Infowar um Kaspersky und russisches Staats-TV eskaliert

Russland beantwortet US-Sanktionen mit Auflagen gegen Voice of America und Radio Liberty. Die wegen angeblicher Spionage ebenfalls von Sanktionen bedrohte russische Anti-Viren-Firma Kaspersky dreht den Spieß um und blamiert die NSA.

Von Erich Möchel

Der Schlagabtausch zwischen den USA und Russland um die Einflussnahme auf die US-Präsidentschaftswahlen trägt immer mehr die Züge eines neuen Kalten Kriegs. Die Antwort Moskaus auf die neuen, strengen Auflagen für das russischen Staats-TV RT in den USA sieht nun dieselben Sanktionen für staatliche US-Sender in Russland vor, wie RT laufend berichtet. Jede solche Maßnahme der USA werde ab nun adäquat beantwortet, hieß es.

Die russische Anti-Viren-Firma Kaspersky veröffentlichte am Donnerstag ihre Untersuchungsergebnisse zu den Vorwürfen, russische Geheimdienste hätten über die Kaspersky-Software einen Vertragsbediensteten der NSA in den USA ausspioniert und geheime Dokumente exfiltriert. Der Bericht zeigt ein skurriles Sittenbild aus den Cyberwars zwischen den USA und mehreren Opponenten, geprägt von Schlamperei und Leichtsinn des Protagonisten aus den USA.

RT

RT wird „Foreign Agent“

Dem russischen Staats-TV wurde der Status als internationaler Nachrichtensender in den USA aberkannt, ab nun gilt RT als Interessensvertreter eines Drittstaats („Foreign Agent“). Das ist mit Auflagen wie der Offenlegung der Finanzierung verbunden und wird sich auch auf die Erteilung von Drehgenehmigungen auswirken. Von diesem neuen Gesetz, das die russische Duma in dritter Lesung finalisiert hat, sollten die staatlichen US-Sender Voice of America, Radio Free Europe und Radio Liberty betroffen sein.

Die USA hatten schon länger Vergeltung für die russichen Desinfo-Kampagnen und die angeblichen „Hackangriffe“ angekündigt. Der erste US-Gegenschlag Anfang November ist wenig spekatakulär verpufft.

Diese der westlichen Öffentlichkeit wenig bekannten Sender strahlen ihre Programme vornehmlich in den Landessprachen der Zielgebiete aus. Die Radios Free Europe und Liberty sind Relikte aus dem Kalten Krieg, die ihre Präsenz in Russland seit dem Beginn der Spannungen zwischen den beiden Staaten mit lokalen Radio-Ablegern wieder hochgefahren hatten.

RT

Sanktionen der Sozialen Netzwerke gegen RT

Davor schon hatten Facebook, Youtube, Twitter und Co, die RT bis vor kurzem noch Sonderangebote gelegt hatten, diesen guten Kunden zurückgestuft und den Kauf von Werbekontingenten dadurch erschwert. Dabei hatte RT selbst nur Eigeninserate geschaltet. Die inkriminierten, teils merkwürdigen Sujets, die während des Wahlkampfs meist zugunsten Trumps verbreitet wurden, stammten von automatisierten Zombie-Benutzerkonten, die zwar russischen Akteuren zugerechnet werden, Verbindungen zu RT wurden in diesem Fall jedoch nicht nachgewiesen.

Kaspersky und der Cyberpunk

Gezielte Leaks aus dem US-Geheimdienstapparat befeuern seit Monaten eine Medienkampagne gegen Kaspersky in den USA.

Der russischen Anti-Viren-Firma Kaspersky wird konkret vorgeworfen, dass über ihren Anti-Viren-Scanner von dem privaten Rechner eines Vertragsbediensteten der NSA eine unbestimmte Anzahl an geheimen Dateien kopiert, exfiltriert und an die russischen Geheimdienste weitergegeben wurden. Diese Dateien seien Eigentum der US-Regierung und stünden in keinem Zusammenhang mit einer möglichen Infektion dieser Maschine. Laut US-Behörden stammt der Fall aus dem Jahr 2015.

Kaspersky

Das ist mit einiger Wahrscheinlichkeit der Zeitpunkt, an dem NSA und Co erstmals darauf aufmerksam geworden waren. Kaspersky datiert das inkriminierte Geschehen in das Jahr 2014, das Dossier zu diesem Fall aber liest sich wie eine Passage aus einem Cyberpunk-Roman über einen patscherten NSA-Vertragsagenten, der mit Schadsoftware wie ein Zauberlehring umgeht und nicht bemerkt, dass sein eigener Rechner von Gegnern infiziert wurde.

Schon wieder die „Equation Group“

Mit dem Leak gefährlicher NSA-Software der „Shadow Brokers“ dürfte das nichts zu tun haben. Die neuesten da veröffentlichten Exploits und Trojaner datieren mit Mitte 2016, sind also wesentlich jünger als der hier geschilderte Fall.

