NSA-Dokumente So übernimmt der Geheimdienst fremde Rechner
R&T steht für Requirements and Tasking. Diese Analysten sind mit dem technischen Prozess der Infiltration fremder Rechner mit Hilfe der Quantum-Methoden der NSA betraut. Es gibt eine weitere, nahezu identische Präsentation für Analysten einer anderen Abteilung dem sogenannten Tasking Office of Primary Interest (TOPI).
Quantumtheory erlaubt NSA-Angestellten mit unterschiedlichen Rollen unterschiedliche Arten von Rechner-Infiltration. Die R&T-Analysten können dauerhafte Hintertüren auf Rechnern einrichten, die entsprechende Schadsoftware nennt die NSA Validator, das Nachfolgeprogramm wird als Commondeer bezeichnet. Topi-Analysten dagegen können nur ein anderes Programm namens Quantumnation benutzen, um Schadsoftware mit dem Codenamen Seasonedmoth (Smoth) zu verteilen. Diese "Motten" sterben nach 30 Tagen automatisch ab, die Schadsoftware löscht sich also selbsttätig, wenn keine Genehmigung zu ihrem weiteren Betrieb erteilt wird.
Quantum ist eine Man-on-the-Side-Attacke. Das bedeutet: Das System jubelt dem Rechner einer Zielperson neben einer eigentlich aufgerufenen Website Datenpakete aus anderer Quelle unter, sogenannten Foxacid-Servern. Diese zusätzlichen Datenpakete enthalten Schadsoftware wie Validator oder Seasonedmoth. SSO steht für Special Source Operations; das ist die Abteilung, die im Auftrag der NSA Unterseekabel anzapft.
So funktioniert das Quantumtheory-System: Folien aus einer streng geheimen Präsentation für NSA-Techniker und -Analysten, erstellt vom NSA-Dienstleister Booz Allen. Zentrale Rollen spielen in dieser Erläuterung der Rechner einer Zielperson ("Target"), das Internetunternehmen Yahoo, eine zentrale Schaltstelle im Internet ("Internet Router"), und ein Standort der NSA-Abteilung Special Source Operations (SSO). Diese Abteilung ist unter anderem für das Anzapfen internationaler Internetverbindungskabel zuständig, entweder durch Zusammenarbeit mit großen Telekommunikationsunternehmen oder durch verdeckte Operationen.
Schritt 1: Die Zielperson versucht, sich in ihren Yahoo-Account einzuloggen.
Schritt 2: Ein Server, den die Abteilung SSO an einer zentralen Schaltstelle der Internetinfrastruktur platziert hat, entdeckt ein Datenpaket mit einem "Selector", also einem Datenpunkt, der auf eine Zielperson hinweist, die auf der NSA-Wunschliste steht (die Person ist "tasked"). In diesem Fall ist der "Selector" das Yahoo-Login der Zielperson. Der Hinweis, dass die Zielperson gerade versucht, sich in ihren Yahoo-Account einzuloggen, wird an einen Server der NSA-Abteilung für "maßgeschneiderte Operationen" (TAO) weitergereicht. Diese Server tragen den Codenamen Foxacid.
Schritt 3 und 4: Der Foxacid-Server schickt ein Datenpaket zum Rechner der Zielperson, das als Yahoo-Datenpaket getarnt ist. Es enthält einen Verweis auf eine von TAO mit Schadsoftware präparierte Internetadresse (URL). Gleichzeitig erreicht das Datenpaket vom Rechner der Zielperson den eigentlich angesprochenen Yahoo-Server.
Schritt 5: Das gefälschte Datenpaket vom Foxacid-Server kommt vor dem echten Yahoo-Datenpaket auf dem Rechner der Zielperson an. Das entsprechende Yahoo-Datenpaket kommt zu spät und wird zurückgewiesen. Das funktioniert nur, weil die benutzten Server und Verbindungen extrem schnell sind. Nicht immer gewinnt das Foxacid-System das Rennen, manchmal sind einige Versuche nötig.
Schritt 6: Die Zielperson sieht auf ihrem Rechner die angeforderte Yahoo-Seite, doch gleichzeitig wird der Browser unbemerkt zu einer Foxacid-URL umgeleitet.
Schritt 7: Die Foxacid-Server prüft noch einmal, dass der benutzte Browser tatsächlich die gewünschte Sicherheitslücke aufweist, damit der Rechner der Zielperson mit Schadsoftware infiziert werden kann. Die passende Schadsoftware wird nun auf den Weg gebracht.
Schritt 8: Die Schadsoftware erreicht ihr Ziel, der Rechner der Zielperson ist nun mit einer NSA-Hintertür ausgestattet. Sie erlaubt erste Manipulationen des Rechners und gestattet es, weitere, spezialisierte Spähsoftware nachzuladen.
