Lee Fang
Führende “Threat Intelligence”-Unternehmen erstellen gefälschte Online-Personen, um sich Zugang zu jedem Winkel des Internets zu verschaffen.
Diese anonyme Internet-Persona mit einem Anime-Cartoon-Avatar in Ihrem Discord-Chat könnte in Wirklichkeit ein Auftragnehmer sein, der Sie ausspionieren soll.
Betreten Sie die Welt der “Threat Intelligence”.
Das ist der Kunstbegriff für eine wachsende Zahl von Überwachungs- und Sicherheitsfirmen, die gefälschte Online-Personen erstellen, um Daten aus privaten Ecken des Internets zu infiltrieren und auszuspionieren. Die Branche bietet Unternehmen und Behörden Einblicke in Unterhaltungen in privaten, nur für geladene Gäste zugänglichen Discord-Chats, WhatsApp-Gruppen, Reddit-Foren und Dark-Web-Nachrichtenbrettern, um diesen mächtigen Kunden zu helfen, eine Vielzahl potenzieller Bedrohungen im Auge zu behalten, von politischen Hacktivisten bis zu den illegalen Märkten, die mit gestohlenen Passwörtern und geistigem Eigentum handeln.
Ich sprach mit Vertretern von ZeroFox, DarkOwl, Searchlight Cyber, Recorded Future, CyberInt, Flashpoint und anderen Threat Intelligence-Unternehmen auf der RSA Conference 2023, einem jährlichen Kongress für Cybersicherheitsexperten aus aller Welt, der in San Francisco stattfindet.
“Wir haben Mitarbeiter, die sich bereits in diesen Umgebungen bewährt haben, sodass wir in der Lage sind, dort nach Dingen zu suchen”, sagte A.J. Nash, Vice President of Intelligence bei ZeroFox, einem führenden Unternehmen der Threat Intelligence-Branche mit Sitz in Baltimore, Maryland.
Nash bestätigte, dass das Unternehmen in Discord aktiv ist, einer Audio- und Video-Gruppenchat-App, die bei jungen Videospielern beliebt ist.
“Wir können dasselbe mit Discord machen”, fügte Nash hinzu. “Es ist schwer, eine kleine Gruppe zu infiltrieren, weil jeder jeden kennt. Aber bei einigen der größeren Gruppen haben wir die Möglichkeit, in einige Gelegenheiten einzudringen”.
Ein leitender Angestellter von DarkOwl, einer in Denver ansässigen Threat Intelligence-Firma, die ihren Kunden eine spezielle Datenbank mit Informationen aus ihrer Schnüffeltätigkeit zur Verfügung stellt, erklärte, dass das Unternehmen gefälschte Identitäten und Benutzernamen erstellt, um Zugang zu vielen der privaten Plattformen und Chatrooms zu erhalten, die es zum Sammeln von Informationen nutzt.
“Wir arbeiten mit Personas”, sagte Magnus Svärd, ein Direktor bei DarkOwl. “Wir machen das seit 2018 in großem Maßstab, also gibt es ein gewisses Vertrauen in die Personas, die wir aufgebaut haben, egal ob sie auf Discord, auf Telegram oder wo auch immer sind.”
Searchlight Cyber, ein britisches Unternehmen, das sich auf Dark Web Message Boards spezialisiert hat, nutzt ebenfalls Internet-Personas, um Zugang zu privaten Online-Foren und Chat-Plattformen zu erhalten.
“Wir werden tatsächlich zu diesen Foren eingeladen. Wir haben menschliche Akteure und werden eingeladen. Natürlich geben wir uns dort nicht als Searchlight zu erkennen”, sagt Peter Ritter, Vertriebsleiter des Unternehmens. “Dann sehen wir, was dort vor sich geht”.
CyberInt, ein israelisches Unternehmen für Bedrohungsanalysen, wirbt damit, dass sein Analystenteam gefälschte Personas verwendet, um Hacker, Betrüger im Einzelhandel, Hacktivisten und andere Bedrohungen der Cybersicherheit zu vereiteln.
In einem von CyberInt veröffentlichten Video beschreibt eine Analystin des Unternehmens ihren Ansatz, in Online-Communities zu gehen und “Bedrohungsakteure zu erkennen, wenn sie jung sind oder mit 14 oder 15 Jahren anfangen, denn dann beginne ich, ihre bösartigen Aktivitäten zu beobachten und zu dokumentieren”. In diesem Alter sind sie “unvorsichtiger und offener”, so die Analystin.
