Keyfacts
- entdeckt: Juni 2013, PRISM-Enthüllungen durch E. Snowden
- sicher aktiv: evtl. seit 1998, PRISM selbst nach 9/11 eingeführt
- Verbreitung/Aktivität: weltweit, Konzentration in China/Hong Kong
- Infektion und Replikation: eigens entwickelte Hackertools
- Hauptziel: Spionage und evtl. Datendiebstahl, Einbruch und Kontrolle fremder Computernetzwerke, gezielte offensive Operationen
- gesichterte Herkunft: USA, Einheit der NSA (National Security Agency)
Relevante Dokumente
- Boundless Informant: the NSA’s secret tool to track global surveillance data (Q: Guardian)
- Edward Snowden: US government has been hacking Hong Kong and China for years (Q: South Morning China Post)
- Glasfaserkabel und Spionage-U-Boote: Wie die NSA die Nervenzentren der Internet-Kommunikation anzapft (Q: Netzpolitik.org)
- How the U.S. Government Hacks the World (Q: Bloomberg Businessweek)
- Neues Monsterrechenzentrum für die NSA (Q: FM4@ORF.at)
- Inside the NSA’s ultra-secret China hacking group (Q: Cryptome.org)
- The NSA Is Building the Country’s Biggest Spy Center (Watch What You Say) (Q: Wired.com1)
- NSA slides explain the PRISM data-collection program (Q: Washington Post)
- Neue NSA-Dokumente: US-Geheimdienst hörte Zentrale der Vereinten Nationen ab (Q: Der Spiegel)
- U.S. spy network’s successes, failures and objectives detailed in ‘black budget’ summary (Q; The Washington Post)
- U.S. spy agencies mounted 231 offensive cyber-operations in 2011, documents show (Q: The Washington Post)
- Attacking Tor: how the NSA targets users‘ online anonymity (Q: The Guardian)
- How the NSA Thinks About Secrecy and Risk (Q: The Atlantic)
- Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection (Q: Netzpolitik.org)
- NSA’s ANT Division Catalog of Exploits for Nearly Every Major Software/Hardware/Firmware (Q: Leaksource, Link offline2)
- How the NSA Plans to Infect ‘Millions’ of Computers with Malware (Q: The Intercept)
- Surveillance Costs: The NSA’s Impact on the Economy, Internet Freedom & Cybersecurity New America’s Open Technology Institute Policy Paper, 2014 (Q: New America’s Open Technology Institute)
- UNITEDRAKE Manual (Q: NSA, veröffentlicht durch Shadowbroker Hacking Group)
Im Zuge der Enthüllungen zum weltweiten PRISM-Überwachungsprogramm der NSA durch den Whistleblower Edward Snowden im Juni 2013 wurden auch Informationen veröffentlicht, über eine spezielle Einheit „Tailored Access Operations“ der NSA bekannt, deren Aufgabe in der Aquise, Filterung und Auswertung von „Informationen über finanzielle Netzwerke von Terroristen, internationale Geldwäsche- und Drogen-Operationen, die Bereitschaft ausländischer Streitkräfte und interne politischen Querelen potentieller Gegner“ (Quelle: Netzpolitik.org) besteht. Der Großteil der Mitarbeiter dieser Einheit sind „from military units who’ve received specialized training, sit at consoles running sophisticated hacking software“. Die 1998 gegründete Einheit soll Berichten zufolge (Q: Welt) aus 600 Personen bestehen und über eine eigene kleine Feldeinheit verfügen, um Internetknoten gezielt vor Ort zu infiltrieren.
