Sicherheitsforscher sind davon ausgegangen, jetzt dürfte es fix sein: Jener Schadcode, der am vergangenen Wochenende im Netz auftauchte, dürfte tatsächlich von der NSA stammen. Interne Dokumente, die der Whistleblower Edward Snowden 2013 an ausgewählte Journalisten weitergab, sprechen von einer eindeutigen Signatur, die ein bestimmtes Schadprogramm namens SecondDate aufweist. Genau diese Zeichenkette taucht auch im nun veröffentlichten Schadcode auf.
Spähsoftware
Er ermöglichte es der NSA, Router ins Visier zu nehmen. Laut den Snowden-Dokumenten leitet das Schadprogramm Anfragen eines Zielcomputers an einen Server der NSA um, wo dieser Rechner mit Spähsoftware infiziert wird. Diese Methode soll unter anderem in Pakistan und Libanon zum Einsatz gekommen sein, wo Hisbollah-Kämpfer überwacht wurden.
Der aufgetauchte Schadcode namens SecondDate dürfte Teil eines Arsenals an Cyberwaffen sein, die von der NSA unter dem Namen BadDecision zusammengefasst werden. Dessen Tools eint die Eigenschaft, sogenannte "Man in the Middle"-Attacken ausführen zu können, bei denen die Anfragen eines Rechners an eine Adresse abgefangen werden.
Weitere Enthüllungen sollen folgen
Die Gruppe namens "Shadow Brokers", die den Code veröffentlicht hat, kündigte weitere Enthüllungen an. So sollen zusätzliche NSA-Tools "versteigert" werden. Unklar ist, wie der oder die Hacker an die Codes gelangt sind. Sie könnten auf einem jener Malware-Server der NSA zurückgelassen worden sein. Aber auch ein physischer Diebstahl wird nicht ausgeschlossen, ehemalige NSA-Mitarbeiter vermuteten unlängst einen "abtrünnigen" Ex-Mitarbeiter. Viele Sicherheitsforscher nannten russische Geheimdienste als Urheber des Leaks, dafür gibt es allerdings keine Beweise. (fsc, 19.8.2016)