In einem anderen Marketingvideo von CyberInt führt das Unternehmen einen potenziellen Kunden durch den Prozess der Verwendung eines gefälschten Online-Alias, um einen Hacker über die Messaging-App Telegram zu kontaktieren und “so viele Informationen wie möglich zu erhalten”.
Danny Miller, Marketingleiter bei CyberInt, bestätigte mir, dass seine Firma Analysten hat, die unter anderem Discord-Server infiltrieren.
Viele dieser Firmen unterhalten enge Verbindungen zu Strafverfolgungsbehörden und Regierungsstellen. Mehrere stehen derzeit unter Vertrag mit dem Federal Bureau of Investigation oder dem militärischen Geheimdienst.
Insbesondere die Zusammenarbeit von ZeroFox mit dem FBI kam in Dokumenten ans Licht, die vom Sonderausschuss des Repräsentantenhauses zur Untersuchung des Aufstands im US-Kapitol am 6. Januar 2021 ausgegraben wurden. In einem E-Mail-Austausch vom 3. Januar 2021 zwischen FBI-Beamten, die sich auf die geplanten Proteste der Rechten vorbereiteten, merkte ein Beamter an, dass das FBI-Team, das mit der Überwachung der Gruppen beauftragt war, die sich vor dem Kapitol versammeln sollten, erst Tage zuvor mit ZeroFox zusammengearbeitet hatte. Der Beamte sagte, dass die Behörde immer noch lernt, wie man die Software zur Überwachung von Social-Media-Posts von politischen Extremisten, die am 6. Januar 2021 nach Washington kommen, einsetzt.
“Unsere Social-Media-Fähigkeiten könnten während dieses Ereignisses etwas beeinträchtigt sein, da wir uns an dieses neue Tool gewöhnen, aber wir werden es schaffen”, schrieb der FBI-Beamte.
Nachdem sich die Bundesregierung bereits Zugang zu traditionellen Social-Media-Plattformen verschafft hat, hat sie nun auch private Online-Communities im Visier, in denen terroristische Gruppen, radikale politische Aktivisten und Hacker relativ frei agieren können.
Die jüngste Veröffentlichung von geheimen Pentagon-Dokumenten, die in einem Chatroom auf Discord geteilt wurden, der nur für geladene Gäste zugänglich war, hat einen neuen Vorstoß für den Zugang zu einer der letzten geheimen Ecken des Internets ausgelöst. Air National Guardsman Jack Teixeira soll die geheimen Dokumente monatelang in seinem Gruppenchat gepostet haben, bevor die Behörden auf die undichten Stellen aufmerksam wurden.
Nach Teixeiras Verhaftung Mitte April hat die Bundesregierung begonnen, eine verstärkte Überwachung von Discord und ähnlichen Plattformen zu fordern. Die Biden-Administration prüft derzeit, wie sie die Überwachung von Social-Media-Websites und Chatrooms ausweiten kann, nachdem es den US-Geheimdiensten nicht gelungen war, geheime Pentagon-Dokumente zu entdecken, die wochenlang online zirkulierten”, berichtete NBC News letzten Monat. Ein Berater des Kongresses sagte der Nachrichtenagentur, dass hochrangige Mitglieder des Teams von Präsident Joe Biden nach Möglichkeiten suchen, “Plattformen wie Discord auf der Suche nach relevantem Material zu durchsuchen, um ein ähnliches Leck in der Zukunft zu vermeiden”.
Sollte die Bundesregierung mit ihren Plänen fortfahren, könnten die auf der RSA Conference 2023 vertretenen Threat Intelligence-Unternehmen eine lukrative Rolle bei der Unterstützung dieser Bemühungen spielen. Ein Vertreter von Recorded Future stimmte ursprünglich einem Interview mit mir zu, zog es aber später wieder zurück, weil er befürchtete, dass eine Diskussion über das Leck in geheimen Dokumenten auf Discord für das Unternehmen zu heikel wäre. Aus Bundesverträgen geht hervor, dass Recorded Future im letzten Jahr für eine Reihe von Kunden der Bundesregierung gearbeitet hat, darunter der US-Geheimdienst, die Einwanderungs- und Zollbehörde und das US-Cyber Command.
Flashpoint, das offen damit wirbt, dass es aktivistische Gruppen überwacht und kontinuierlich Daten von Plattformen wie Reddit und Discord auswertet, hat letztes Jahr einen Vertrag mit dem FBI unterzeichnet.