Quantum-Fähigkeiten der NSA: All diese "Selektoren" kann die NSA einsetzen, um den Rechner einer Zielperson mit Spähsoftware zu infizieren. Besonders effektiv funktioniert die Methode dieser Präsentation zufolge mit Yahoo, Facebook und statischen IP-Adressen. Aber auch YouTube, Twitter und das Business-Netzwerk LinkedIn gehören zu den Angeboten, die der US-Geheimdienst auf diese Weise missbrauchen kann. LinkedIn kam etwa beim Eindringen in Rechner von IT-Personal des halbstaatlichen belgischen Telekommunikationskonzerns Belgacom zum Einsatz. Durchgeführt wurde diese "Operation Socialist" vom britischen GCHQ, mit Unterstützung der NSA.
Quantumtheory-Fähigkeiten des GCHQ: Dieser Präsentation zufolge haben die Staatshacker des britischen Geheimdienstes GCHQ auch noch andere Dienste im Angebot als die Kollegen von der NSA. Dazu gehören etwa die E-Mail-Dienste von Google (Gmail) und dem russischen Suchmaschinenbetreiber Yandex, aber auch AOL.
QFD steht für Query Filled Dataset. Diese Folie erklärt Analysen, wie sie sich von einem "Selector", also einer online verfügbaren Information über eine Zielperson zu weiteren vorarbeiten können. Der Analyst sucht dabei in einer Datenbank namens Marina, in der die NSA große Datenmengen aus dem Internet speichert. Dieser Datensatz enthält bereits eine Telefonnummer, einen Facebook-Cookie, die IMSI, also Identifikationsnummer der Sim-Karte eines Handys, Informationen über einen Yahoo-Account und den Namen der Zielperson.
Diese Suche in der Marina-Datenbank zeigt Daten von Yahoo und Skype.
Die Marina-Datenbank enthält Selektoren aus diversen Quellen - hier sind Beispielsweise Yahoo-, Skype- und Gmail-Daten augeführt. Besonders gut funktioniert die Quantum-Methode mit Yahoo und Facebook, heißt es hier. Wenn die NSA-Analysten einen Gmail-Account nutzen wollen, um Schadsoftware auf dem Rechner einer Zielperson einzuschleusen, müssen sie sich aber an die Kollegen vom GCHQ wenden.
Marina-Suchergebnisse: Browser-Version, Yahoo-Cookies, etc. von einem "bekannten Selektor" hat der Analyst sich zu zwei weiteren, bislang "unbekannten" vorgearbeitet: Gmail-Account und Yahoo-Cookie der Zielperson.
Von diesen neuen Selektoren aus kann der Analyst nun versuchen, noch weitere Accounts zu suchen, die etwa mit dem Gmail-Account verknüpft sind.
Marina erlaubt es, nach Selektoren wie Yahoo-, Google- oder Skype-Accounts Monate oder sogar Jahre in die Vergangenheit zu suchen.
Auf diese Weise lassen sich nun wiederum weitere Selektoren finden hier wurde ein Facebook-Datensatz entdeckt, der mit der Zielperson assoziiert ist.
Als nächstes werden die Analysten instruiert zu prüfen, welche der gefundenen Selektroren sich am besten einsetzen lassen, um mit der Quantum-Methode Schadsoftware auf dem Rechner der Zielperson einzuschleusen. Dazu wird geprüft, ob der Nutzer einen bestimmten Dienst (hier Facebook) in der letzten Zeit tatsächlich genutzt hat.
Da die NSA bestimmte Selektoren nutzen kann, das GCHQ aber andere etwa Gmail sind die NSA-Analysten zuweilen auf Hilfe aus Großbritannien angewiesen. Dafür gibt es ein "Partnering Agreement" mit den Briten. In ein entsprechendes Formular muss der NSA-Analyst den Ort der Datenerfassung (Sigad) angeben sowie die IP-Adresse(n), unter denen die Zielperson aktiv ist.
Hier wird erklärt, wie der Analyst prüfen kann, ob sein Auftrag für eine Quantum-Operation tatsächlich ins automatische System übernommen wurde. Das System versucht nun automatisch, den Rechner der Zielperson zu infizieren, sobald sich die Gelegenheit bietet. Das System zeigt dem Analysten sogar an, wann die Versuche genau stattgefunden haben, und natürlich, ob sie erfolgreich waren.
Eine Zusammenfassung des Quantumnation-Programms: Quantumnation sorgt dafür, dass mit "leichtgewichtiger" Schadsoftware eine erste Hintertür auf den ins Visier genommenen Geräten eingerichtet wird etwa auf der Basis des Facebook-Accounts der Zielperson. Diese Folie verrät auch: Es gibt auch eine Validator-Schadsoftware für iOS-Geräte, als iPhones und iPads von Apple.
Diese Folie erklärt den bürokratischen Prozess, den ein Analyst durchlaufen muss, um den Computer oder das Handy einer Zielperson zu knacken.
Diese Folie zeigt ein Beispielformular, das ein Analyst mit den nötigen Daten füttern muss, um eine Quantum-Attacke in Gang zu setzen.
Wenn das Formular korrekt ausgefüllt wurde, wird der Analyst über den Fortgang auf dem Laufenden gehalten. Der letzte Satz ermahnt die Spione, die Quantum-Anweisung wieder zurückzunehmen, wenn der Rechner der Zielperson erst einmal erfolgreich infiziert ist.
Noch Fragen?
