Hector Xavier Monsegur. Illustration von Clark Stoeckley
Nur wenige Wochen nachdem Hector Xavier Monsegur, auch bekannt unter dem Online-Pseudonuym „Sabu", als Informant beim FBI zu arbeiten begann, leitete er einen Cyberangriff auf einen IT-Subunternehmer der amerikanischen Bundespolizei. Im Juli 2011 nutzen Mitglieder von AntiSec, einem Seitenspross von Anonymous, die geklauten Login-Daten eines Mitarbeiters mit höchstem Sicherheitszugang, der beim Subunternehmer ManTech International angestellt war.Über einen Zeitraum von einigen Monaten wurden mehrere FBI-Auftragnehmer Opfer von Anonymous FFF-Angriffen, darunter InfraGard, Unveillance und Edwards Snowdens ehemaliger Arbeitgeber Booz Allen Hamilton. Mittlerweile ist es drei Jahre her, dass über 400 Megabyte an Akten im Auftrag des FBI gestohlen wurden. Akten, die die Zusammenarbeit der Firma mit der NATO beschreiben. Dieser Artikel dokumentiert zum ersten Mal die führende Rolle des FBI bei diesem Angriff.Motherboard liegen die Chatlogs vor, die Monsegur im Auftrag des FBI aufgenommen hat. Aus den Logs geht hervor, dass der Informant Hacker angewiesen hatte, so viele Daten wie möglich von ManTechs Servern zu stehlen. Die geklauten Daten wurden als dritter Teil von AntiSecs „Fuck FBI Friday"-Kampagne veröffentlicht, um dasselbe FBI zu beschämen, dass diese und andere Hacks selbst angestiftet hatte.ManTech betreute zu dieser Zeit mehrere Zweige der US-Regierung, darunter das Pentagon DHS und die NSA, und auch einer der beliebtesten Subunternehmer des FBI. Die Firma hatte nur wenige Monate zuvor zwei Fünfjahresverträge vom FBI gewonnen, mit einem Gesamtwert von über 79 Millionen Dollar.
Nachdem Monsegur am 7. Juni 2011 festgenommen worden war, begann er umgehend für das FBI seine eigenen Leute zu ködern, um einer drohenden 124 Jahre langen Haftstrafe zu entgehen. Die Angriffe gegen ManTech wurden acht Wochen später bekannt.Monsegur erfuhr am 17. Juli 2011 von einem Hacker mit dem Alias „LulzSupport", dass er es geschafft hatte, in die Server von ManTech einzubrechen. Monsegur loggte sich im IRC-Chat ein (wird von Anonymous häufig verwendet) und begann, wie mit dem FBI abgesprochen, seine Gespräche zu speichern:„ManTech ist eine NATO IT-Firma in den USA" schrieb LulzSupport an Monsegur während er das System der Firma durchforstete. Dann schickte er zwei Email-Addressen, die eines NSA-Mitarbeiters und die eines Mitarbeiters bei HBGary Federal, und enthüllte, dass beide bei ManTech bekannt waren.22:50 Moment mal!
22:50 Hast du mantech geownt ??? [Hacker-Sprech: ownen = einbrechen/überlisten]LulzSec bestätigte das, und, dass er auch Dateien mit den Login-Daten eines Mitarbeiters entwendet habe. Dann deutete er an, dass es möglich wäre, mit anderen Nutzerdaten in weitere ManTech-Server einzubrechen. „Heilige Scheiße, das ist genau das, was wir brauchen", antwortete Monsegur ohne Denkpause.23:39 Bruder, wechsel mal auf unseren privaten Kanal
23:39 Damit wir das hier starten könnenInnerhalb einer Stunde hatte Monsegur LulzSupport rekrutiert und einer Hand voll befreundeter Hacker vorgestellt. Zusammen verwandelten sie den Einbruch bei ManTech in einen großangelegten Angriff. Im eigens dafür angelegten Chat-Kanal „babytech" schrieb LulzSupport seinen neuen Kameraden.LulzSupport: "Von dieser Arbeitsstation aus haben wir Zugriff auf die Dateiserver mit privaten und geheimen Daten über Natomitarbeiter, NATO Gebäude, Projekte in Afghanistan [sic] etc. etc." LulzSupport schickte Monsegur, und bald darauf auch den anderen Hacktivisten, die "vollständige Liste der Mitarbeiter und deren Aufgaben".Monsegur leitete den Hack über die nächsten Tage und am 29. Juli wurden schließlich die ergatterten Dokumente als Vergeltung gegen den „Sicherheitsindustriellen Komplex" veröffentlicht. Was die weiteren Chatlogs eindeutig belegen ist, dass Monsegur LulzSupport und die andere Hacker dazu anfeuerte, den Angriff eskalieren zu lassen.„Wie ihr wisst ist ManTech wichtig für uns" schrieb er in einer Session.„Greift soviel ab wie möglich!" forderte er in eine in einer privaten Session mit einem der Hacker… speichert so viele Dateien wie ihr könnt, ManTech ist immerhin eine Sicherheitsfirma!"00:34 wenn die uns bemerken und wir nichts mitgenommen haben
00:34 sind wir schwulEr bot der Gruppe eine „Unix Reverse Shell" an, „die wir nutzen um Unix Web Server zu ownen":
Er dirigierte ander Hacker ihre spezifischen Fähigkeiten einzusetzen um ManTech anzugreifen:
Er forderte LulzSupport und andere ohne Unterlass auf in gesicherte Rechner einzubrechen und geheime Daten zu teilen:
Er forderte LulzSupport auf, die gestohlenen Dateien hochzuladen:15:41 <@Sabu> Ich gebe dir persönlichen Zugang
15:41 <@Sabu> sftp-Zugang
15:41 <@Sabu> Kannst du anfangen da ManTech-Dokumente reinzuwerfen?Monsegur vefolgte die Operation Schritt für Schritt:00:23 <@Sabu> Hast du gerade Zugang zum Dateisystem mit allen Dateien?
