NSA griff bevorzugt Systemadministratoren an

Die NSA hat in der Vergangenheit bevorzugt Computer von Systemadministratoren angegriffen um so die von ihnen verwalteten Netze zu infiltrieren. Dabei gerieten vorrangig Netzwerkadministratoren großer ausländischer Telefon- und Internetfirmen ins Visier der Geheimdienste wie etwa im Fall der Belgacom.

Das geht aus neuen Dokumenten von Edward Snowden hervor, wie Glen Greenwalds The Intercept berichtet. Der Geheimdienst verschafft sich dazu Zugriff auf private E-Mail-Adressen und Facebook-Zugänge um dann in die Computer der Personen einzudringen und sich Zugriff auf das Netzwerk zu verschaffen. Daraufhin kann der Dienst Gespräche und E-Mails aus dem gesamten Netzwerk abgreifen.

Im Fall des größten belgischen Telekommunikationskonzerns Belgacom verschafften sich die Lauscher vom britischen Dienst GCHQ Zugang über Malware, die sie mittels gefälschter Linkedin-Profile auf die Rechner von Mitarbeitern gespielt hatte. Der Fall hatte im vergangenen Oktober für Aufsehen gesorgt, denn viele in Brüssel ansässige Institutionen und Organisationen wie das Europaparlament oder die NATO sind Kunden von Belgacom.

Dass diese Art des Eindringens kein Einzelfall war, belegen die jetzt öffentlich gewordenen Papiere aus dem Jahr 2012, in denen in einem Abschnitt mit dem polemischen Titel „I Hunt Sys Admins“, ein Mitarbeiter schildert, wie er Systemadministratoren hackt, die SSH oder Telnet nutzen. Das Papier stammt von einem internen Diskussionsboard der NSA, der Mitarbeiter gehört zu einer Abteilung, deren Aufgabe das Eindringen in Router ist.

Das Papier regt an, eine Liste mit Systemadministratoren zu erstellen, die der Dienst angreifen kann. Aus dem Papier geht klar hervor, dass die Administratoren keiner Straftat verdächtig sind, sie geraten lediglich wegen der von ihnen kontrollierten Netzwerke ins Visier der Fahnder. Laut Berichten von November sollen die NSA und ihre Partnerdienste weltweit über Zugang zu rund 50.000 solcherart infiltrierter Netzwerke verfügen.

Dabei greift die NSA mehr als nur Passworte von den betroffenen Rechnern ab. Von Interesse sind zudem Kundenlisten, schematische Darstellungen der jeweiligen Netzwerke sowie die Geschäftskorrespondenz des jeweiligen Administrators, wie die Einträge in Snowdens Dokument im schnoddrigen Script-Kiddie-Jargon unter Verwendung von Ausdrücken wie pwn, skillz, zomg und internetz klarmachen.

Der Autor ist ein Netzwerkspezialist der NSA, der unter anderem auch für das Papier verantwortlich zeichnet, in dem dargelegt wird, wie man das Tor-Netzwerk infiltrieren kann. In dem Papier zeigt er Verachtung für Hacker, die nicht für die Regierung arbeiten, wie sie etwa auf Konferenzen wie Blackhat und Defcon anzutreffen sind.

Das Vorgehen, das der Mitarbeiter beschreibt, beginnt beim Sammeln von IP-Adressen, die der Zielperson vermutlich zuzuordnen sind. Dann wird im Datenbestand der NSA nach Zuordnungen zu dieser Person gesucht. Weiter schreibt er: „Der Admin ist mir nur Mittel zum Zweck, ich jage den im Netzwerk versteckten Terroristen oder den Regierungs-Offiziellen, der dieses Netzwerk benutzt. [...] Am liebsten sind mir Webmail-Zugänge oder Facebook-Konten, da diese einwandfrei einem bestimmten Ziel zuzuordnen sind, während IP-Adressen von mehreren Personen geteilt werden können. Alternativ kann man sein böses Google-Foo auspacken und nach E-Mails im Netz forschen.“

Sind klar zuzuordnende Accounts der Zielperson offengelegt, kommt Quantum ins Spiel, mit dessen Techniken das Netzwerk zugänglich gemacht wird. Diese Technik steht auch hinter dem Angriff auf Belgacom sowie den letzthin bekanntgewordenen Hacks, bei denen die NSA Facebook-Seiten mit Überwachungs-Malware gespickt hatte indem sie die Datenpakete als solche von einem Facebook-Server ausgab.

Mit keinem Wort wird dabei auf den Schutz von US-amerikanischen Bürgern eingegangen, die im Ausland als Administrator arbeiten und so ohne Rechtsgrundlage ins Visier des Geheimdienstes geraten können.