Der Marsch der Geisterratten

Published in De Ziet

Der kanadische Meisterhacker Nart Villeneuve jagt Internetspione aus fernen Ländern: Manchmal stößt er auf verwirrte Einzeltäter, manchmal hebt er ganze Cyberarmeen aus.

Man nennt sie “trojanischen Pferde”. Tückische Angreifer, harmlos verpackt. Die Kriegslist mag so alt sein wie die alten Griechen, aber die Sache mit dem Holzpferd hat sich weiterentwickelt: Ein “trojanisches Pferd” greift am Bildschirm an. Und heute ist es nichts weiter als ein Stück Computercode, ein paar Zeilen in den Programmsprachen C++ oder Perl oder ASM, von Finsterlingen in einer harmlos erscheinenden Datei versteckt. In dem Bild mit den kleinen Hündchen etwa, das unvermutet im Eingangskorb der E-Mail auftaucht. In dem fröhlichen Anschreiben an den “Sehr verehrten Lottogewinner”. Wer es öffnet, lädt feindliche Heere auf seinen Rechner. Computer, durch die ein trojanisches Pferd geritten ist, können von Hackern in aller Welt ferngesteuert werden, können ausgeforscht, umprogrammiert und für finstere Verbrechen missbraucht werden.

Willkommen in der Welt von Nart Villeneuve. 35 Jahre alt. Kanadier. Ein großer, kräftiger Typ, mit dem man stundenlang über trojanische Pferde reden kann. Über unbekannte Späher draußen im Internet. Über die vertrackten technischen Methoden, mit denen man schädliche Programme in Computer, Netzwerkbauteile und sogar Tastaturchips einpflanzt. Nart Villeneuve ist ein Meisterhacker. Einer, der auf der guten Seite kämpfen will. Er versucht herauszufinden, warum da seit wenigen Jahren ein wahrer Großkrieg zwischen den Weltmächten ausgebrochen ist, eine globale Cyberschlacht um Geheimnisse zwischen Hackern aus Russland und Brasilien, Taiwan und Israel, Iran und Großbritannien – und vor allem zwischen den USA und China, wie es scheint. Warum es zuletzt in so kurzer Folge Rüstungskonzerne und Behörden traf, Banken, Ölunternehmen, eBay – und zuletzt auch Google, das im Januar offen zugab, dass Hacker in seinen Netzen unterwegs waren. “Ich interessiere mich sehr dafür, was die Chinesen treiben”, sagt Nart Villeneuve. “Ich will herausfinden: Wer genau wird da angegriffen? Welche Art von Daten wird gestohlen? Erst wenn man diese Fragen beantworten kann, kann man auch Rückschlüsse darüber ziehen, wer letztlich hinter den Angriffen steckt.”

Ehrlich gesagt: Wenn man ihn besucht und noch nicht richtig kennt, fällt es schwer, den Kanadier ernst zu nehmen. Sein bevorzugtes Arbeitszimmer ist ein Kellerraum der Universität von Toronto, da sitzt er am Ende eines Ganges mit einem beigefarbenen Teppich. Drinnen stehen acht Bildschirme, eine Reihe unaufgeräumter Computerarbeitsplätze und ein schreiend farbiges Ledersofa mit silberfarbener Fußstütze. So ein Sofa täte auch bei einem Großstadtfriseur seine Dienste. Auf die rechte Lehne hat irgendwer einen Socken gelegt. Wohl damit sein Besitzer ihn irgendwann wieder abholen kann.

Man vertut sich aber. Von diesem Keller aus hat Nart Villeneuve eine Reihe globaler Cyber-Spionagefälle gelöst. Er hat Computer aufgestellt, die er zum Schein von den Viren, trojanischen Pferden und Würmern seiner Widersacher infizieren ließ. Er hat von hier aus schon zum Gegenschlag ausgeholt, um seinerseits die Computer der Spione zu knacken, und nicht selten hat Nart Villeneuve damit Erfolg gehabt.

