Leaks der Shadow Broker

Tausende Computer durch NSA-Hackertools infiziert

Die von den Shadow Brokers veröffentlichten Hacking-Tools und Zero-Day-Schwachstellen aus dem Fundus der NSA sind inzwischen weit verbreitet. Kriminelle Hacker nutzen sie aktiv für Attacken, gleichzeigt suchen Sicherheitsexperten fieberhaft nach Gegenmaßnahmen.

Amerikanische Geheimdienste hat es in den letzten Monaten schwer getroffen. Nicht nur wurden die umfangreichen Hacking-Tools der CIA publik gemacht, in einem weiteren Leak sind die Hacking-Tools der NSA im Internet aufgetaucht. Der zweite Leak kam von der Gruppe „Shadow Brokers“, die bereits im letzten Jahr mit einer Veröffentlichung gedroht hatten.

Anders als die Daten von Wikileaks enthält das Shadow-Broker-Archiv nicht nur Beschreibungen von Sicherheitslücken und Handbücher zu Exploit-Tools, die Hacker-Werkzeuge sind Teil des Pakets. Kein Wunder also, dass sich kriminelle Hacker und Script-Kiddies auf die Daten stürzen – und aktiv ausnutzen.

DoublePulsar kontrolliert tausende Computer

Besondere Popularität hat dabei scheinbar das Tool DoublePulsar. Ende April hatte dieses Programm mehr als 420 000 Windows-Rechner unter seiner Kontrolle, so Experten von Binary Edge. Stark vereinfacht gesagt ist DoublePulsar ein Malware Downloader. Das Tool lässt sich auf bereits kompromittierten Systemen nutzen, um weitere Schadsoftware nachzuladen und das System weiter stärker unter die eigene Kontrolle zu bringen. Die Malware arbeitet dateilos, ein Neustart sollte sich entsprechend entfernen. Das ist mit der Grund, warum vor allem Server unter der Kontrolle des Systems sind.

Die Malware selbst nutzt eine alte Schwachstelle in SMB, sie kommuniziert stark über Port 445. Laut Microsoft sollten Anwender mit der aktuellsten Version vor der Malware geschützt sein. Für eine Schnelltest der eigenen Systeme bietet BinaryEdge einen Online-Check, der nach DoublePulsar auf der jeweiligen IP sucht.

Ethische Herausforderungen durch Gegenmaßnahmen

Neben dem reinen Check auf Infektionen gibt es inzwischen eine Gegenmaßnahme, das DoublePulsar-Infektionen aufspürt und löschen kann. Das Problem: Das funktioniert nicht nur im LAN, sondern auch übers Web an beliebigen offenen Systemen. Das Script wurde von Countercept auf GitHub veröffentlicht.

Die ethische Frage dahinter: Dürfen „gute“ Hacker ohne Kenntnis des Systembesitzers eine Infektion löschen, wenn sie es können? Es ist nicht das erste Mal, dass es gut meinende Individuen schaffen, eine Malware aus der Ferne zu löschen, ähnliche Konzepte gab es bei diversen Wurm-Attacken, unter anderem bei Conficker. Die Vorteile wären, dass betroffene Systeme gereinigt werden und Kriminelle nicht mehr zur Verfügung stehen. Der Nachteil ist, dass die guten Hacker die Systeme über die gleichen Schwachstellen attackieren und unter Umständen instabil werden lassen – von einer klassischen Attacke ist das nicht zu unterscheiden.

NSA trägt Mitschuld

Die eigentliche Schuld trifft aber vor allem die amerikanische Behörde. Viele der in den Leaks der Shadow Broker genannten Details und Zero-Day-Exploits befanden sich über Jahre im Besitz der Spione. Statt diese zu melden und mit Herstellern zu kooperieren, wurden sie für eigene Attacken unter Verschluss gehalten. Die Auswirkungen sieht man jetzt: Die Daten befinden sich im Internet und diese hochwertigen Attacken und Schwachstellen sind jedermann zugänglich.

Neben den Lücken in Windows, wie sie DoublePulsar nutzt, sind auch Hintertüren zu den Systemen von Cisco, Lotus Domino sowie für den Zahlungsverkehr SWIFT im Umlauf. Neben den eigentlichen Leakern trägt auch die NSA eine Mitschuld. Durch das Verheimlichen der Hintertüren und der Sicherheitslücken hat sie das Internet und alle Vernetzten Systeme absichtlich verwundbar gehalten – etwas, das sich jetzt rächt. Denn: Der Großteil der DoublePulsar-Infektionen trifft Systeme in den USA, dem Land, das die Behörde eigentlich schützen soll.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.