Auf der RSA-Konferenz sagte ein Vertreter von Flashpoint, dass seine Firma eine Vielzahl von Tools einsetzt, aber im Allgemeinen nicht gegen die Nutzungsbedingungen verstößt, wenn sie auf Chatrooms und andere Foren zugreift.
“Es gibt diese Spannung zwischen Plattformen, die ein sicherer Raum sind, und der Tatsache, dass sie nicht in der Lage sind, Dinge zu beherbergen, die als geistiges Eigentum oder als Bedrohung für die nationale Sicherheit veröffentlicht werden”, sagte Matthew Howell, Vice President of Product bei Flashpoint.
Watchdog-Gruppen befürchten, dass der Vorstoß für eine stärkere Überwachung von Chatrooms, einschließlich Gaming-Communities, die bürgerlichen Freiheiten verletzen wird. Die Überwachung privater Kommunikation durch die Regierung birgt die Gefahr, dass die verfassungsmäßigen Rechte gegen unangemessene Durchsuchung und Beschlagnahme verletzt werden.
“Es gibt einen beunruhigenden Trend hin zu Regierungsbehörden, die die Überwachung in Auftrag geben und Datenbroker dafür bezahlen, Menschen auszuspionieren, auch wenn Agenten das nicht dürfen”, sagte Sean Vitka, Senior Policy Counsel von Demand Progress.
“Es wird erschreckend deutlich, dass es eine ähnliche privatisierte Spionageindustrie gibt, die auch auf private Chatrooms abzielt”, so Vitka weiter.
Nash, der Vizepräsident von ZeroFox, sagte, dass jede Aktion seiner Firma, die im Januar einen Vertrag mit dem U.S. Navy Criminal Investigative Service unterzeichnet hat, von einem juristischen Team überprüft wird.
“Wir verletzen weder die Bürgerrechte noch die bürgerlichen Freiheiten der Menschen. Wir arbeiten nicht als Kanal, um den Vierten Verfassungszusatz zu umgehen”, sagte Nash. “Das würden wir nicht tun.”
Der Präsident von DarkOwl, Russel Cohen, gab eine ähnliche Zusicherung.
“Wir haben Algorithmen dafür, welche Informationen wir interessant finden. Wenn also jemand über Waffen spricht, wäre das etwas, das wir interessant finden”, sagte Cohen. “Wir suchen nicht nach Dingen, die kommerziell uninteressant sind, wie z. B. Pornografie.”
Cohen sagte, dass seine Firma gelegentlich Regierungsbehörden alarmiert hat, wenn sie auf Material gestoßen ist, das eine Bedrohung für die Sicherheit vermuten lässt.
Die Feststellung, ob etwas eine “Bedrohung” für die nationale Sicherheit darstellt, ist naturgemäß subjektiv. Und in der Vergangenheit hat die Bundesregierung ihre schlimmsten Eingriffe in die persönliche Freiheit im Namen der Überwachung dieser vage definierten Bedrohungen begangen.
Es ist besonders schwierig, die Rechtmäßigkeit der Überwachungspraktiken dieser neuen Nachrichtendienste zu beurteilen, da die Branche in Geheimhaltung gehüllt ist.
In den seltenen Fällen, in denen die Öffentlichkeit mehr Einblick in die Aktivitäten dieser Unternehmen erhalten hat, waren die Enthüllungen nicht gerade beruhigend. Im Jahr 2011 wurde der Schleier kurz gelüftet, als eine Reihe von Bedrohungsgeheimdiensten eine Verschwörung gegen das Hacktivistennetzwerk LulzSec plante und versuchte, den Journalisten Glenn Greenwald zu diskreditieren. Die Auftragnehmer, angeführt von der inzwischen aufgelösten Firma HBGary, entwickelten einen Plan, um linke Organisationen mit gefälschten Online-Identitäten zu infiltrieren, um lukrative Verträge zur Verteidigung von Unternehmen zu gewinnen, die in der öffentlichen Kritik stehen.
Der Plan wurde schließlich aufgedeckt und vereitelt, nachdem Hacker E-Mails von HBGary ins Internet gestellt hatten und die Partnerfirmen, darunter Berico Technologies und Palantir, in Verlegenheit brachten.
