Das sind die Hacker, die hinter dem großen Leak aktueller Netflix-Serien stecken

Nachdem Netflix sich anscheinend geweigert hatte, ein Lösegeld zu zahlen, veröffentlichte ein Hacker oder eine Gruppe von Hackern in der letzten Woche neue Folgen von Orange is the New Black. Der oder die Hacker, die sich unter dem Namen "The Dark Overloard" zu Wort melden, drohen inzwischen auch, weitere Serien wie New Girl oder The Catch zu veröffentlichen – und das ist nur die Spitze des Eisbergs. Längst hat sich The Dark Overloard mit einer Reihe großangelegter Hacks etabliert, bei denen meist zahlreiche Sätze sensibler Firmen- und Personaldaten ergattertet wurden.

Fast ein Jahr lang haben Motherboard und eine Handvoll anderer Journalisten den Werdegang von The Dark Overlord mitverfolgt. Dabei konnten wir beobachten, wie sich die Gruppe von ihren ersten Versuchen, die Medien für ihre Erpressungsversuche zu instrumentalisieren, zu einem skrupellosen Unternehmen, das im Stile der organisierten Kriminalität vorgeht, entwickelt hat – auch wenn bis heute unklar bleibt, welchen finanziellen Erfolg die Hacks der Gruppe einbrachten.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter

Zum ersten Mal trat The Dark Overlord im vergangenen Juni auf den Plan, als der oder die Hacker Hunderttausende vermeintliche Datensätze unterschiedlicher US-Gesundheitseinrichtungen im Darknet zum Verkauf anboten. Doch The Dark Overlord waren gar nicht daran interessiert, die Datensätze tatsächlich zu verkaufen – vielmehr verlangten sie von jedem der (zu diesem Zeitpunkt unbenannten) gehackten Unternehmen ein Lösegeld.

"Da ist nur ein kleiner Preis im Vergleich zu dem Schaden, den die Unternehmen nehmen werden, wenn ich die Opfer öffentlich bekannt mache", erklärte ein Mitglied der Hackergruppe damals gegenüber Motherboard.

Anfangs schien sich The Dark Overlord ganz auf den Gesundheitssektor zu konzentrieren: Kurz nach dem ersten Hack legten sie mit weiteren 9 Millionen vermeintlichen Versichertendaten nach. Wenige Monate später nahm die Gruppe die orthopädische Klinik Peachtree aus Atlanta ins Visier. Die Gruppe hackte außerdem ein Tech-Unternehmen, das Software für Gesundheitsdienstleister entwickelt, und machte auch vor einem Krebshilfe-Zentrum im US-Bundesstaat Indiana nicht halt. Ihre Vorgehensweise war immer dieselbe: Sie versuchten, Journalisten mit Informationen über die Datenleaks zu ködern, um ihre Erpressungsopfer durch die Berichterstattung weiter unter Druck zu setzen.

"Werdet ihr dazu was veröffentlichen?", fragte The Dark Overlord gleich zu Begin einer Nachricht an Motherboard im Bezug auf einen der jüngeren Hacks. Um die Chancen auf mediale Aufmerksamkeit zu erhöhen, nahmen die Hacker außerdem gezielt prominente Persönlichkeiten ins Visier. So enthielten die gehackten Daten aus der Peachtree-Klinik angeblich auch Informationen zu Profisportlern der Baseballmannschaft Atlanta Braves und des Baketballteams Atlanta Hawks. Außerdem behauptete die Gruppe, die Krankenakten mehrerer prominenter Persönlichkeiten gestohlen zu haben, darunter angeblich auch Mark F. Giuliano, der stellvertretende Direktor des FBI.

In einem Bericht der Polizeibehörde Atlanta heißt es, dass mehrere Peachtree-Patienten nach dem Hack zum Ziel von Betrugsversuchen wurden, beispielsweise durch gefälschte Kreditkartenanträge.

Obwohl The Dark Overlord weiterhin medizinische Einrichtungen ins Visier nahm, weitete die Gruppe ihren Fokus zunehmend auch auf andere Unternehmen aus. Im November behaupteten die Hacker, Personal- und Firmendaten von dem Klebstoffhersteller Gorilla Glue gestohlen zu haben und veröffentlichten Probedatensätze, die sie angeblich von einem US-Verteidigungsunternehmen gestohlen hatten.

