Russischer Geheimdienst beklagt Datendiebstahl durch Datenleck

Inlandsgeheimdienste arbeiten in aller Regel mit verschiedenen Dienstleistern zusammen, so auch der russische Geheimdienst, der FSB. Solch ein Dienstleister wurde im vergangenen Jahr Ziel eines großangelegten Datendiebstahls: Hacker zogen 7,5 TB Daten ab. Medien berichteten davon, wie dem KGB-Nachfolger sensible Daten zu geheimen Projekten entwendet wurden.

Den Hackern ist es gelungen, die Sicherheitsmechanismen des Dienstleisters SyTech zu überwinden. Vermutlich wurden die Daten bereits am 13.07.2019 durch einen Zugriff auf den Active Directory-Server gestohlen. SyTech selbst arbeitet wohl schon seit 2009 an diversen Projekten für den russischen Geheimdienst. Medien berichten von einem historischen Ausmaß: Es handle sich um das wohl größte Datenleck in der Geschichte russischer Geheimdienste. Immerhin: Offenbar wurden ausschließlich Projekte aufgedeckt, deren Ziele bereits bekannt waren oder über die man zumindest schon mutmaßen konnte. Dennoch hielt SyTech Namen, Partner sowie Ziele des Projekts vor dem Angriff geheim.

Neue Hackergruppe verantwortlich

Offenbar zeigte sich eine Hackergruppe namens 0v1ru$ für den Hack verantwortlich. Über die Arbeit und die Ziele dieser Gruppe weiß man bislang wenig. Es überrascht, dass es für den digitalen Einbruch bei SyTech offenbar nicht viel gebraucht hat. Auch die Datenmenge überrascht: 7,5 TB Daten wurden entwendet! Zum Vergleich: auf einer 1-TB-Festplatte könnte man 200.000 Songs mit fünfminütiger Länge oder aber 500 Stunden Filmmaterial speichern.

Über die Gruppierung 0v1ru$ ist wenig bekannt: Man kennt weder Hintergründe dieser Aktion noch die Herkunft des Kollektivs. Es existierte ein Twitter-Account, der jedoch schon wieder offline ist. Berichten zufolge hat 0v1ru$ die Daten mit einer Hackergruppe geteilt, die unter dem Namen DigitalRevolution agiert. Bei DigitalRevolution handelt es sich um eine bekanntere Vereinigung: Sie machte von sich Reden, als sie 2018 an die Daten eines anderen FSB-Dienstleisters (Quantum) gekommen war.

Seinerzeit lästerten die Hacker über den russischen Geheimdienst: Der FSB solle seine Aktivitäten lieber in „Operation Küchensieb“ umbenennen, hieß es hämisch. Informationen wurden damals an Journalisten weitergereicht, ohne die Daten zu manipulieren, etwas zu entfernen oder zu ergänzen. Die Daten, die 0v1ru$ 2019 erbeutete, wurden an DigitalRevolution weitergegeben und von dieser Gruppierung auf Twitter gepostet. Ob 0v1ru$ und DigitalRevolution in direkter Verbindung zueinanderstehen, ist nach wie vor unklar.

7,5 TB zu Spionage-Projekten gekapert

Teil dieses gigantischen Datenpakets waren unter anderem Pläne darüber, wie sich Netzwerkverkehr über Tor de-anonymisieren lässt. Weiter fanden sich ironischerweise auch Projekte, in denen es um Datendiebstahl von sozialen Netzwerken ging. Enorm wichtige Staatsgeheimnisse konnten die Hacker nicht ausmachen, jedoch fanden sich haufenweise Informationen über aktuell laufende Operationen.

Das Hackerkollektiv machte mit einer russischen Version des Trollfaces auf der Website von SyTech auf ihre Tat aufmerksam, als es die Daten bereits abgezogen hatte. Mindestens 20 nicht-öffentliche Initiativen zogen die Hacker ab, außerdem veröffentlichte 0v1ru$ die Namen der jeweiligen Projektmanager im Hause SyTech. BBC Russian konnte eine kleine Entwarnung geben: Die Daten enthielten wohl keine Geheimnisse der russischen Regierung.

