NATO mit neuer Cyberwar-Doktrin

Details: Kategorie: ÜBERWACHUNG & KONTROLLMECHANISMEN; Veröffentlicht: Sonntag, 05. Februar 2023 19:12

Während der militärische Supervirus "Flame" analysiert wird, drohen USA und NATO nun ganz offen mit Cyberangriffen. Sogar die deutsche Bundeswehr entwickelt offiziell Angriffskapazitäten.

Kaum ein Tag vergeht, ohne dass von den daran beteiligten Anti-Virusforschern eine neue, meist überraschende Funktion des Supervirus "Flame" bekannt wird. Nach Stuxnet und Duqu ist "Flame" die dritte große Schadsoftware militärischen Ursprungs mit ebensolchen Zielen, die in freier Wildbahn aufgetaucht ist.

Den großen Unterschied macht dabei die politische Begleitung, denn während rund um Stuxnet und Duqu großes Schweigen herrschte, spielt nun die Militärmusik. Zwei Tage nach Bekanntwerden von Flame erschien ein Artikel in der "New York Times", der die längst vor Stuxnet angelaufene Cyber-Kriegsführung der USA gegen den Iran und andere Gegner in allen Details schildert.

Die Informationen können nur aus der Regierung selbst gekommen sein und stehen in einer ganzen Reihe ähnlicher "Obama-Leaks" der letzten Zeit, die sämtlich dazu angetan waren, den Präsidenten in ein günstiges Licht zu rücken. Bekanntlich herrscht in den USA Wahlkampf und da ist es seitens der Republikaner seit Jahrzehnten üblich, die demokratischen Bewerber um das Amt möglichst als militärische Weicheier zu brandmarken.

Die deutsche Bundeswehr

Diese Aussagen zu Cyberwar als reines Manöver im US-Wahlkampf zu betrachten, ist aber viel zu kurz gegriffen. Während bis dahin stets betont worden war, dass entsprechende Kapazitäten nur zur Abwehr von Angriffen aufgebaut würden, lautet die Botschaft nun, dass auch die USA und ihre Verbündeten zu offensiven Mitteln greifen. Dieselbe Botschaft geht seit Anfang Juni über ganz verschiedene Kanäle.

Am 5. Juni kam die deutsche Bundeswehr, die sich in Sachen Cyberwar bis dahin extrem bedeckt gehalten hatte, mit der überraschenden Mitteilung heraus, dass nun auch Deutschland über "Anfangskapazitäten" für diese Art von offensiver Kriegsführung verfüge.

Parallel dazu erschien in der Financial Times Deutschland eine detaillierten Story, die auf einem Bericht des Verteidigungsministeriums basierte, der erst diese Woche dem Deutschen Bundestag vorgelegt werden wird. Eine diesbezügliche Anfrage von ORF.at an das österreichische Bundesheer wurde zwar prompt, allerdings nur mit einem knappen "Das kommentieren wir nicht" beantwortet.

Die NATO

Am selben 5. Juni aber veranstaltete die NATO in Estland, das bekanntlich einer der ersten großen Schauplätze von staatlich gelenkten DDoS-Attacken war, einen Workshop zur Analyse von Schadsoftware. Aus der Beschreibung sticht folgender Satz heraus: "Eines der einzigartigen Charakteristika dieses Workshops ist der Fokus auf die Zuordnung von Angriffen."

Damit steht und fällt nämlich die gesamte offensive Cyber-Kriegsführung. Vor einem eventuellen Gegenschlag mit ähnlichen Mitteln muss sicher sein, dass man den tatsächlichen Urheber angreift und nicht etwa auf eine Provokation durch einen Dritten hereinfällt, der einen Konflikt zwischen den beiden anderen Staaten provozieren will.

Die Gamma-Group

Die Konferenzwebsite des NATO aber trägt noch eine weitere eindeutige Botschaft. Unter "Supporters" werden das "Institute of Electrical and Electronics Engineers" IEEE, Cisco und Microft gelistet, dazwischen aber prangt das Logo einer Firma namens "Gamma Group".

Dabei handelt es sich um einen Militärzulieferer, der speziell dafür zugeschnittenes Überwachungsequipment samt Trainings anbietet. Die Module der "FinFisher Suite" könnten auch einzeln für ihre jeweilige Zwecken eingesetzt werden, zusammengeschaltet aber würden sie den "Nachrichtendiensten fortgeschrittene Tools für unübertroffene Untersuchungs- und Überwachungstechniken der IT-Umgebung bieten."

Spionage gegen Regimegegner

Genau das leistet "Flame", ohne dabei zu insinuieren, dass diese Suite exakt von diesem Hersteller stammt, denn dafür kommen mehrere in Frage (siehe unten).