Hier in diesem Keller entdeckte Nart Villeneuve im Jahr 2008 das GhostNet: Der Dalai Lama hatte eine Gruppe von Sicherheitsexperten im Umfeld der Universität Toronto um Hilfe gebeten, und Nart Villeneuve gehörte dazu. Die Computer der Tibetanischen Exilregierung waren mit einem trojanischen Pferd namens gh0st Rat infiziert worden. Die Geisterratte. Ein mächtiges Schadprogramm chinesischer Herkunft, das es Hackern erlaubt, infizierte Computer komplett fernzusteuern, eingebaute Web-Kameras und Telefone einzuschalten, Dateien zu lesen und zu entfernen. Noch während die Kanadier das Netz untersuchten, merkten sie, dass da wirklich jemand aus der Ferne zugange war: Ein Dokument, das Tausende von E-Mail-Adressen enthielt, wurde gerade vor ihren Augen an einen fernen Ort im Internet verbracht. Überhaupt war gh0st Rat außerordentlich trickreich auf diesen Computern gelandet. Eine Auswertung der verbliebenen Datenspuren ergab, dass eine ganze Welle unterschiedlichster Schadsoftware in gezielten Schreiben an die tibetanische Regierung versteckt gewesen war. Anhänge an Briefe im Microsoft Word-Format oder in Adobe Acrobat-Dateien, offenbar. Und der Virenschutz? Nur 11 von 34 Virenscannern, die die Sicherheitsexperten testweise zum Einsatz brachten, fanden überhaupt etwas Verdächtiges.

Als es dem Meisterhacker Villeneuve schließlich gelang, selber die Kontrolle über eine Reihe von Kontrollservern zu übernehmen – über jene Rechner also, die offenbar die tibetanischen Rechner überwachen sollten, und die auf der chinesischen Insel Hainan untergebracht waren. “Die hatten das nicht vernünftig gesichert”, sagt er erfreut. Villeneuve ging damals auf, dass der Dalai Lama nur eine Nebensache war. Das GhostNet war viel größer: Mindestens 1295 infizierte und fernsteuerbare Computer in 103 Ländern. Außenministerien, Botschaften, Verbände, und viele Ziele mit wirtschaftlich sehr relevanten Daten bei Banken, Nachrichtenagenturen, Handelsgesellschaften. Chinesen spionieren die Geheimnisse der Welt aus! lauteten die Schlagzeilen damals.

Doch wer steckte wirklich dahinter? Der chinesische Geheimdienst? Irgendein Militär? Private Hacker? Am Ende doch nur Spaßvögel? Ausländische Hacker gar, die diese chinesischen Computer unterwandert hatten? “Völlig zweifelsfrei konnten wir nie nachweisen, wer genau hinter diesen Angriffen steckte”, sagt Villeneuve. Er hat jedenfalls schon viel gesehen – und häufig erlebt, dass der erste Anschein bei solchen Untersuchungen trügt. Villeneuve arbeitet manchmal im Auftrag der Universität Toronto, wo er als Forscher arbeitet; mal als Cheftechniker einer kleinen Firma, die Zensursperren im Internet knackt; und mal als technischer Experte hinter aufsehenerregenden Reports von Organisationen namens “Internet Warfare Monitor” oder “Open Net Initiative”.

Erst kürzlich dachte er wieder, er kämpfe gegen eine gigantische Cyberarmee – und dann war die Realität doch ernüchternder. Das war, als er herausfinden wollte, wer die Webseite Mizzima News mit Parolen verunstaltet hatte. Dieser Dienst der Bürgerrechtsbewegung von Birma trug plötzlich Sprüche wie “We Born for Hack Those Fucking Media Website, Which Are Ever Talk About Only Worse News For Our Country.” Steckte dahinter das berüchtigte Militär von Birma? Waren Geheimdienste in Aktion?

