Kasperskys Sicht: So wurde der NSA-Mitarbeiter gehackt

Nach dem politischen Trubel um die Entwendung von geheimen NSA-Dateien hatte der der Spionage verdächtigte Sicherheits-Konzern Kaspersky interne Untersuchungen angekündigt. Nun hat die russische Firma erste vorläufige Resultate veröffentlicht – und diese haben es in sich.
 
Kaspersky bestätigt, die NSA-Files gefunden zu haben. Dahinter habe aber keine böse Absicht gesteckt. Kaspersky-AV habe gut und korrekt funktioniert und darum die betreffenden Dateien aufgestöbert, so der Security-Konzern.
 
Zum Zeitpunkt der Entdeckung der Malware auf dem Privatcomputer eines Angestellten eines NSA-Subtraktors war der russische Konzern auf der Spur der berüchtigten Hackergruppe "Equation Group" (PDF). Diese wird mittlerweile in Security-Kreisen als Teil der NSA-Cyber-Division gehandelt. Kaspersky-AV entdeckte nun beim Scanvorgang bislang unbekannte Malware, die mit dieser Gruppe in Verbindung gebracht wurde. Die Files wurden an Kaspersky gesandt, weil der betreffende Angestellte, die automatische Übermittlung neuer Malware aktiviert hatte. Nicht nur hatte dieser also aus unerfindlichen Gründen NSA-Tools auf dem privaten Computer, sondern auch noch Security-Einstellungen aktiviert, die für Privatuser gedacht sind.
 
Der zuständige Security-Spezialist von Kaspersky analysierte den Schadcode und stellte fest, dass es sich um NSA-Tools handeln könnte. Damit wurde der Fall zur Chefsache: Eugene Kaspersky beauftragte seine Angestellten, die Files zu löschen. Die Firma versichert in ihrem Bericht, dass sie sie nicht mit Drittparteien geteilt habe. Zudem gibt der Konzern an, dass man US-Stellen routinemässig informiert hatte, nachdem man im Rahmen der Equation-Untersuchungen die ersten Infektionen in den USA festgestellt hatte.
 
Wer gab die Malware weiter?
Wie aber konnten die Tools in die Öffentlichkeit gelangen? Auch dazu liefert Kaspersky eine Erklärung: Der NSA-Subtraktor habe nämlich nicht nur den Code auf den eigenen Rechner geladen und heikle Sicherheitseinstellungen aktiviert, sondern zudem auf demselben Rechner eine gecrackte Version von Microsoft Office installiert. Dazu habe er die Kaspersky-Lösung deaktiviert und sich als Dank dafür einen Backdoor-Trojaner eingehandelt. Das heisst: Nicht nur Kaspersky konnte auf die Files des NSA zugreifen, sondern zugleich jener Cyberkriminelle, der für den Trojaner verantwortlich war. Wer das ist, steht allerdings in den Sternen.
 
Irgendwann merkte der NSA-Angestellte, dass etwas mit seinem Computer faul war. Deshalb setzte er Kasperskys Virenscanner ein, um seinen Computer zu durchleuchten. Der Rest ist Geschichte: Dies Software entdeckte eben nicht nur den gesuchten Trojaner, sondern auch die Equation-Group- beziehungsweise eben NSA-Malware.
 
Entdeckt wurde Kasperskys Entdeckung schliesslich, weil der NSA ein Honeypot-Netzwerk einrichtete, nachdem es dem Mitarbeiter zu heiss geworden war und er seinen Vorgesetzten informiert hatte. Damit fand der Geheimdienst heraus, dass Kaspersky in den Besitz der Malware gekommen war – aber eben weil die Sicherheitssoftware der Russen korrekt nach Malware gesucht hatte und nicht etwa, weil der Konzern die NSA ausspionieren wollte.
 
War es denn nun wirklich so?
Dieser Artikel ist im Indikativ geschrieben, in jener Sprachform, die zur Kennzeichnung der Wirklichkeit vorgesehen ist. Ob das alles auch tatsächlich genau so vor sich gegangen ist, wissen wir aber natürlich auch nicht. Bloss ist es mit allen technischen und zeitlichen Details, die man bei Kaspersky nachlesen kann, die momentan wohl plausibelste Darstellung der Ereignisse. (ts)