Auch die US-Geheimdienste sind nach dem Eindringen in private Online-Bereiche in der Regel erfolglos geblieben, was die Möglichkeit aufkommen lässt, dass die Sicherheitsgründe für die aktuellen Übergriffe schwächer sind als von den Behörden behauptet. Die vom ehemaligen Mitarbeiter der Nationalen Sicherheitsbehörde Edward Snowden veröffentlichten Dokumente enthüllten, dass FBI- und CIA-Spione gefälschte Persönlichkeiten geschaffen hatten, um nach potenziellen Terrorplänen zu suchen, die in Online-Spielen wie World of Warcraft und Second Life sowie auf Plattformen wie Xbox Live diskutiert wurden. Diese Initiativen verliefen im Sande, nachdem die Geheimdienste wenig bis gar keine Beweise für Terrorkommunikation gefunden hatten.
Doch die Bundesregierung und ihre Verbündeten in der Wissenschaft und in den Medien arbeiten mit Hochdruck an einer erweiterten Überwachung von Plattformen wie Discord, die die von Snowden aufgedeckten, inzwischen eingestellten Programme widerspiegeln könnte.
Renée DiResta, eine Forschungsmanagerin am Stanford Internet Observatory, die die Bemühungen des Heimatschutzministeriums zur Überwachung von Online-Sprache begleitet hat, hat die sogenannten Discord-Leaks genutzt, um eine stärkere Überwachung von Chatrooms zu fordern. DiResta war kürzlich Mitverfasserin eines Aufsatzes in der Zeitschrift Foreign Policy, in dem sie behauptet, dass Online-Gamer und Chatrooms “Spione als nachrichtendienstliche Bedrohung in den Schatten gestellt haben”:
Selbst dort, wo ideologische Verpflichtungen die Leaker motiviert haben, hat die Internetkultur oft eine wichtige Rolle gespielt. Die Geheimdienstanalystin der US-Armee, Chelsea Manning, begann mit WikiLeaks, als sie begann, den Chat-Kanal des Forums zu überwachen und sich dann aktiv daran zu beteiligen. Ihre Entscheidung, diplomatische Kabel zu veröffentlichen, wurde zunächst durch Debatten über isländische Politik im WikiLeaks-Kanal motiviert. Wenn man sich Mannings Unterhaltungen mit dem WikiLeaks-Gründer Julian Assange und anderen im Kanal anschaut, liest sich das wie der Versuch, mit ihren neuen Internetfreunden in Kontakt zu treten und sie zu beeindrucken; später war es ein ähnlicher Wunsch nach Online-Kontakten, der zu ihrer Verhaftung führte. Auch Edward Snowden begründete seine Entscheidung, Dokumente über die Überwachungsprogramme der National Security Agency (NSA) zu veröffentlichen, mit seinen Bedenken, dass sie die Werte untergraben, die er als begeisterter Bewohner der frühen Internetforen und Chatrooms schätzte: Anonymität, Selbstdarstellung und das Recht, sich neu zu erfinden.
Die Schlussfolgerung, dass Online-Community-Foren eine Art Voraussetzung für Radikalisierung sind, legt eine pauschale Sichtweise potenzieller staatlicher Bedrohungen nahe, die fast jeden nach 1980 Geborenen mit Internetzugang einschließt. DiResta, eine einflussreiche Stimme in Cybersicherheitskreisen, ist bei Weitem nicht allein.
Eine Reihe von Journalisten hat ein hartes Durchgreifen gegen private Messaging-Plattformen gefordert.
“Das FBI und andere Strafverfolgungsbehörden verbringen nicht genug Zeit damit, die Ränder des Internets wie Discord und Telegram zu durchforsten”, erklärte der erfahrene Reporter Lucian Truscott IV in Salon, einem progressiven Nachrichtenmagazin.
In einem Artikel in Time wurde die Richtigkeit der Bedenken der nationalen Sicherheitsbehörden gegenüber Discord als gegeben angesehen. “Das Leck hat auch die mangelnde Sichtbarkeit von Plattformen wie Discord durch die Strafverfolgungsbehörden ins Rampenlicht gerückt”, schreiben Vera Bergengruen und W.J. Hennigan.
Die wachsende Zahl von Forderungen nach mehr Überwachung beunruhigt Vitka von Demand Progress.
“Wenn dies den Kurs früherer Überwachungspraktiken fortsetzt, bedeutet dies, dass wir auf ein digitales Wiederaufleben von Nachbarn zusteuern, die ihre Nachbarn ausspionieren”, sagte Vitka. “In der Zwischenzeit haben wir keine Möglichkeit zu wissen, wie viele private Chatrooms bereits infiltriert sind oder an wen diese Spione Informationen verkaufen, was letztlich zu einer ernsthaften Erosion des Vertrauens im Internet führen wird.