Die Täter hatten es leicht: Es gab ein Sicherheitsloch in der Serversoftware dieser Webseite, über das ein trojanisches Pferd namens c99shell eingeschleust werden konnte, und das zumindest ließ sich leicht herausfinden. Aber die Täter? “Die Angriffe kamen scheinbar aus vielen verschiedenen Ländern, auch aus Deutschland”, sagt Villeneuve. Das lag bestimmt nicht daran, dass die Täter wirklich in so vielen verschiedenen Ländern saßen. Hatten sie aus der Ferne Computer an all diesen Standorten gekapert?

Nein – ironischerweise hatten die Täter für ihre Angriffe einen Dienst missbraucht, den auch viele Bürgerrechtler nutzen, um ihre wahre Identität im Internet zu verschlüsseln. Ein Onlineservice, der Besuche im Netz für einen staatlichen Schnüffler so aussehen lässt, als sitze da ein Websurfer in der einen Sekunde in Ostdeutschland, in der nächsten in Mumbai und wenige Sekunden später dann in der Ukraine. Die Hacker hatten diesen Service für ihre eigenen Zwecke genutzt.

Doch nach einer monatelangen Jagd – zu denen geduldige Recherchen auf Webservern mit Namen wie overkill.myanmar.org gehörten, Untersuchungen vergleichbarer Angriffe vergangener Jahre und sogar eine Erkundungsreise nach Birma und stundenlange Gespräche in entlegenen Chatrooms des Internets – wusste Villeneuve schließlich genug. So viel zumindest, dass er einen Angreifer zur Rede stellen konnte, in einem Chatroom im Internet. Einen Mann in Birma, der einmal in Russland studiert hatte, und der allerhöchstens noch mit einer Handvoll Hackerkollegen zusammengearbeitet hatte. Ein Einzelgänger, der mit den Verunstaltungen von Webseiten seine nationalistischen Neigungen auslebte. “Ganz endgültig zugegeben hat er es allerdings nie”, sagt Villeneuve und zuckt bedauernd die Schultern. “Aber er hat genug gesagt. Ich habe ihn verstanden.”

Die Tür geht auf, und Ron Deibert betritt den Kellerraum der Hacker. Professor Ron Deibert, der Mann, der hier vor vielen Jahren damit begann, ein Institut für die Überwachung von Internetzensoren, Datenkriegern und Hackern in aller Welt aufzubauen. Es ist auf der ganzen Welt das einzige Institut dieser Art; und Deibert ist zu einer führenden Autorität auf dem Gebiet der Internetzensur und der Internetkriege geworden. Er hat Vorträge bei Google gehalten und sie vor Eindringlingen gewarnt, noch bevor die Attacken auf den Konzern publik wurden. Er hat Hillary Clinton mit beraten, bevor sie vor wenigen Wochen eine aufrüttelnde Rede über die Sicherheit im Cyberspace hielt, die viele als eine Kriegserklärung an China verstanden. Er hat Firmen gegründet, die ihren Kunden helfen, mit den neuen Gefahren im Netz richtig umzugehen.
Mehr zum Thema

Deibert sieht müde aus. Er hat in den vergangenen Wochen viele Interviews gegeben, viele Vorträge gehalten. “Es gab eine Zeit, da hatten wir eine romantische Vorstellung vom Internet”, sagt er. “Ein Tummelplatz für Nichtregierungsorganisationen! Ein Paradies für Hippies!” Doch von Beginn an, glaubt Deibert, waren auch dunkle Mächte mit am Werk. Zensoren. Spione. Doch nie so viele wie heute.

“Die Phase, die jetzt begonnen hat, ist sehr gefährlich”, glaubt Deibert. “Ein riesiges Ökosystem von Computern und mobilen Geräten ist da entstanden – und die Entwicklung von Waffen gegen dieses System schreitet rasant voran. Das ist ein Rüstungswettlauf. Ehrlich gesagt, die schlimmsten Dinge haben wir noch lange nicht gesehen. Wir brauchen eine Art Waffenkontrolle im Cyberspace.”

original article here