Mitte September habe ein - angeblich - nicht näher bekannter Benutzer "an einem Glasfaseranschluss der Firma Verizon in der Umgebung von Baltimore, Maryland Alarm ausgelöst, heißt es in dem Dossier. Genau dort liegt Fort Meade, Maryland, der Hauptsitz der NSA. Der Virenscanner von Kaspersky hatte auf diesem Rechner Schadsoftware von damals nur allgemein den USA zuordenbaren staatlichen Akteuren entdeckt, der sogenannten „Equation Group“. Was dann folgte, war an sich ein normaler Vorgang, denn der Kaspersky-Scanner tat, wozu er installiert wurde.

Die infektiösen Dateien wurden auf das Analysenetzwerk der Firma hochgeladen, dann wurde eine sogenannte Virensignatur - eine Art digitaler Fingerabdruck - der Software erstellt, und mit der Malware-Datenbank abgeglichen. Damit lassen sich bereits bekannte Derivate dieser Schadsoftware finden, was Rückschlüsse auf Herkunft und Urheber möglich macht. Dieser PC irgendwo in der Nähe von Fort Meade zeigte allein für den Trojaner „Equestre“ 17 Treffer an, denn auf der Festplatte befanden sich 17 verschiedene Versionen derselben Malware, die der „Equation Group“ zugerechnet wird.

Wie die CIA die NSA auffliegen ließ

-

Insgesamt fanden sich 37 Trojaner, Backdoors etc. und 200 dazugehörige Programmpakete samt dem Quellcode, die allesamt der „Equation Group“ zugerechnet werden. Von dieser ist längst klar, dass es sich um keine eigene NSA-Abteilung handelt, sondern um mehrere Benutzergruppen derselben Serie von Schadsoftware der NSA. Das war schon länger vermutet worden, eine Bestätigung dafür aber lieferte ausgerechnet die CIA. In der von Wikileaks publizierten CIA-Software findet sich auch eine Diskussion der CIA-Programmentwickler über die Fehler der NSA-Kollegen, die zum Auffliegen der „Equation Group“ geführt haten

Der „Zund“ über die „Equation Group“ befand sich in einem Wiki der CIA, das irgendwie zu Wikileaks gelangt war und seit März in Tranchen veröffentlicht wird.

Die Kaspersky-Untersuchung ist mit dem Bericht des „Wall Street Journal“ weitgehend deckungsgleich. Demnach hatte der Kaspersky-Scanner einen NSA-Contractor erwischt, der gegen alle Dienstvorschriften NSA-Angriffssoftware auf einen Privat-PC geladen hatte. Auf diesem lief der Kaspersky-Scanner, der aber periodisch abgeschaltet wurde und zwar immer dann, wenn ein Datenträger mit Schadsoftware angeschlossen war. Mindestens einmal hatte dieser Unbekannte aber vergessen, den Scanner abzuschalten, während er mit Schadsoftware hantierte.

Malware-Entwickler oder Operativer

Ab hier gehen die Narrative von WSJ und Kaspersky auseinander, denn die Sicherheitsfirma behauptet, dass dieser Rechner selbst von einer andereren Spionagesoftware namens „Backdoor.Win32.Mokes“ verseucht war. Außer dem Eigentümer und Kaspersky hatten also auch Dritte angeblich Zugang zu diesem PC. Da diese Angaben nur von Kaspersky stammen, sind sie hinterfragenswert, wie auch die Konsequenzen, die angeblich gezogen wurden.

RT

Mit dem extrahierten Konvolut seien auch einige Textdateien mitgekommen, die als klassifiziert gekennzeichnet waren, so das Kaspersky-Dossier, die habe man gelöscht, als klar war, dass sich ein NSA-Agent im Viren-Scanner verfangen hatte. Das war entweder ein Malware-Entwickler, der ein neues Set Trojaner in the wild testen wollte, oder überhaupt ein Operativer, der damit Attacken fuhr. Den Mann auffliegen zu lassen, sei keine Option gewesen, da dadurch auch andere Kunden befürchten könnten, von Kaspersky ausspioniert zu werden, so die Firma. Also habe man es sogar in einem solchen Fall unterlassen.

Glaubensfragen und sichere Annahmen

Das kann man glauben oder nicht, aber damit hat sich der Spieß ganz schön gedreht. Nun stehen grobe Sicherheitsverstöße und Dilettantismus im Umgang mit Schadsoftware von NSA-Mitarbeitern ebenso zur Diskussion wie die angebliche russische Spionage durch Anti-Viren-Software. Das sieht nach einem Match aus, das die USA nur schwer gewinnen können.

Ersucht wird, sachdienliche Informationen, Metakritiken oder Bug Reports über dieses Formular sicher verschlüsselt und natürlich anonym beim Autor einzuwerfen. Wer eine direkte Antwort will, sollte jedenfalls irgendeine Kontaktmöglichkeit angeben.

Wie es im tit-for-tat zwischen den beiden Mächten nun weitergehen wird, zeichnet sich ziemlich klar ab. Russland wird die Offenlegungs- und Berichtspflichten nur im ersten Schritt auf die obgenannten US-Regierungssender beschränken. Sobald die USA einen weiteren direkt gegen RT oder die Nachrichtenagenturen Russlands gerichteten Schritt unternimmt, wird es weitere Auflagen geben. Es ist unschwer abzusehen, dass die dann gegen CNN und die TV-Networks ABC und NBC gerichtet werden.