Russischer Geheimdienst: Social Media- und Internet-Überwachung

Der russische Geheimdienst arbeitet den Dokumenten zufolge an Projekten mit wohlklingenden Namen wie „Relation“, „Arion“ oder „Nautilus“. Die Operation „Nautilus“ etwa sah vor, gezielt mehr oder minder öffentliche Daten aus sozialen Netzwerken wie Facebook oder LinkedIn abzufischen. In der Variante „Nautilus-S“ geht es um die Deanonymisierung von Agenten mit Tor-Exit-Nodes. Dieses De-Anonymisieren des Tor-Verkehrs soll mithilfe von Rogue-Tor-Servern gelingen. Schon seit 2012 arbeitet man an dieser Operation zusammen mit dem FSB-nahen Forschungsinstitut Kvant, welches seinen Schwerpunkt auf Quantentechnologie legt.

Pläne zur DNS-Abtrennung Russlands

Der russische Geheimdienst nutzt die Operationen „Hope“ sowie „Tax-3“ zum Trennen vom Rest des World Wide Webs, falls es eine großangelegte Cyberattacke geben sollte. Mit Hope ist ein Projekt gemeint, das die Topologie des russischen Internets sowie die Verbindung mit Netzwerken anderer Länder untersucht. Tax-3 soll ein geschlossenes Intranet zum Speichern von Informationen schaffen, die hochsensible Staatsbedienstete, aber auch Richter sowie lokale Verwaltungsbeamte betreffen. Es soll getrennt von den übrigen IT-Netzwerken des Landes arbeiten, ähnlich wie es in China bereits Realität ist.

Subunternehmen sind Sicherheitsrisiken der Geheimdienste

Es müssen sich nicht nur Unternehmen und Privatpersonen Gedanken über die Sicherheit ihrer Daten und Systeme machen. Die Geheimdienste und ihre Dienstleister sitzen im selben Boot: Hacks, Insider-Leaks oder schlicht und ergreifend Fehler sorgen für Datenverluste und -diebstähle.

Der US-amerikanische Geheimdienst, die NSA, kennt sich damit ebenfalls aus – ihm sind bereits Daten sowie Spionageprogramme abhandengekommen. So postete im Jahr 2016 die Hackergruppe „The Shadow Brokers“ unterschiedliche Programme und Exploits der NSA. Über Auktionen gaben die Hacker den Zugang zu den erbeuteten Tools frei. Die Hacker forderten 10.000 Bitcoins, die jedoch nicht zusammenkamen. Die Gruppe löste sich auf und die vermutlich auf Windows zugeschnittenen Tools erblickten nie das Licht der Öffentlichkeit.

Nur ein Jahr später sorgte WikiLeaks mit „Vault7“ für Aufsehen: Erneut wurden Dokumente von NSA, CIA sowie weiteren Geheimdiensten des Five-Eyes-Programms (UKUSA-Vereinbarung) veröffentlicht. Unter anderem konnte so enthüllt werden, dass das US-Konsulat im hessischen Frankfurt zu den Knotenpunkten fürs Abhören in Europa gehört.

Zu den groben Fehlern, die leider immer mal wieder passieren, gehörte es auch, als das albanische Finanzamt im Jahr 2018 geheime Mitarbeiterdaten vom Geheimdienst ins Internet stellten. Ein solches Öffentlich-Stellen von Informationen ist mehr als gefährlich – vorrangig für die betroffenen Mitarbeiter selbst. Denn die Geschädigten im Falle von Leaks oder Datenveröffentlichungen sind selten die Geheimdienste selbst als eher die Ausspionierten.

Ob russischer Geheimdienst, NSA oder auch BND: Die Selbstdarstellungen, nach denen Geheimdienste im Sinne der Menschheit cyberkriminellen Schurken und dem internationalen Terrorismus das Handwerk legen, stimmt einfach nicht. Tatsächlich gehen Geheimdienste immense Risiken ein, wenn sie mit Subunternehmen zusammenarbeiten. Dass Daten abhandenkommen, konnte bislang kein Geheimdienst verhindern, was das Sammeln von Informationen auch so gefährlich macht. Natürlich ist jeder, der sich im Web bewegt, dem Risiko eines Hacks oder einer Datenpanne ausgesetzt. Geheimdienste und deren Subunternehmen sind jedoch besonderen Risiken ausgesetzt, denn jeder weiß, dass gesammelte Informationen wertvoll sein können.