NSA-System “Turbine” kann automatisch Millionen Rechner infizieren

Andre Borbe,
NSA

Mit dem System “Turbine” kann die NSA Computer von Zielpersonen mit Malware-“Implantaten” angreifen. Auf diese Weise zeichnet der Geheimdienst Tastatureingabe auf und kontrolliert Webcam und Mikrofon. Offenbar zählten Systemadministratoren von Telefon- und Internetanbietern zu den Opfern.

Das System “Turbine” des US-Auslandsgeheimdienstes National Security Agency kann automatisch Millionen von Rechner infiltrieren. Das berichtet The Intercept unter Berufung auf Unterlagen des Whistleblowers Edward Snowden. Turbine nutze demnach sogenannte Malware-“Implantate”, um Zugriff auf Computer von Zielpersonen zu erlangen.

NSADem Bericht zufolge schleust das System die Implantate über gefälschte Facebook-Seiten und Spam-E-Mails mit manipulierten Links ein. Stellt der Geheimdienst fest, dass eine Zielperson eine Website besucht, die die NSA imitieren kann, versorgt es den Rechner der Person mit gefälschten Daten. Dafür nutzt die NSA Man-in-the-Middle-Angriffe.

Daten kann die NSA angeblich mithilfe eines Implantats ausspionieren, bevor der Browser oder eine andere Anwendung diese verschlüsseln können. Mit dem Plug-in “Captivatedaudience” soll der Geheimdienst das Mikrofon eines Computers aktivieren und Gespräche in der unmittelbaren Umgebung aufnehmen können. Die Kontrolle über die Webcam erhält die NSA mit der Erweiterung “Gumfish”. Somit lassen sich auch Fotos machen.

Die Unterlagen zeigen zudem, dass ein Plug-in namens “Foggybottom” eingesetzt wird, um den Browserverlauf auszulesen und die Anmeldedaten sowie Passwörter für E-Mail-Konten und Websites abzufangen. The Intercept zufolgen kann die Erweiterung “Salvagerabbit” Daten auf externen Speichermedien ausspionieren, wenn eine Verbindung mit dem infizierten Computer besteht. Tastatureingaben zeichne das Plug-in “Grok” auf.

In dem Bericht heißt es weiter, dass Turbine zunächst nur für den Angriff auf wenige Hundert schwer erreichbare Ziele ausgelegt war. Einer Analyse der Dokumente zufolge habe die NSA in den vergangenen Jahren die Hacking-Initiative massiv ausgedehnt und einige Vorgänge automatisiert. Wie oft der Geheimdienst Turbine eingesetzt hat, geht aus den Unterlagen jedoch nicht hervor.

Offenbar gehörten Systemadministratoren von ausländischen Telekommunikations- und Internetdiensten zu den Zielpersonen. “Systemadministratoren sind ein Mittel zum Zweck”, heißt es in einem Dokument. Dadurch werde das Abhören von “Regierungsvertretern, die das von den Administratoren betreute Netzwerk nutzen”, vereinfacht.

Auf den Bericht von The Intercept ging die NSA in einer Stellungnahme nicht direkt ein. Der Geheimdienst erklärte nur, US-Präsident Barack Obama habe am 17. Januar deutlich gemacht, dass Daten nur dann gesammelt werden dürfen, wenn es einen nachrichtendienstlichen Zweck gebe, der nationale Ziele schütze.

Als “verstörend” bezeichnete Mikko Hypponen, Chief Research Officer der finnischen Sicherheitsfirma F-Secure die jüngsten Enthüllungen gegenüber The Intercept. “Wenn sie Malware auf Systemen platzieren, schaffen sie möglicherweise neue Schwachstellen und machen die Systeme anfälliger für Angriffe von Dritten.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de