorge der Amerikaner durchaus angebracht, Opfer von Cyberangriffen zu werden. Allerdings: Mit der Entwicklung der Tools und deren Freisetzung auf dem Markt öffneten sie die Büchse der Pandora selbst. Die NSA indes gibt sich gelassen: Der Nachrichtendienst wünscht allen GHIDRA-Nutzern ein frohes neues Jahr.
RT Deutsch bemüht sich um ein breites Meinungsspektrum. Gastbeiträge und Meinungsartikel müssen nicht die Sichtweise der Redaktion widerspiegeln.
Mehr zum Thema - New York Times: USA haben Cyberattacken gegen Russlands Stromnetz ausgeweitet
Folge uns auf