GCHQ greift über gefakte Webseiten an

Der britische Geheimdienst GCHQ verschafft sich mit gefälschten Webseiten, unter anderem vom Netzwerk LinkedIn, Zugang zu Rechnern seiner Zielpersonen. Wie ihr euch sicher noch erinnern könnt, arbeitet der britische Geheimdienst ja völlig Gesetzeskonform, das Fälschen von Webseiten ist demnach auch völlig okay.

Dem Bericht zufolge attackierte der britische Geheimdienst gezielt die Rechnersysteme von Unternehmen, die im internationalen Mobilfunkgeschäft als Dienstleister für andere Anbieter fungieren – etwa Abrechnungsunternehmen wie Mach, über die viele Mobilfunkanbieter ihre Roaminggeschäfte abwickeln.

Offenbar interessieren sich die Geheimdienste ganz besonders für die Mobilfunkdaten der Mobilfunkkunden, die neben der Rufnummer natürlich auch die Verbindungsdaten und Bankverbindung beinhalten.

Für seine Attacken habe das GCHQ eine Methode namens "Quantum Insert" genutzt, um sich tief in die Firmennetze vorzuarbeiten. Der Geheimdienst habe sich so Detailwissen über das Unternehmen Mach, seine Kommunikationsinfrastruktur, sein Geschäft und diverse Schlüsselpersonen verschafft, heißt es demnach in einem als "streng geheim" eingestuften GCHQ-Papier.

Da frage ich mich allerdings, was die Administratoren in so einem Unternehmen eigentlich den ganzen Tag treiben? Wäre es nicht ihre Aufgabe gewesen, die Mitarbeiter in ihrem Unternehmen vor solchen Attacken zu schützen, oder besser, zu schulen, damit sie gefakte Webseiten erkennen können? Wahrscheinlich standen in den betroffenen Unternehmen Belgacom und der Organisation Opec den Geheimdiensten Tür und Tor offen, denn wenn die Admins nicht geschlafen hätten, wäre es den Geheimdiensten nicht gelungen, die Rechner zu infiltrieren.

Quantum Insert, kurz "QI", ist ein Mann-in-the-Middle-Angriff, bei dem eine Zielperson auf einen anderen oder über einen Computer dazwischen umgeleitet wird. Je nachdem welche Software gerade auf dem Zielcomputer läuft, ist es natürlich relativ einfach über bekannte Sicherheitslücken zusätzlichen Code zur Ausführung zu bringen.