Zugegeben, es hört sich nach einer ausgemachten Verschwörungstheorie an. Doch ein Team von Wissenschaftlern aus Toronto hat offenbar herausgefunden, dass die ägyptische Regierung Krypto-Mining auf Kosten ihrer Bürger betreibt.

In einem 30-seitigen Bericht beschreibt das Team von Wissenschaftlern, dass die Internetverbindung von Nutzern in Syrien und in der Türkei durch Spyware infiziert worden ist. Dazu haben die Angreifer Geräte verwendet, die die Browser mit Mining-Scripts infizieren und auf Affiliate-Links umleiten. In weiteren Untersuchungen fand Citizen Lab heraus, dass die ägyptische Regierung dieselben Geräte benutzte, um Zensur zu betreiben. Daraus schließen sie, dass die ägyptische Regierung auch das Mining betreibt. Doch eins nach dem anderen.

Schadsoftware in der Türkei – Spyware bei Windowsprodukten

Die Schadsoftware, die die Computer infizierte, war an Downloads von offiziellen Windows-Anwendungen geheftet, die sich über Seiten wie Avast Antivirus, CCleaner, Opera und 7-Zip einschlichen. Die Software leitete die Anfragen der Nutzer auf schädliche Versionen um. Diese enthielten letztlich Spyware. Laut Bericht ähnelte die Spyware der Strong Pity Software, die die Betreiber nur an Staaten herausgeben. Dabei setzten die Angreifer sogenannte Middleboxes ein, die die Angriffe möglich machten.

Ägypten – Zensur, Spyware und Krypto-Mining

Ähnliche Middleboxen fand Citizen Lab in Ägypten im Netz von Telecom Egypt. Die Middleboxen leiteten die Anfragen von Internetnutzern auf Affiliate Ads und Scripts für Krypto-Mining um. Die Wissenschaftler verglichen die Middleboxen mit Geräten von Sandvine PacketLogic, einem US-amerikanischen Hersteller von Überwachungs- und Monitoring-Tools. Sie kamen zu dem Ergebnis, dass die Eigenschaften der US-amerikanischen Software den verwendeten Middleboxen entsprechen.

Die ägyptische Regierung verwendete die Software wiederum zur Zensur. Ins Visier der Software vielen vor allem Webseiten wie Humans Right Watch, Reporter ohne Grenzen, Al Jazeera, Mada Masr und HuffPost Arabic. In der Türkei blockierte die Regierung damit Wikipedia, die Homepage der Dutch Broadcast Foundation und die der PKK.

Die Recherche von Citizen Lab

Citizen Lab bestellte sich ein gebrauchtes PacketLogic-Gerät und überprüfte damit ihre Vermutungen. So glichen sie die Spuren der verschiedenen Angriffe ab und kamen zu dem Ergebnis, dass es sich um dieselben Geräte handeln muss.

Ägypten war im Bericht von Reporter ohne Grenzen im Jahr 2017 auf Platz 161 von 180 im Press Freedom Index gelandet. Nach zahlreichen Restriktionen, Verhaftungen von Journalisten, Einschränkungen der Pressefreiheit und Korruptionsberichten, sicherte sich die Regierung rechtlich ab.

Im Jahr 2003 brachte die Regierung ein Gesetz an den Start, dass sich mit der „Regulierung von Telekommunikation“ befasste. Demnach sprach man dem Militär die Erlaubnis zu, ihre „Macht innerhalb des Gesetzes“ ausüben zu dürfen und „Telekommunikationsservices zur Verschlüsselung“ ohne weitere Erlaubnis anzuwenden. Artikel 73 desselben Gesetzes verbietet es Anbietern von Telekommunikation, dagegen einzuschreiten.

Ausspähen von Bürgern durch AdHose

Aufgrund ihrer Recherchen suchte das Forscherteam letztlich nach Spyware in Ägypten und fand heraus, dass ein System namens AdHose aktiv ist. Dieses betreibt Mining, indem über Middleboxen die Internetverbindung von Nutzern angezapft wird. Citizen Lab geht nun davon aus, dass die Software dazu über Sandvine-PacketLogic-Geräte infiziert worden ist.

Das Team verfolgte letztendlich den digitalen Fingerabdruck der Geräte und fand heraus, dass er einem Programm gleicht, das 2016 dafür verwendet worden ist, Nutzer zu identifizieren und zu infizieren, die bestimmte pornografische Websites besucht haben. Dieses Programm war Teil der Zensuransätze der Regierung in Ägypten.

Indem CitizenLab letztendlich alle infizierten Websites überprüften, stellten sie fest, dass dasselbe Gerät, über das AdHose lief, verantwortlich für die Internetzensur war. Daraus schließt CitizenLab, dass es auch derselbe Betreiber sein muss – die ägyptische Regierung.

Es waren also dieselben Geräte, mit denen die Regierung Internetzensur betrieb und wegen denen Betroffene unfreiwillig Krypto-Mining betreiben.

Stimmt das alles?

Das Citizenlab aus Toronto besteht aus einem interdisziplinären Team von Wissenschaftlern. Sie kommen hauptsächlich aus der Politikwissenschaft, Informatik und Arealwissenschaften. Die zitierte Studie entstand in Zusammenarbeit mit dem Center for Long Term Cybersecurity der University of Berkeley und wird von verschiedenen Stiftungen unterstützt. Darunter fallen die Ford Foundation, die MacArthur Foundation und die Oak Foundation.

Die Studie scheint insgesamt gründlich recherchiert zu sein. Auch das Team von Wissenschaftlern rund um CitizenLab kommt aus renommierten Universitäten. Daher sieht alles danach aus, dass die Daten verlässlich sind. Allerdings können sie die letzte Verbindung zwischen den Geräten und der ägyptischen Regierung nicht beweisen, auch wenn alles dafür spricht.

Ob es stimmt oder nicht: Wir bleiben dran.

BTC-ECHO