Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Gotteskrieger online

Dunkle Absichten
Wer den internationalen Terrorismus bekämpfen will, muss verstehen, welche Werkzeuge und Techniken er im Cyberraum nutzt. (Quelle: Trend Micro)

Wer seinen Feind besiegen will, muss ihn kennen. Der internationale Terrorismus von heute ist wesentlich auf seine Präsenz im Cyberraum angewiesen. Wer ihn also bekämpfen will, muss verstehen, welche Werkzeuge und Techniken er nutzt. Meine Kollegen vom Forward-Looking-Threat-Research-Team haben deshalb untersucht, wo es Gemeinsamkeiten, aber auch Unterschiede zwischen „gewöhnlichen“ Cyberkriminellen und Online-Terroristen gibt. Eine der wichtigsten Erkenntnisse: Die Professionalität ist bei beiden Gruppen mittlerweile gleich hoch und steigt weiter. So entwickeln die Online-Terroristen vermehrt eigene Tools, um einerseits vor Enttarnung und Verfolgung geschützt zu bleiben, andererseits ihre Aktivitäten im Geheimen zu koordinieren und darüber hinaus ihre Propaganda weiter effektiv zu verbreiten.

 

Auch wenn Online-Terroristen im Gegensatz zu Cyberkriminellen und -spionen im Internet und auf sozialen Kanälen Wert auf eine möglichst hohe Sichtbarkeit legen, nutzen sie Verschlüsselungs- sowie Anonymisierungsdienste und -werkzeuge, um nicht lokalisiert und gefasst zu werden. Dazu zählen natürlich Tor für den anonymen Webzugang, Cloudfare zur Verschleierung von Webadressen, SIGAINT, Ruggedinbox und Mail2Tor als sichere Maildienste, aber auch die Instant-Messaging-Dienste Wickr, Surespot, Signal, Threema und Telegram, wobei Letzterer bei den Online-Terroristen mit 34 Prozent Nutzungsquote der absolute Favorit zu sein scheint. Zum sicheren Dateiaustausch wiederum verwenden sie etwa top4top.net, Sendspace und SecureDrop. Soweit entspricht das einem Verhalten, das man auch von Cyberkriminellen und -spionen erwarten würde.

 

Demgegenüber gibt es aber auch Abweichungen. Diese spiegeln die Entwicklung wider, dass sich Online-Terroristen anscheinend besser als noch vor ein paar Jahren im Internet verstecken müssen. Aus diesem Grund greifen sie verstärkt auf eigenentwickelte Werkzeuge zurück. Offenbar steht diese Entwicklung mit dem größeren Fahndungsdruck und -erfolg in Zusammenhang, den die Ermittlungsbehörden international auf die cyberkriminelle Szene ausüben. Die Verhaftungen und Verurteilungen der letzten Zeit sprechen hier für sich.

 

„Geheimnisse der Mudschahedin“

Zu den wichtigsten Spezialwerkzeugen, die insbesondere islamistisch motivierte Terroristen nutzen, zählen:

 

  • Mojahedeen Secrets: Hierbei handelt es sich um eine als „professionell“ geltende Verschlüsselungsanwendung für E-Mail-Kommunikation, die seit 2007 verfügbar ist und offenbar als Alternative zu PGP 2 entwickelt wurde.

 

  • Tashfeer al-Jawwal: Diese Anwendung wurde 2013 von der Global Islamic Media Front (GIMF) entwickelt und veröffentlicht. Als Verschlüsselungs-App dient sie der Sicherung von Mobiltelefonen, einem der wichtigen Kommunikationsmittel von Terroristen.

 

  • Asrar al-Dardashah: Damit lassen sich auf Knopfdruck „instant messages“ verschlüsseln und über die IM-Anwendung Pidgin verschicken.

 

  • Amn al-Mujahed: Diese seit 2013 verfügbare und immer noch weiterentwickelte Software verschlüsselt Nachrichten für verschiedene Plattformen, für E-Mail, SMS und Instant Messaging. Autor ist das Al-Fajr Technical Committee (ATC).

 

  • Alemarah: Diese Android-App dient der Verbreitung von Nachrichten zu Terroranschlägen. Die Nutzer erhalten Nachrichten-Feeds, Websites und Kalendereinträge, die Informationen zu laufenden Terroroperationen enthalten.

 

  • Amaq v 1.1: Auch diese Android-App dient der Propaganda, mit dem Unterschied, dass sich in der aktuellen Version 2.1 problemlos die URL ändern lässt, unter der die App gehostet wird. Auch wenn eine Website vom Netz genommen wird, bricht folglich die Kommunikation nicht gänzlich ab, sondern wird nur vorübergehend unterbrochen – eine auch bei Cyberkriminellen beliebte Taktik.

 

  • DDOS Tool: Hierbei handelt es sich offenbar um das Werk eines Sympathisanten einer bestimmten Terrorgruppe. Sie erlaubt begrenzte Denial-of-Service-Attacken per SYN-Flood-Technik.

 

Auch wenn Terroristen eigenentwickelte Werkzeuge benutzen, decken sich doch die verwendeten Techniken wie etwa Verschlüsselung oder DoS-Angriffe. Die Hauptunterschiede zu Cyberkriminellen liegen also auch weiterhin auf der Ebene der Motive und ihres Verhältnisses zu Propaganda. Das macht die Arbeit der Ermittler freilich nicht einfacher. Denn je mehr technische Fortschritte Online-Gangster und -Spione machen, desto mehr ist damit zu rechnen, dass sich auch die Terroristen im Netz diese Entwicklungen zunutze machen werden – ob nun in Form eigenentwickelter Werkzeuge oder nicht. Aber zu wissen, welche Tools und Techniken sie nutzen, ist sicher der erste Schritt in die richtige Richtung.

 

Siehe auch:

http://blog.trendmicro.de/der-lange-arm-des-gesetzes-mehrere-cyberkriminelle-hinter-gitter/

http://www.trendmicro.de/media/wp/dunkle-absichten-online-whitepaper-de.pdf

Zurück