Vor ein paar Tagen berichtete ich über ein steganografisches Kommunikationssystem des US-Geheimdiensts CIA, das sich als unsicher erwies. Dank meiner Leser kann ich heute weitere Informationen darüber präsentieren.

English version (translated with DeepL)

Wie kommuniziert ein Spion unauffällig mit seinem Agentenführer? Im Zeitalter des Internets eignen sich dazu unauffällige Webseiten. Wie ich vor ein paar Tagen berichtete, nutzte das Ehepaar Anschlag, das in Deutschland lebte und für den russischen Geheimdienst SWR spionierte, das Kommentarfeld unter Cristiano-Ronaldo-Videos auf YouTube, um kodierte Nachrichten auszutauschen. Man bezeichnet so etwas auch als “Online-Dead-Drop”.

 

Sag’s mit Blumen

Kürzlich bin ich auf ein weiteres Beispiel von Online Dead Drops gestoßen. Im Jahr 2010 verhaftete das FBI in den USA zehn Spione, die für Russland arbeiteten. Unter diesen ist vor allem Anna Chapman in Erinnerung geblieben, die nach ihrer Abschiebung nach Russland als Model und Fernsehmoderatorin Karriere machte.

Quelle/Source: FBI

Anscheinend verwendeten die russischen Spione unter anderem unauffällige Fotos, um zu kommunizieren. In diese betteten sie mit Hilfe einer speziellen Steganografie-Software versteckte Nachrichten ein. In einem Vortrag von Jennifer Wilcox werden (bei 19:25) folgende Blumenbilder gezeigt, die für diesen Zweck genutzt worden sein sollen.

Quelle/Source: NSA

Vermutlich haben die Spione und ihre Kommunikationspartner solche Bilder auf Foto-Webseiten ausgetauscht. Leider habe ich dazu keine Informationen. Vielleicht weiß ein Leser mehr.

 

Die fehlerhaften Online Dead Drops der CIA

Wenig überraschend arbeitet auch der US-Geheimdienst CIA mit Online Dead Drops. Dies konnte man beispielsweise in einem Artikel im Guardian nachlesen. Konkret hieß es darin, dass diese Form der Kommunikation zwischen 2004 und 2013 mit Agenten im Iran und in China eingesetzt wurde. Dazu seien Hunderte von Nachrichten-, Wetter, Gesundheits- und andere Webseiten genutzt worden.

Der Haken an der Sache: Geheimdienste der betroffenen Staaten durchschauten den geheimen Datenaustausch über öffentliche Webseiten. Über zwei Dutzend US-Agenten in China und mehrere im Iran sollen enttarnt und hingerichtet worden sein. Details dazu konnte ich im Internet leider zunächst nicht finden.

Dafür wurden meine Leser fündig. Thomas Bosbach hat mich beispielsweise auf einen Artikel von Reuters hingewiesen. Demnach wurden die besagten Nachrichten-, Wetter und Gesundheits-Seiten von der CIA selbst betrieben – natürlich mit Hilfe von Tarnfirmen oder Tarnpersonen. Die folgenden Screenshots zeigen ein paar Beispiele. Beliebt waren unter anderem Sportseiten:

Quelle/Source: CIA

Die folgende Seite beschäftigt sich mit dem US-Moderator Johnny Carson:

Quelle/Source: CIA

Für diese Seite reichen meine Sprachkenntnisse leider nicht aus:

Quelle/Source: CIA

Hier ist eine weitere Fußball-Seite:

Quelle/Source: CIA

Anders als bei den Anschlags erfolgte die Kommunikation auf diesen Seiten nicht über das Kommentarfeld. Stattdessen war auf jeder Seite ein Suchfeld zu finden, in das der jeweilige Agent ein vereinbartes Passwort eingeben musste. Tat er dies, dann startete eine Anwendung, die das Versenden von Textnachrichten an den Agentenführer sowie den Empfang entsprechender Botschaften erlaubte.

Vermutlich war dieses System der Kommunikation nicht ungewöhnlich. Ungewöhnlich waren jedoch die schwachen Sicherheitsvorkehrungen, die die CIA traf. Dies fing damit an, dass im HTML-Code der entsprechenden Seiten beim Suchfeld der Datentyp “type = “password” angegeben war.

Quelle/Source: CIA

Der Betrachter wurde also quasi mit der Nase darauf gestoßen, dass hier ein Passwort einzugeben war. Darüber hinaus kaufte die CIA den Webspace für die diversen Seiten offensichtlich in Blöcken vom selben Anbieter. Dies führte dazu, dass die IP-Adressen direkt aufeinander folgten, was die Entdeckung weiterer Seiten erleichterte, wenn erst einmal eine aufgedeckt war. Auch die Namen der einzelnen Seiten ähnelten sich – beispielsweise gab es neben Iraniangoals.com für einen Spion die Seite Iraniangoalkicks.com für einen anderen.

2013 bemerkten die CIA den Fehler und stellte die unsicheren Online Dead Drops ab. Obwohl dieses Kommunikationssystem seitdem nicht mehr verwendet wird, fanden Forscher kürzlich immer noch insgesamt 885 Webseiten, die mit hoher Wahrscheinlichkeit für diesen Zweck genutzt worden waren. Anscheinend ließ man nur weniger bedeutende Agenten mit diesen Seiten arbeiten. Für Top-Spione stellte die CIA bessere Methoden bereit, über die nichts öffentlich bekannt ist.

Wie bei Geheimdienst-Themen üblich, liegt vieles zu diesem Thema immer noch im Dunkeln. Umso mehr würde ich mich über Hinweise von meinen Lesern freuen.


