Shadow Broker: Kein Hack, sondern durch NSA-Insider geklaut

Publiziert am 21. Dezember 2016 von Günter Born

Im August 2016 ging die Nachricht herum, dass eine Hacker-Gruppe mit dem Namen Shadow Broker einen "Korb voll an NSA-Tools der NSA Equation Group" erbeutet habe. Vermutet wurde ein Hack, dabei ist die Wirklichkeit viel banaler.

Anzeige

Über den Fall hatte ich im Blog-Beitrag Sicherheitsinfos (20. August 2016) berichtet. Erst war unklar, ob die Tools echt seien. Dann war unklar, ob sie wirklich von der NSA stammen. Und dann wurde spekuliert bzw. behauptet, dass ein Hack stattgefunden habe. Die Echtheit wurde aber aber bald als naheliegend bestätigt (siehe News zum ShadowBrokers-Hack).

Shadow Broker

Einige Beobachter gingen davon aus, dass die betreffenden Tools durch einen NSA-Mitarbeiter nach einer Operation auf einem öffentlich zugänglichen Server vergessen wurden (siehe mein Blog-Beitrag Neues vom NSA Shadow Broker-Hack). Der öffentlich gewordene "Hack" machte u.a. deutlich, dass Netzwerkkomponenten von Anbietern wie Cisco über Schwachstellen angreifbar waren.

Wurden die Tools von einem NSA-Insider geklaut?

Eine Blog-Beitrag des zu Intel gehörenden Flashpoint-Sicherheitsanbieters kommt nun zum Schluss, dass mit hoher Wahrscheinlichkeit kein Hack stattgefunden habe. Vielmehr seien die Daten von einem NSA-Insider abgezogen und weiter gegeben worden.

Dateidatum
(Quelle: Flashpoint)

Das Ganze geht auf Analysen der bisherigen Dateien zurück. So sind bei den angebotenen Tools die Zeitstempel und diverse Daten durch die Shadow Broker-Gruppe geändert worden (wohl, um die Analyse zu verhindern bzw. zu erschweren). Aber im angebotenen Material finden sich Scripte, die im Zeitraum 2005-2013 für Linux-Systeme oder Linux-ähnliche Systeme geschrieben wurden. Flashpoint geht davon aus, dass das Material nach Juli 2013 gestohlen wurde.

Eine Analyse des Vorgangs samt den Hintergrundinformationen, wann die Tools erstmals in Untergrundforen auftauchten, legen nach Flashpoint nahe, dass ein NSA-Insider die Tools von internen Servern abgezogen hat und diese "versilbern" will. Details sind dem Flashpoint-Beitrag zu entnehmen. (via)

Ähnliche Artikel:
Sicherheitsinfos (20. August 2016)
Ist dein Server von der NSA gehackt?
News zum ShadowBrokers-Hack
Neues vom NSA Shadow Broker-Hack

Anzeige
Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.