Shadow Brokers: Zahlreiche Uniserver von NSA-Hackern infiziert

Die Hacker-Gruppe Shadow Brokers hat erneut Daten veröffentlicht, die aus dem Hack der NSA-Gruppe Equation Group stammen sollen. Das Archiv enthält zahlreiche Datensätze über Server, viele davon von Universitäten.

Nach Angaben der Shadow Brokers selbst, soll es sich dabei um Server handeln, die von der NSA-Einheit Equation Group kompromittiert und dann als Ausgangspunkt für Angriffe missbraucht wurden. Damit könnte die Attribution offensiver Operationen erschwert werden.

Ein großer Teil der infizierten Server befindet sich in China, gefolgt von Japan, Korea, Spanien und Deutschland. Insgesamt gibt es in dem Datensatz 352 IP-Adressen mit 306 Domain-Namen. Unter den deutschen Zielen befindet sich ein Server der Universität der Bundeswehr in München. Auffällig ist, dass insgesamt 32 .edu-Domains von Universitäten betroffen sind, außerdem weitere Bildungseinrichtungen ohne die entsprechenden Top-Level-Domains.

Wie relevant ist die Liste?

Unklar ist, wie relevant die nun veröffentlichte Liste ist - die Daten sind mehrere Jahre alt und bislang nicht unabhängig verifiziert. Die ältesten Einträge stammen aus dem Jahr 2000, die jüngsten Einträge hingegen aus dem Jahr 2010. Einige der Server sollen nach Angaben von Sicherheitsforschern aber immer noch aktiv sein. Die Liste lässt trotzdem Rückschlüsse auf die Arbeitsweise staatlicher Hacker-Gruppen zu.

Innerhalb der Ordnerstruktur sind zahlreiche bislang nicht zugeordnete Namen wie Dewdrop, Incision, Jackladder, Orangutan, Patchichillin, Reticulim und Stoicsurgeon zu finden. Ein Tool mit dem Namen Pitchimpair wird von den Shadow Brokers als "Redirector" bezeichnet, das als Backdoor als Startpunkt für weitere Angriffe benutzt worden sein könnte. Zuvor hatten die Shadow Brokers mehrere Exploits für Router veröffentlicht, eine Auktion um den Rest der Daten war aber nicht erfolgreich.

Unklar ist bislang, wer hinter den Angriffen der Shadow Brokers steht. Die signierten Blogposts der Organisation werden stets in fehlerhaftem Englisch verfasst. In den USA wird derzeit der ehemalige Booz-Allen-Mitarbeiter Harold T. Martin III verdächtigt. Er war festgenommen worden, weil er zahlreiche Geheimnisse der NSA auf seine privaten Computer zu Hause mitgenommen hatte. Ermittler beschreiben den Mann aber auch als eine Art Messie. Unklar ist daher, ob er die Informationen nur zu privaten Zwecken sammelte, oder ob er diese tatsächlich gezielt öffentlich machen wollte.