Schadsoftware und Hacking-Tools gehören längst zum Standardrepertoire der Polizei, wenn es darum geht, Verdächtige im Darknet zu enttarnen. Meist nehmen die Ermittler bei technischen Polizeiaktionen zahlreiche Verdächtige auf einmal ins Visier. Doch nun zeigt ein neuer Fall aus den USA, dass die Ermittler manchmal auch gegen einzelne Verdächtige mit technischen Maßnahmen gezielt vorgehen. Um einen Täter zu überführen, der sexuell explizite Bilder von Minderjährigen erpresste, wandten die FBI-Ermittler einen ganz besonderen Trick an: Sie sendeten dem Verdächtigen ein entsprechend präpariertes Video, dass seine IP-Adresse abgriff.
Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter
Videos by VICE
Am vergangenen Montag erhob die US-Staatsanwaltschaft Anklage gegen einen 26-jährigen Kalifornier. Der Mann wird beschuldigt, unter dem Nutzernamen “Brian Kil” mehrere Mädchen sexuell ausgebeutet zu haben. Außerdem soll er in mindestens zwei Fällen mit dem Zünden von Sprengsätzen an Schulen im US-Bundesstaat Indiana gedroht haben.
So terrorisierte der Sex-Erpresser seine Opfer
Seit 2015 soll Brian Kil über Soziale Netzwerke und E-Mails mit einer Reihe minderjähriger weiblicher Opfer Kontakt aufgenommen und sie sexuell erpresst haben, heißt es in der Anklageschrift. Einige der Mädchen sahen sich dazu genötigt, Kil explizite Foto- und Videoaufnahmen zu schicken. Weigerten sich die Opfer, seinen Forderungen weiter nachzukommen, drohte Kil damit, Bilder von ihnen zu veröffentlichen oder sogar einen Amoklauf an den Schulen seiner Opfer zu begehen.
Normalerweise können Ermittler IP-Adressen bei begründetem Verdacht auf eine Straftat zurückverfolgen. Dazu fordern sie den jeweiligen Anbieter mit einem richterlichen Beschluss auf, die Nutzerdaten hinter der IP-Adresse herauszugeben. Da Kil sich auf Seiten wie Facebook jedoch hinter anonymen Proxys oder dem Tor-Netzwerk versteckte, hatten die Ermittler auch keine IP-Adresse in der Hand, die sie zurückverfolgen konnten.
“Deine Zeit läuft ab. Du dachtest, die Polizei würde mich finden, aber das hat sie nicht. Sie hat keine Ahnung”, schrieb Kil einem seiner Opfer. Da die Belästigung, die Drohungen und die Veröffentlichung von sexuell expliziten Bildern nicht aufhörten, hielt die Polizei im Januar sogar eine Gemeindeversammlung an der Plainfield High School ab, gegen die Kil eine Drohung ausgesprochen hatte. Angeblich zwang Kil eines seiner Opfer damals, die Veranstaltung zu besuchen und ihm davon zu berichten, heißt es in der Anklage.
Mit diesem Hack kam das FBI an die IP-Adresse
Am 9. Juni 2017 bewilligte die Richterin Debra McVicker Lynch den Einsatz einer sogenannten Network Investigative Technique (NIT). So bezeichnet das FBI den Einsatz von Schadsoftware, Exploits und Hacking-Methoden. Ziel der Maßnahme war es, Kils echte IP-Adresse zu ermitteln.
Durch den richterlichen Beschluss durfte das FBI zusätzlichen Code an eine Video-Datei anhängen, die eines der Opfer erstellt hatte. Anschließend gab sich ein FBI-Agent als das Opfer aus und schickte die präparierte Datei per Dropbox an Kil.
“Die Datei lädt jetzt. Hast du sie erhalten?”, heißt es in einer der Nachrichten von dem Undercover-FBI-Agenten an Kil. Die Textnachrichten sind in der Klageschrift enthalten, ebenso wie der Hinweis, dass das präparierte Video keine expliziten Darstellungen von Minderjährigen enthielt.
Der Klageschrift zufolge war der Hacking-Trick des FBI ein voller Erfolg. “Als Kil das Video mit dem NIT auf dem Computer öffnete, übermittelte uns das NIT die echte IP-Adresse von Kils Computer”, heißt es im Dokument.
Mit Hilfe der IP-Adresse konnten die Ermittler einen richterlichen Beschluss erwirken und erhielten Kils physische Adresse vom Netzbetreiber. Die Ermittler überwachten die Kommunikation der IP-Adresse und stellten unter anderem fest, dass über die Adresse ein Foto der Amokläufer von Columbine geöffnet worden war. Dasselbe Foto hatte Kil 2015 verwendet, um der Schule in Plainfield zu drohen. Durch die Beschattung von Kils Wohnung konnten die Ermittler bestätigen, dass der Angeklagte immer anwesend war, wenn Tor-Services in seiner Wohnung verwendet wurden.
Ebenfalls auf Motherboard: Wie ein Google-Treffer einen Waffenhändler lahm legte
Was diesen FBI-Hack so besonders macht
In letzter Zeit gab es einige Fälle, in denen das FBI mit gezielten Hacking-Tricks verdächtige Personen ins Visier nahm. Im Mai berichtete Forbes über eine Ermittlung, in der das FBI eine sehr ähnliche Methode verwendet hatte. Damals nutzten sie jedoch ein Word Dokument statt einer Video-Datei.
Diese Einsätze stehen in starkem Kontrast zu der Vorgehensweise, mit der das FBI normalerweise Schadsoftware einsetzt. Motherboard berichtete im November beispielsweise darüber, dass das FBI einen Tor-Browser-Exploit nutzte um 8.000 Computer in 120 verschiedenen Ländern zu hacken.
Die Überführung des mutmaßlichen Sex-Erpressers bedeutet nicht, dass das Tor-Netzwerk generell unsicher ist. Der Fall beweist jedoch ein weiteres Mal, dass sich auch im Darknet Einzelpersonen durch hochentwickelte oder unorthodoxe Methoden gezielt enttarnen lassen.