«Equation Group»: Wie die besten NSA-Spione arbeiten

Ein Bericht zeigt, wie beeindruckend die technischen Fähigkeiten einer Gruppe von Top-Computer-Spionen sind. Die «Equation Group» gehört wohl zur NSA und kann selbst PCs kontrollieren, deren Festplatte mehrfach gelöscht wurde oder die nicht am Internet hängen.

Von EquationLaser zu Grayfish; von Fanny zu Stuxnet und Flame. Dazu Double- und TripleFantasy. Bild in Lightbox öffnen.

Bildlegende: Die Software der «Equation Group» laut Kaspersky Lab. Links die Schadsoftware-Varianten, in der Mitte die Methoden der Verbreitung, rechts mögliche Verwandte. Kaspersky Lab

Die Schadsoftware «Stuxnet» hat gezielt iranische Atom-Anlagen infiziert und sabotiert. Man vermutet, dass die NSA dahinter steckt. Spätestens nach der Entdeckung von «Stuxnet» 2010 war klar: Wer das kann, verfügt über Möglichkeiten, Ziele rund um die Welt auzuspionieren und zu manipulieren.

Nun wurde an einer hauseigenen Konferenz der russischen Computer-Sicherheitsfirma Kaspersky Lab ein Bericht vorgelegt, der die Arbeitsweise einer Gruppe solcher Top-Computer-Spione detailliert beschreibt. Kaspersky Lab tauft die Gruppe «Equation Group».

Der Bericht verändert das bekannte Bild nicht. Doch technisch ist der Bericht spektakulär, weil er zeigt, wie weit fortgeschritten die «Equation Group» im Detail arbeitet.

«Stuxnet», «Flame», «Regin»: Alles aus dem gleichen Haus?

Der Bericht beeindruckt Spezialisten, weil die «Equation Group» seit mindestens 14 Jahren unentdeckt arbeitet und in dieser Zeit weit fortgeschrittene Fähigkeiten entwickelt hat. Und es gibt Indizien, dass es zwischen der Technologie der «Equation Group» und Spionage-Programmen wie «Stuxnet», «Flame» oder «Regin» Verbindungen gibt. In all diesen Fällen wird die NSA dahinter vermutet.

Auch diese Gruppe ist wohl der NSA zuzuordnen. So gibt es Parallelen bei Code-Namen einzelner Software-Komponenten, die sich auch in den Dokumenten von Edward Snowden wiederfinden.

Kaspersky Lab zeichnet in dem Bericht das Bild, dass die «Equation Group» innerhalb der NSA technisch am weitesten fortgeschritten ist und andere Abteilungen des Geheimdienstes mit Software beliefert. So vermuten die Sicherheitsforscher, dass die «Equation Group» eine Methode entwickelt hat, wie Computer infiziert werden können, die selber nicht am Internet hängen – über präparierte CDs oder USB-Sticks. Die Gruppe hat damit möglicherweise «Stuxnet» vorbereitet: gewissermassen eine Machbarkeitsstudie durchgeführt, wie man iranische Nuklear-Anlagen infiziert.

«The coolest toys»

Ein Sicherheitsforscher von Kaspersky Lab hat den Eindruck, die «Equation Group» hätte «the coolest toys». Den sogenannten «airgap» überbrücken, also bewusst vom Internet abgekoppelte Maschinen trotzdem infizieren, ist nur eine der Fähigkeiten der «Equation Group». Code-Namen wie «Triple Fantasy», «EquationLaser» oder «Grayfish» bezeichnen eine ganze Reihe von Werkzeugen, die Teile einer stetig weiterentwickelten Software-Plattform sind. Die «Equation Group» bietet so alle Möglichkeiten, die sich ein Geheimdienst wünscht.

Beispielsweise kann ein Werkzeug Schadsoftware auf PCs installieren, ohne Spuren zu hinterlassen. Die Software kann sich in der Firmware von Festplatten einnisten und dort gezielt Daten auslesen oder verändern – selbst dann noch, wenn die Festplatte nach allen Regeln der Kunst gelöscht, formatiert und mehrfach überschrieben wird.

Die «Equation Group» hat also Werkzeuge zur Verfügung, die man mit herkömmlichen Mitteln wie Virenschutz-Software kaum abwehren kann, weder bemerken, noch verhindern.

Zehntausende Ziele betroffen?

Im Bericht ist von rund 500 infizierten Zielen die Rede, die meisten davon in Staaten wie Iran, Pakistan oder Syrien, aber auch Russland oder China werden genannt. Im Bericht wird auch die Schweiz aufgeführt, allerdings nur unter «low infection rate». Die hier betroffenen Ziele sind keiner spezifischen Kategorie zugeordnet, sondern «Other/Unknown». In der Schweiz angesiedelte internationale Organisationen oder grosse Finanzinstitute wären plausible Kandidaten.

Karte der infizierten PCs. Bild in Lightbox öffnen.

Bildlegende: Mit Schadsoftware infizierte PCs. Es ist unklar, ob jeder PC gezielt infiziert wurde oder Zwischenstopp auf dem Weg zum Ziel oder Kollateralschaden ist. Kaspersky Lab

Kaspersky Lab weist aber darauf hin, dass diese Zahl der Infektionen wohl viel zu tief ist: Sie entstand, indem die Forscher beobachteten, wie sich infizierte Maschinen auf Server verbinden, die Anweisungen oder neue Softwareversionen übermitteln. Da sich die Schadsoftware nach einer gewissen Zeit aber selber löscht und so spurlos verschwindet, muss man von einer viel höheren Zahl von unbemerkten Infektionen ausgehen. Kaspersky Lab schätzt, dass über die Jahre zehntausende betroffen waren.

Die Software der «Equation Group» sei so komplex, dass erst ein Bruchteil davon verstanden sei. Ausserdem weist Kaspersky Lab darauf hin, dass die neusten Indizien bereits ein Jahr alt sind - die «Equation Group» ist wohl also bereits wieder einen Schritt voraus.