00:23 <@Sabu> Können wir zwei Prozesse haben mit denen wir speerfischen?
00:23 <@Sabu> Während wir die Dokumente runterladen?17:05 <@Sabu> Kannst du ein sicheres RDP aufsetzen, dass LulzSupport als Reverse Shell nutzen kann?
17:05 <@Sabu> Wo er seine Ziele hinschicken kann?Und er ging so weit, Aktionen vorzschlagen, die an internationale Spionage grenzen:
Ab dem Moment an dem LulzSupport Monsegur über den Bruch informierte bis zum Tag an dem er AntiSec Hackers spezielle Aufgaben stellte, traf er sich regelmäßig mit FBI-Agenten um seine Logs mit ihnen durchzugehen. Nicht nur hatten die Strafverfolger Zugang zu allen seinen Konversationen, sie gaben auch zu Protokoll, Monsegur routinemässig über seine Online-Akivitäen interviewt zu haben. Sogar seine Wohnung wurde kontinuierlich videoüberwacht.In einem anderen Fall erlaubte diese enge Überwachung, acht Hacker festzunehmen. Die „außergewönliche Zusammenarbeit" in mehr als einem Dutzend Fälle mit den Strafverfolgungsbehörden wurde in der Begründung von Monsegurs Urteil vom letzten Monat stark betont.Bis heute wurde vom FBI, trotz dieser klaren Straftat gegen eine Bundesbehörde, die der Behörde wahrscheinlich spätestens nach der Veröffentlichung der Dateien Mitte 2011 bekannt war, kein Untersuchungsverfahren eingeleitet. Eine Vertretung des FBI verweigerte gegenüber Motherboard wiedeholt Stellung zu dieser Enthüllung zu nehmen.
ManTech stand für eine ausführliche Stellungnahme zum Ablauf dieses Angriffs, und der folgenden Talfahrt ihrer Aktie (die sich bis heute nicht erholt hat), nicht zur Verfügung. Mehrere Anfragen von Motherboard blieben bis heute unbeantwortet.In einer Pressemitteilung erwähnt die Firma den Angriff nur um mehrere Ecken im Versuch ihre Kunden zu beruhigen:Sechs Monate nach dem Angriff auf ManTech arbeite Monsegur an einem anderem Tipp und gab Informationen an einen Hacker der später als Jeremy Hammond identifiziert wurde, damit der Strategic Forecasting angreifen konnte. Hammond ist 29 Jahre alt und sitzt derzeit eine 10jährige Haftstrafe ab. Sein Verurteilung ruht in erster Linie auf den Informationen die Monsegur in Form von Chatlogs und Interviews zur Verfüfung gestellt hatte.Folge Daniel Stuckey und Andrew Blake auf Twitter.
Anzeige
Angriff auf ManTech
Anzeige
22:50 Hast du mantech geownt ??? [Hacker-Sprech: ownen = einbrechen/überlisten]LulzSec bestätigte das, und, dass er auch Dateien mit den Login-Daten eines Mitarbeiters entwendet habe. Dann deutete er an, dass es möglich wäre, mit anderen Nutzerdaten in weitere ManTech-Server einzubrechen. „Heilige Scheiße, das ist genau das, was wir brauchen", antwortete Monsegur ohne Denkpause.23:39 Bruder, wechsel mal auf unseren privaten Kanal
23:39 Damit wir das hier starten könnenInnerhalb einer Stunde hatte Monsegur LulzSupport rekrutiert und einer Hand voll befreundeter Hacker vorgestellt. Zusammen verwandelten sie den Einbruch bei ManTech in einen großangelegten Angriff. Im eigens dafür angelegten Chat-Kanal „babytech" schrieb LulzSupport seinen neuen Kameraden.LulzSupport: "Von dieser Arbeitsstation aus haben wir Zugriff auf die Dateiserver mit privaten und geheimen Daten über Natomitarbeiter, NATO Gebäude, Projekte in Afghanistan [sic] etc. etc." LulzSupport schickte Monsegur, und bald darauf auch den anderen Hacktivisten, die "vollständige Liste der Mitarbeiter und deren Aufgaben".
Anzeige
00:34 sind wir schwulEr bot der Gruppe eine „Unix Reverse Shell" an, „die wir nutzen um Unix Web Server zu ownen":
15:41 <@Sabu> sftp-Zugang
15:41 <@Sabu> Kannst du anfangen da ManTech-Dokumente reinzuwerfen?Monsegur vefolgte die Operation Schritt für Schritt:00:23 <@Sabu> Hast du gerade Zugang zum Dateisystem mit allen Dateien?
00:23 <@Sabu> Können wir zwei Prozesse haben mit denen wir speerfischen?
00:23 <@Sabu> Während wir die Dokumente runterladen?
Anzeige
17:05 <@Sabu> Wo er seine Ziele hinschicken kann?Und er ging so weit, Aktionen vorzschlagen, die an internationale Spionage grenzen:
Monsegurs Austausch mit dem FBI
Reaktion von ManTech