Further reading:
Linkedin: https://www.linkedin.com/groups/13501820
Facebook: https://www.facebook.com/groups/763282653806483/

Subscribe to Blog via Email

Enter your email address to subscribe to this blog and receive notifications of new posts by email.

Kommentare (8)

  1. #1 Kerberos
    22. Oktober 2022

    Und warum
    bleiben wir nicht bei dem alteingeführten Namen
    “toter Briefkasten”?
    Jedem Leser von Spionageromanen bestens bekannt!

  2. #2 TWO
    22. Oktober 2022

    Wie bei Geheimdienst-Themen üblich, liegt vieles zu diesem Thema immer noch im Dunkeln.

    And let’s keep it that way.

    It may be just an interesting article for you.

    Real people die becuase they are discovered.

    The less the enemy knows the better.

  3. #3 Klaus Schmeh
    22. Oktober 2022

    >bleiben wir nicht bei dem alteingeführten
    >Namen “toter Briefkasten”?
    Es geht ja um die Online-Version eines toten Briefkastens. “Online-Toter-Briefkasten” klingt etwas seltsam, daher habe ich mich für die englische Form entschieden. Ist natürlich ein Anglizismus.

  4. #4 Wandee Thaweetham
    Chanthaburi - Thailand
    23. Oktober 2022

    @Two
    Quote: “And let’s keep it that way.”

    I couldn’t agree more with you (sarcasm).
    Here a quote I got very recently from a friend in the US who has two high ranking ex Air Force officers on the board of his company:

    (Quote:) As for the CIA, that is likely propaganda to maintain offensive capabilities. We had a CIA review from someone that was supposed to be representing a partner company. The CIA is the biggest cancer this country has. They import drugs to sell to our children, sell arms to our enemies and engage in empire building in foreign countries which this country’s founders warned us against doing. It is an organization that has been actively blocking our company. (Quote end)

    So, you can see, I agree to keep everything concerning intelligence agencies out of the public domain. Then maybe one day the lights will go on for all of us and these lights will not rise in the east, but from all the places that have nuclear weapons; because we were left in the dark about intelligence agencies activities.

  5. #5 Klaus Schmeh
    23. Oktober 2022

    Bart Wenmeckers via FaceBook:
    Imagine how the spies that were led to thir execution felt about the simple oppsie. You would think with so much on the line the method would have been better vetted/reviewed.

  6. #6 Klaus Schmeh
    23. Oktober 2022

    Dave Kocur via FaceBook:
    And again, simple human error contributes to the breakdown of secure systems.

  7. #7 gedankenknick
    26. Oktober 2022

    Die ersten Berichte über frei verfügbare Steganografie-Software zur Einbettung von Texten über Veränderungen von Helligkeits- und Farbwerten in Digitalfotos habe ich wohl um das Jahr 2005 gelesen, kurz nachem ich mir meine erste DSLR (eine EOS 350D mit 8MP) gekauft hatte. In so einem 8MP-jpg konnte man mehrere Schreibmaschinenseiten Text höchst unauffällig verbergen, und zum decodieren bzw. extrahieren brauchte man dann jeweils die selbe Software mit den selben (veränderlichen) Einstellungen.

    Mir ist nicht ganz klar, warum (ausgerechnet!) Geheimdienste so einen komplizierten Weg über selbst erstellte und selbst gefälschte Websites gehen. Das ist m.E. nicht nur auffällig, sondern bei Enttarnung geradezu gefährlich, weil dann alle (historischen) Nachrichten wie in einem Tagebuch zum Nachlesen offenliegen.

    Wäre es nicht viel einfacher, wenn man schlicht sehr regelmäßig Fotos auf personalisierten Bildplattformen wie z.B. Instagramm etc. hochladen würde, wie es millionen Menschen täglich tun, und der mich “führende” Geheimdienst läd sich einfach automatisiert jedes meiner Fotos runter und überprüft es mit der Software auf eine verborgene Nachricht. Wenn ich mir jetzt überlege, dass man folgende Dinge kombinieren kann:
    – vorherige zusätzliche Verschlüsselung der Nachricht
    – täglich wechselnde Schlüssel verwenden
    – Einbettung der (verschlüsselten) Nachricht in ein Foto
    – täglich wechselnde Steganografie-Einstellungen verwenden
    – nur jedes 10te bis 100ste Bild enthält überhaupt eine Nachricht
    …kann ich mir nur sehr schwer vorstellen, dass die Überwachung meines Foto-Accounts zur Aufdeckung dieser Kommunikation führt. Zusätzlicher Vorteil – wenn ich diese Fotos nach einer bestimmten Zeit (24 Stunden) regelmäßig wieder offline nehme (so wie Status-Bilder bei WhattsApp etc.), kann man auch später nicht mehr online in meiner Historie wühlen, wenn man nicht rechtzeitig alle Fotos gedwonloadet hatte.

    Der Rückweg der Kommunikation liefe dann (aus meiner Sicht) ähnlich: Als fotografie-interessierter Mensch bewege ich mich durch diverse Foto-Communities, lade zum mir anschauen regelmäßig auch größere Mengen Fotos herunter, und eines von XY Fotos enthält dann eine Nachricht, die nur nach div. “rotierenden” Steganografie-Einstellungen und Schlüsseln zu decodieren ist.

    Auch kann ich mir nicht vorstellen, dass eine wenige kb große Textdatei in einem 20MP-5Mb-Datei zu auffälligen Änderungen der Datengröße führt, zumal gerade im jpg-Kompressiosnverfahren das “Rauschen” einen erheblichen Einfluss auf die Dateigröße hat, und ein Bild, welches mit ISO 6.400 aufgenommen wurde, ganz erheblich in der Dateigröße abweicht von der selben Motiveinstellung, die mit ISO 200 belichtet wurde.

  8. #8 Klaus Schmeh
    9. November 2022