Vor ein paar Tagen berichtete ich über ein steganografisches Kommunikationssystem des US-Geheimdiensts CIA, das sich als unsicher erwies. Dank meiner Leser kann ich heute weitere Informationen darüber präsentieren.
English version (translated with DeepL)
Wie kommuniziert ein Spion unauffällig mit seinem Agentenführer? Im Zeitalter des Internets eignen sich dazu unauffällige Webseiten. Wie ich vor ein paar Tagen berichtete, nutzte das Ehepaar Anschlag, das in Deutschland lebte und für den russischen Geheimdienst SWR spionierte, das Kommentarfeld unter Cristiano-Ronaldo-Videos auf YouTube, um kodierte Nachrichten auszutauschen. Man bezeichnet so etwas auch als “Online-Dead-Drop”.
Sag’s mit Blumen
Kürzlich bin ich auf ein weiteres Beispiel von Online Dead Drops gestoßen. Im Jahr 2010 verhaftete das FBI in den USA zehn Spione, die für Russland arbeiteten. Unter diesen ist vor allem Anna Chapman in Erinnerung geblieben, die nach ihrer Abschiebung nach Russland als Model und Fernsehmoderatorin Karriere machte.
Anscheinend verwendeten die russischen Spione unter anderem unauffällige Fotos, um zu kommunizieren. In diese betteten sie mit Hilfe einer speziellen Steganografie-Software versteckte Nachrichten ein. In einem Vortrag von Jennifer Wilcox werden (bei 19:25) folgende Blumenbilder gezeigt, die für diesen Zweck genutzt worden sein sollen.
Vermutlich haben die Spione und ihre Kommunikationspartner solche Bilder auf Foto-Webseiten ausgetauscht. Leider habe ich dazu keine Informationen. Vielleicht weiß ein Leser mehr.
Die fehlerhaften Online Dead Drops der CIA
Wenig überraschend arbeitet auch der US-Geheimdienst CIA mit Online Dead Drops. Dies konnte man beispielsweise in einem Artikel im Guardian nachlesen. Konkret hieß es darin, dass diese Form der Kommunikation zwischen 2004 und 2013 mit Agenten im Iran und in China eingesetzt wurde. Dazu seien Hunderte von Nachrichten-, Wetter, Gesundheits- und andere Webseiten genutzt worden.
Der Haken an der Sache: Geheimdienste der betroffenen Staaten durchschauten den geheimen Datenaustausch über öffentliche Webseiten. Über zwei Dutzend US-Agenten in China und mehrere im Iran sollen enttarnt und hingerichtet worden sein. Details dazu konnte ich im Internet leider zunächst nicht finden.
Dafür wurden meine Leser fündig. Thomas Bosbach hat mich beispielsweise auf einen Artikel von Reuters hingewiesen. Demnach wurden die besagten Nachrichten-, Wetter und Gesundheits-Seiten von der CIA selbst betrieben – natürlich mit Hilfe von Tarnfirmen oder Tarnpersonen. Die folgenden Screenshots zeigen ein paar Beispiele. Beliebt waren unter anderem Sportseiten:
Die folgende Seite beschäftigt sich mit dem US-Moderator Johnny Carson:
Für diese Seite reichen meine Sprachkenntnisse leider nicht aus:
Hier ist eine weitere Fußball-Seite:
Anders als bei den Anschlags erfolgte die Kommunikation auf diesen Seiten nicht über das Kommentarfeld. Stattdessen war auf jeder Seite ein Suchfeld zu finden, in das der jeweilige Agent ein vereinbartes Passwort eingeben musste. Tat er dies, dann startete eine Anwendung, die das Versenden von Textnachrichten an den Agentenführer sowie den Empfang entsprechender Botschaften erlaubte.
Vermutlich war dieses System der Kommunikation nicht ungewöhnlich. Ungewöhnlich waren jedoch die schwachen Sicherheitsvorkehrungen, die die CIA traf. Dies fing damit an, dass im HTML-Code der entsprechenden Seiten beim Suchfeld der Datentyp “type = “password” angegeben war.
Der Betrachter wurde also quasi mit der Nase darauf gestoßen, dass hier ein Passwort einzugeben war. Darüber hinaus kaufte die CIA den Webspace für die diversen Seiten offensichtlich in Blöcken vom selben Anbieter. Dies führte dazu, dass die IP-Adressen direkt aufeinander folgten, was die Entdeckung weiterer Seiten erleichterte, wenn erst einmal eine aufgedeckt war. Auch die Namen der einzelnen Seiten ähnelten sich – beispielsweise gab es neben Iraniangoals.com für einen Spion die Seite Iraniangoalkicks.com für einen anderen.
2013 bemerkten die CIA den Fehler und stellte die unsicheren Online Dead Drops ab. Obwohl dieses Kommunikationssystem seitdem nicht mehr verwendet wird, fanden Forscher kürzlich immer noch insgesamt 885 Webseiten, die mit hoher Wahrscheinlichkeit für diesen Zweck genutzt worden waren. Anscheinend ließ man nur weniger bedeutende Agenten mit diesen Seiten arbeiten. Für Top-Spione stellte die CIA bessere Methoden bereit, über die nichts öffentlich bekannt ist.
Wie bei Geheimdienst-Themen üblich, liegt vieles zu diesem Thema immer noch im Dunkeln. Umso mehr würde ich mich über Hinweise von meinen Lesern freuen.
Follow @KlausSchmeh
Further reading:
Linkedin: https://www.linkedin.com/groups/13501820
Facebook: https://www.facebook.com/groups/763282653806483/
Kommentare (8)