Laut der Veröffentlichungen des Guardian verwendet die Einheit hochkarätige Hackingtools um Daten zu sammeln und auch Daten „im Ruhestand“ zu akquirieren, also aus Rechner zu stehlen. Unter anderem besteht die Aufgabe der TAO-Einheit im Betrieb der sog. ACIDFOX-Serverinfrastruktur, mit der gezielt über Man-in-the-Middle-Attacken per Packet-Injection unter anderem Nutzer des TOR-Anonymisierungsnetzwerkes infiltriert und andere Rechner mit gezielter Malware und Hintertüren versehen werden. Einen guten Überblick zu dieser Vorgehensweise gibt Bruce Schneier in hier angefügten Atlantic-Artikel. In vielen der veröffentlichten Informationen wird von Industriekooperationen für die weitere Ausbildung von Cyber-Kriegern. die Entwicklung von Hacking-Tools und passender Hardware oder das gezielte Öffnen von Hintertüren in weit verbreiteter Software. Veröffentlichungen der Washington Post zum Geheimdienstbudget und dessen einzelnen Posten (das sog. „Black budget“) arbeiten NSA und CIA intensiv an „offensive cyber operations“ um in fremde Rechnersysteme einzugreifen um Informationen zu entwenden oder Systeme zu sabotieren.
“You’re not waiting for someone to decide to turn information into electrons and photons and send it,” says Hayden. “You’re commuting to where the information is stored and extracting the information from the adversaries’ network. We are the best at doing it. Period.” (M. Hayden, ehemaliger Chef der NSA und der CIA unter G.W.Bush)
Die Einheit soll unter anderem für mehr als 61.000 Hackingangriffe gegen mehrere hundert chinesische Systeme und Computer in Hong Kong verantwortlich sein (Quelle: Interview E. Snowden in der South China Morning Post) und sich außerdem Zugriff auf große Netzwerk-Backbones, den „Hauptschlagadern des Internets“ verschafft haben.
“We hack network backbones – like huge internet routers, basically – that give us access to the communications of hundreds of thousands of computers without having to hack every single one,” (Quelle: Edward Snowden, Interview siehe oben)
Unterlagen zufolge, die der deutsche Spiegel ausgewertet und veröffentlicht hat, sollen NSA-Einheiten das Videokonferenz-System der UN im Sommer 2012 gehackt und das interne Verschlüsselungsprotokoll geknackt haben. Desweiteren soll die NSA über einen umfangreichen Zugriff auf Computersysteme der EU und dessen interne Computernetzwerke besitzen. Ob diese Zugriffe jedoch über „reguläre“ Wege, Hintertüren in Hard- und Software oder direkt per Hackerzugriffe realisiert wurden, ist bis dato unbekannt. Aus Angaben des Geheimdienst-Budgets die von der Washington Post veröffentlicht wurden (dem sog. „Black Budget“) wurden 2011 231 „offensive“ Cyberoperationen seitens der NSA durchgeführt, wobei sich drei Viertel der Operationen gegen „hochrangige Ziele“ gerichtet haben sollen. Darüber hinaus wurde ein Programm namens „Genie“ bekannt, das mit bis zu 650 Mio. Dollar finanziert wird um weltweit bis Ende 2013 85.000 strategisch wichtige Rechner mit Schadsoftware zu infizieren und auf diese Weise fremde Netzwerke überwachen und ggf. kontrollieren zu können. Zukünftig sollen dieses und weitere Zugriffs-Programme automatisiert anhand eines eigenen Programms „Turbine“ gesteuert werden können eine maximale Ausbeutung der infizierten Quellen zu erreichen. Enthüllungen des Nachrichtenmagazins „The Intercept“ verdeutlichen die strategische Bedeutung dieses Programms in Verbindung mit anderen Tools aus dem Quantum-Werkezeugkasten:
TURBINE would automate crucial processes that previously had to be performed manually – including the configuration of the implants as well as surveillance collection, or “tasking,” of data from infected systems. (..) The ramifications are starkly illustrated in one undated top-secret NSA document, which describes how the agency planned for TURBINE to “increase the current capability to deploy and manage hundreds of Computer Network Exploitation (CNE) and Computer Network Attack (CNA) implants to potentially millions of implants.” (CNE mines intelligence from computers and networks; CNA seeks to disrupt, damage or destroy them.)
Ein Bestandteil dieser Aktivitäten soll den Quellen zufolge auch der Aufbau und Betrieb eines eigenen, von der NSA kontrollierten Botnetzes mit Millionen infizierter Rechner sein. Um Computersysteme zu infizieren werden von der NSA auch Sicherheitslücken und Informationen über Schwachstellen eingekauft, für 2013 wurde ein Budget von 25 Mio. US-Dollar dafür veranschlagt. Ein unlängst veröffentlichter „Katalog“ der NSA („NSA’s ANT Division Catalog“) listet die umfassenden technischen Werkzeuge auf, die diesen zur Verfügung.