"Wir betreiben seit einer Weile aktiv Industriespionage", behauptete ein Mitglied der Gruppe im selben Monat in einer Nachricht. "Konkurrenten sind an diesen Datenlecks ebenso interessiert wie staatliche Auftraggeber."

Laut einer beeidigten Erklärung des FBI-Agenten Ronnie O. Buentello hatte sich The Dark Overlord bis Ende März zu 15 großen Hacks bekannt. Das Dokument wurde von Motherboard veröffentlicht, bevor es nachträglich für nicht-öffentlich erklärt wurde. Der Angriff auf die Postproduktionsfirma Larson Studios, der zu dem jüngsten Erpressungsversuch von Netflix führte, taucht in dieser Liste noch nicht auf.

Je nachdem, mit wem die Gruppe gerade kommuniziert, präsentiert sich The Dark Overlord wahlweise als Spaßvogel, abgebrühter Gangster oder berechnender Profi. In ihren Pastebin-Posts und Tweets nimmt The Dark Overlord geradezu eine Superman-Persona an: "Ich bin der Erste und der Letzte und der Lebendige. Ich war tot, und siehe, ich bin lebendig von Ewigkeit zu Ewigkeit und habe die Schlüssel des Todes und der Hölle", tweetete die Gruppe im Oktober und zitiert damit mal eben die Bibel (Offenbarung 1:18), bevor sie einen weiteren Datenhack bekanntgibt.

Wenn die Hacker ihre Opfer direkt kontaktieren, wählen sie offenbar einen weltlicheren Ansatz: "Sag deiner Mutter und deinem Vater, dass wir all ihre Forschungs- und Entwicklungsunterlagen haben und dass wir ihre Firma zerstören werden, wenn sie nicht mit uns kooperieren", ist in einer Textnachricht zu lesen, die die Hacker angeblich an ein Kind ihrer Opfer schickten.

In anderen Fällen haben die Hacker ihren Opfern offenbar ausführliche Vertragsdokumente vorgesetzt, in denen ihre Lösegeldforderungen und die Verpflichtungen beider Parteien aufgelistet waren. In dem vermeintlichen Vertragsdokument, das Motherboard vorliegt, werden Bitcoin, PGP-Verschlüsselung und eine Frist für die Zahlung des Lösegelds aufgeführt. (Zum Zeitpunkt der Veröffentlichung wurde jedoch noch keine Summe an die angegebene Bitcoin-Adresse gesendet.)

Es ist nach wie vor unklar, ob es sich bei The Dark Overlord um eine Einzelperson oder eine Gruppe handelt. In den Nachrichten, die Motherboard über einen Zeitraum von mehreren Monaten erhielt, variierten Schreibstil und Ausdrucksweise stark. Eine Person, die über den verschlüsselten Chat-Account von The Dark Overlord kommunizierte, behauptete, dass mehrere Leute Zugang zu dem Konto hätten.

In einem Darknet-Forum erklärte ein Cyberkrimineller mit dem Namen "Crafty Cockney", dass The Dark Overlord aus drei Mitgliedern bestehe, die zwischen 20 und 40 Jahren alt seien und über einen "Mischung aus Intelligenz, Strategie, Humor und Alkohol" verfügten.

Crafty Cockney postete außerdem eine Audio-Aufnahme, die anscheinend einen Erpressungsanruf von The Dark Overlord an ein Opfer aufzeichnet.

In welchem Verhältnis Crafty Cockney zu The Dark Overlord steht, ist nicht ganz klar. Der Gründer von DataBreaches.net, Dissent Doe, hat beide Hacker genau verfolgt. Er erklärte gegenüber Motherboard, dass es definitiv eine Verbindung zwischen beiden gäbe. Ein Mann, der angeblich den Namen Crafty Cockney verwendete, wurde im vergangenen Jahr verhaftet, nachdem er versuchte, die gehackten Fotos eines Mitgliedes der britischen Königsfamilie zu verkaufen.

Das FBI ermittelt im Fall The Dark Overlord weiter und nimmt dabei sogar einen Sicherheitsforscher unter die Lupe, der mit der Hackergruppe zu tun hatte. Es sieht jedoch nicht so aus, als ob sich The Dark Overlord davon beeindrucken lässt: "Es wird langsam Zeit für die nächste Runde", tweetete die Gruppe am Montag.