[Brisant] DSS: US-Behörde verfolgt VPN-Traffic mit gekauften Netflow-Daten

ziesell · 28.09.23, 08:35

Zitat:

DSS: US-Behörde verfolgt VPN-Traffic mit gekauften Netflow-Daten

Regulär bezieht die US-Spionageabwehr solche Daten von der NSA, doch die liefert für eine effektive Verfolgung Krimineller wohl zu langsam.

Die US-amerikanische Spionageabwehrbehörde Defense Security Service (DSS), die inzwischen auch als Defense Counterintelligence and Security Agency (DCSA) bekannt ist, hat offenbar über mehrere Jahre hinweg sogenannte Netflow-Daten von einer Tochtergesellschaft des privaten Unternehmens Team Cymru gekauft, um die Aktivitäten cyberkrimineller Akteure in VPNs zu verfolgen. Das geht aus einem Bericht von 404 Media hervor, dessen Autor Joseph Cox die Information aus nach dem Freedom of Information Act (FOIA) angeforderten Unterlagen bezieht.

Üblich ist es demnach, die für die Verfolgung von Kriminellen, "die Angriffe planen, Insider-Bedrohungen darstellen, Geld waschen, Systeme kompromittieren oder Möglichkeiten zur Ausnutzung von Schwachstellen diskutieren", erforderlichen Daten von der NSA zu beziehen.

Eine Anfrage an die US-Sicherheitsbehörde dauere dem DSS aber zu lange – die NSA benötige oftmals "Tage", um die angeforderten Informationen bereitzustellen, während ein privater Auftragnehmer wie Team Cymru die gleichen Daten sofort liefern könne. "Je mehr Zeit vergeht, desto größer ist das Schadenspotenzial für das DSS und die beauftragten Unternehmen", rechtfertigt die Behörde ihre Entscheidung bezüglich des Erwerbs der Daten.

Team Cymru handelt mit Netflow-Daten

Bei Team Cymru handelt es sich um ein Cybersicherheitsunternehmen, das Beziehungen zu Internetdienstanbietern (ISP) pflegt, um Zugriff auf Netflow-Daten zu erhalten. Anhand dieser Daten ist laut Cox etwa erkennbar, welche Server im Internet miteinander kommuniziert haben. Ferner ließen diese Verbindungsdaten, die normalerweise nur den Serverbetreibern oder den ISPs zugänglich seien, zu einem gewissen Grad auch Rückschlüsse auf Aktivitäten in VPNs zu, schreibt er.

"Team Cymru zapft einen Teil des Internets an, der für die meisten Menschen unsichtbar, aber für sein Funktionieren entscheidend ist, sammelt diese Daten und verkauft dann den Zugang an die Privatwirtschaft und an Regierungsstellen", erklärt Cox bezüglich der Tätigkeit des Unternehmens. Das für den Zugriff auf die Netflow-Daten vorgesehene Hauptprodukt von Team Cymru werde unter dem Namen Augury vermarktet.

Der DSS sieht nur eine deutlich teurere Alternative

Als einzige Alternative zu Augury sieht der DSS laut Cox die Platzierung von Sensoren in der ganzen Welt, um solche Daten selbst zu sammeln. Ein solches Vorhaben koste jedoch "wesentlich mehr" als die Inanspruchnahme der Dienste von Team Cymru, so Cox. Das Unternehmen verfüge mit weltweit über 550 Erfassungspunkten längst über die nötige Infrastruktur – verteilt auf Europa, den Nahen Osten, Nord- und Südamerika, Afrika und Asien. Jeden Tag werde der Datenbestand um 100 Milliarden neue Datensätze erweitert.

Der Handel mit diesen Daten sei zwar unter Sicherheitsexperten eine Art offenes Geheimnis, jedoch mache er "einige in der Branche auch nervös, da sie befürchten, dass diese Daten in die falschen Hände geraten könnten."

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]