Weitere Enthüllungen im Zuge der PRISM-Affäre betrafen ein Daten-Visualisierungstool namens „Boundless informant“ mit dessen Hilfe die riesigen Datenmengen und gefilteren Informationen zu Zielgebieten (Staaten, Einrichtungen und Personen) dargestellt und analysiert werden kann. Derartige Datenmengen benötigen zum eine riesige Speicher in Rechenzentren und deren Analyse eine Unmenge an Computern. Das NSA betreibt seit 2009 ein eigenes Rechenzentrum in Utah, das 2013 in den Vollbetrieb gehen soll (siehe Wired-Artikel), ein weiteres Rechenzentrum befindet sich in Fort Meade, Kalifornien im Bau, das 2015 unter der Leitung des Militärgeheimdienstes und der NSA voll einsatzfähig sein soll. Diese Kapazitäten wurden benötigt aufgrund des steigenden Umfangs der abgefangenen und gespeicherten Daten und weil es der NSA (lt. Aussagen eines “ senior intelligence official“) gelungen sein eine weltweit verwendete Verschlüsselungsmethode zu knacken. Dabei könnte es sich um die beiden Verfahren RSA und AES handeln, die für verschlüsselte Web- und E-Mailverbindungen eingesetzt werden. In den Veröffentlichungen zum Budget der Geheimdienste für 2013 werden Posten in Höhe von elf Milliarden Dollar (ca. 21% des Gesamtbudgets) aufgelistet, die für ein Programm mit 35.000 Mitarbeiter verwendet werden, dass sich unter anderem intensiv dem Knacken verschlüsselter Daten und dem Zugriff auf verschlüsselte Datenverbindungen widmet, um Erkenntnisse über hochrangige Ziele wie ausländische Führungen etc. zu sammeln. Über den Ablauf der Datensammlung, deren Analyse und Verwendung geben Folien Aufschluß, die von der Washington Post veröffentlicht wurden (siehe Washington Post-Artikel). Anhand dieser geht hervor, dass die gesammelten Daten zum einen aus Quellen bei „Partnern“, wie anderen Staaten und der Industrie kommen, aber auch dass einige Daten „live“ entnommen und überwacht werden können, was auf aktive und vermutlich heimliche Zugriffe auf Zielsysteme schließen lässt. Ausserdem verdeutlichen die Folien den enormen Filter- und Klassifizierungsaufwand um die gesammelten Informationen zu sichten und zu verwenden.
Weiterhin wurde durch die Veröffentlichungen die Existenz eines speziellen U-Bootes bekannt, der USS Jimmy Carter, das aus einem NSA-Navy Projektidee von 1997 entstanden ist und seit 2004 eingesetzt wird. Dieses U-Boot kann für das heimliche Anzapfen und Abhören von Untersee-Glasfaserkabeln verwendet werden und ist damit in der Lage die wichtigsten Internet-Interkontinentalverbindungen zu überwachen.
Eine Übersicht über die juristische Dimension und den nationalen Regularien der NSA-Maßnahmen liefert der erste Bericht der EU-Adhoc-Arbeitsgruppe zum Überwachungsskandal „Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection“ der hier unter „Relevante Dokumente“ verlinkt ist. Ein weiteres wichtiges Dokument des New America’s Open Technology Institute („Surveillance Costs: The NSA’s Impact on the Economy“) beleuchtet die Folgen der Aufdeckung der NSA-Programme und geht dabei sehr umfassend insbesondere auf die wirtschaftlichen, gesellschaftlichen und außenpolitischen Konsequenzen ein.
Update: Einen Einblick in die technischen Fähigkeiten und Werkzeuge der TAO und der NSA bieten die Enthüllungen der sog. Shadowbroker Hacking Gruppe, die seit 2016 unzählige Dokumente und Software der NSA veröffentlichten und/oder zum Kauf anbieten. Exemplarisch dafür ist das Handbuch eines Hacking-Werkzeuges namens „UNITEDRAKE„, einer Software die als Plattform für die Datenaquise auf Windows-Computern (von XP bis Windows 8/Server 2012) dient.