Im August 2016 ging die Nachricht herum, dass eine Hacker-Gruppe mit dem Namen Shadow Broker einen "Korb voll an NSA-Tools der NSA Equation Group" erbeutet habe. Vermutet wurde ein Hack, dabei ist die Wirklichkeit viel banaler.
Anzeige
Über den Fall hatte ich im Blog-Beitrag Sicherheitsinfos (20. August 2016) berichtet. Erst war unklar, ob die Tools echt seien. Dann war unklar, ob sie wirklich von der NSA stammen. Und dann wurde spekuliert bzw. behauptet, dass ein Hack stattgefunden habe. Die Echtheit wurde aber aber bald als naheliegend bestätigt (siehe News zum ShadowBrokers-Hack).
Einige Beobachter gingen davon aus, dass die betreffenden Tools durch einen NSA-Mitarbeiter nach einer Operation auf einem öffentlich zugänglichen Server vergessen wurden (siehe mein Blog-Beitrag Neues vom NSA Shadow Broker-Hack). Der öffentlich gewordene "Hack" machte u.a. deutlich, dass Netzwerkkomponenten von Anbietern wie Cisco über Schwachstellen angreifbar waren.
Wurden die Tools von einem NSA-Insider geklaut?
Eine Blog-Beitrag des zu Intel gehörenden Flashpoint-Sicherheitsanbieters kommt nun zum Schluss, dass mit hoher Wahrscheinlichkeit kein Hack stattgefunden habe. Vielmehr seien die Daten von einem NSA-Insider abgezogen und weiter gegeben worden.
Anzeige
(Quelle: Flashpoint)
Das Ganze geht auf Analysen der bisherigen Dateien zurück. So sind bei den angebotenen Tools die Zeitstempel und diverse Daten durch die Shadow Broker-Gruppe geändert worden (wohl, um die Analyse zu verhindern bzw. zu erschweren). Aber im angebotenen Material finden sich Scripte, die im Zeitraum 2005-2013 für Linux-Systeme oder Linux-ähnliche Systeme geschrieben wurden. Flashpoint geht davon aus, dass das Material nach Juli 2013 gestohlen wurde.
Eine Analyse des Vorgangs samt den Hintergrundinformationen, wann die Tools erstmals in Untergrundforen auftauchten, legen nach Flashpoint nahe, dass ein NSA-Insider die Tools von internen Servern abgezogen hat und diese "versilbern" will. Details sind dem Flashpoint-Beitrag zu entnehmen. (via)
Ähnliche Artikel:
Sicherheitsinfos (20. August 2016)
Ist dein Server von der NSA gehackt?
News zum ShadowBrokers-Hack
Neues vom NSA Shadow Broker-Hack
Anzeige