Gamma International und seine FinFisher-Produktlinie waren in einem solchen Zusammenhang jedenfalls bereits in die weltweiten Schlagzeilen geraten. Nach der Erstürmung von Regierungsbüros während des Arabischen Frühlings in Ägypten wurde ein Vertrag dieses Unternehmens mit dem Mubarak-Geheimdienst gefunden. Dort wurde die Malware-Suite offenbar dazu eingesetzt, die Rechner von Regimegegnern durch eingeschleuste Schadsoftware auszuspionieren.

Was Spionage-Suites leisten

Das entspricht der Beschreibung des Einsatzes einzelner Module, die Features der FinFisher-Suite in ihrer Militärversion aber entsprechen jenen von "Flame" bekanntgewordenen frappant genau.

Bei "Flame" handelt es sich um eine ebensolche Suite wie sie auf Überwachungsmessen wie der berüchtigten ISS von mehreren, auch europäischen Unternehmen ganz offiziell angeboten werden. Das mithin teuerste Element daran sind die "Exploits", oder Angriffsprogramme, die eine noch unbekannte aber weitverbreitete Sicherheitslücke ausnützen.

Wenn Hashes kollidieren

In dieser Beziehung ist "Flame" von einer Qualität, die alles bisher Bekannte in den Schatten stellt, vor allem in der Kategorie "Tarnen und Täuschen". Bei den bekannten, für kriminelle Zwecke produzierten Malwares ist ein "Rootkit"-Modul, das sich tief im Betriebssystem einrichtet dafür zuständig, die Aktionen von Trojaner- Downloader-Modulen vor dem PC-Benutzer zu verschleiern.

"Flame" macht das um Potenzen raffinierter, indem er sich per gefälschtem Zertifikat als von Microsoft beglaubigte Software ausweist. Der Angriffsvektor, eine Schwachstelle im Signaturprozess, der durch eine sogenannte "Hash-Kollision" ausgehebelt werden könnte, wurde von zivilen Kryptografieforschern bereits 2008 bekannt gemacht.

Die Geheimdienste

Was damals allerdings nur als "Proof of Concept" - also provisorisch zu Demonstrationszwecken - gezeigt wurde, ist bei "Flame" nun erstmals praktisch umgesetzt beobachtbar, Konsequenzen hatte die Demonstration von 2008 nämlich keine. Die Angriffsmöglichkeit blieb bis heute bestehen.

Flame nützt zwar eben diesen Angriffsvektor, setzt zur Überraschung der Virus-Analysten aber völlig anders an. Den Grund dafür versucht man gerade herauszufinden.
Die Herkunft wenigstens dieses Moduls ist hingegen recht deutlich einzugrenzen. Das dafür nötige Kryptografie-Know-How ebenso wie die Ressourcen finden sich nur bei großen Militärgeheimdiensten wie dem britischen GCHQ und vor allem der NSA.

Die unheilige Dreifaltigkeit

Die restlichen Flame-Module stammen aus dem Dunstkreis jener Firmen, die auf Messen der Überwachungs- und Rüstungsindustrie Verkaufsvorträge zu ihren Produkten halten.

Dass einzelne Elemente von "Flame" auffällige Ähnlichkeiten mit Stuxnet aufweisen, und es von dort auch Querverbindungen zu Duqu gibt, passt genau in die Gepflogenheiten dieser Branche. So gut wie keine dieser militärischen Suites wird je von einer einzigen Firma komplett geliefert, praktisch immer sind auch Komponenten von darauf spezialisierten Unternehmen integriert.

Logik des Kalten Kriegs

Die neue Cyberwar-Doktrin von USA und NATO lässt sich in einem Satz umreißen: Cyberwar-Angriffe werden ab nun mit Cyber-Gegenschlägen beantwortet, die Option zur weiteren Eskalation bleibt dabei offen. Ob das ein adäquates Mittel ist, die permanenten, vor allem Russland und China zugeschriebenen Spionageattacken gegen Firmen und Institutionen in Europa und den USA einzudämmen, steht stark in Zweifel.

All dies entspricht nämlich weitgehend der Logik des Kalten Kriegs, einer Konfliktsituation, die unter völlig anderen Voraussetzungen stattfand, als die Konfrontationen heute.

Arabic	Hebrew	Polish
Bulgarian	Hindi	Portuguese
Catalan	Hmong Daw	Romanian
Chinese Simplified	Hungarian	Russian
Chinese Traditional	Indonesian	Slovak
Czech	Italian	Slovenian
Danish	Japanese	Spanish
Dutch	Klingon	Swedish
English	Korean	Thai
Estonian	Latvian	Turkish
Finnish	Lithuanian	Ukrainian
French	Malay	Urdu
German	Maltese	Vietnamese
Greek	Norwegian	Welsh
Haitian Creole	Persian