Wer am Mittwoch die Webseite der «New York Times» besuchen wollte, hatte Pech: Statt bei News und Stories landete die Anfrage im Nichts. Oder bei der Meldung, die Seite sei von der Syrischen Elektronischen Armee (SEA) gehackt worden. Auch bei Twitter wurden manche Bilder und Logos nicht mehr angezeigt, nachdem die syrischen Hacker den Pfad zu einem Bilder-Server des Kurznachrichtendienstes umgeleitet hatten.
Logins und Passwörter erschwindelt
Wie sich nun bestätigte, war dem Angriff eine sogenannte «Spear Phishing»-Attacke vorausgegangen: Die SEA hatte gezielt Mitarbeiter eines Partnerunternehmens der Internetfirma Melbourne IT angeschrieben, von denen einige die vermeintlich echten Emails beantworteten und den Hackern ihre Logins und Passwörter verrieten.
Melbourne IT verwaltet die Internetadressen der New York Times und Twitter (neben vielen anderen). Dank den Zugriffsdaten des amerikanischen Partnerunternehmens konnten die syrischen Aktivisten nun Einträge ändern, die bestimmen, von welchem Server die Webseite der New York Times geladen wird. Wer darauf «nytimes.com» ins Adressfeld seines Browsers tippte, landete statt bei der Zeitung auf einem Server der SEA.
Publikumswirksame Ziele
Damit sorgten die Assad-treuen Hacker zum wiederholten Mal in diesem Jahr für Schlagzeilen. Schon früher hatten sie mit einfachen Methoden für Aufmerksamkeit gesorgt, etwa als sie das Twitter-Konto der amerikanischen Satire-Webseite «The Onion» unter ihre Kontrolle gebracht hatten.
Zu den weiteren Zielen sollen unter anderem die BBC, Al Jazeera und die Washington Post gehört haben – angegriffen, weil sie nach Meinung der syrischen Hacker das Regime von Bashir al-Assad in einem schlechten Licht zeichnen, ohne kritisch über die Aktivitäten der syrischen Rebellen zu berichten. In allen Fällen war es in erster Linie der Bekanntheitsgrad der betroffenen Webseiten und nicht das technische Vorgehen bei den Attacken, das für Aufsehen sorgte.
Mit wenig Aufwand maximale Wirkung
Tatsächlich scheinen die Hacker der Syrischen Elektronischen Armee kaum mehr als einfache Fusstruppen im sogenannten «Cyberwar». Der Einsatz des Stuxnet-Virus' etwa, der noch 2010 iranische Atomanlagen lahmlegte, war technisch ungleich raffinierter als die Attacken der Hacker aus Syrien. Deren Übernahme fremder Twitter-Konten und Webseiten-URLs setzt eher Raffinesse bei sogenanntem «Social Engineering» denn computertechnisches Können voraus.
Aber die Syrer erzielen mit diesen einfachen Mitteln maximale Wirkung: Nachdem sie im April (wiederum dank Phishing-Attacke) das Twitter-Konto der Nachrichtenagentur Associated Press übernommen hatten, setzten sie die Falschmeldung von einer Bombenexplosion im Weissen Haus ab. Die Nachricht genügte, um den S&P-500-Aktienindex der US-Börse kurzzeitig um fast 140 Milliarden Dollar sinken zu lassen.
Stille Duldung genügt
Nach dem jüngsten Vorfall mit der New York Times und Twitter stellt sich erneut die Frage, wer hinter der Gruppe mit dem martialischen Namen steht. Der Sicherheitsexperte Brian Krebs und die Webseite Motherboard wollen die wahren Identitäten von zwei führenden Mitgliedern der Syrian Electronic Army enthüllt haben (ironischerweise dank Daten, die ihnen in die Hände fielen, nachdem die Website der SEA ihrerseits gehackt wurde). Die Syrian Electronic Army dementierte umgehend, dass die beiden Männer – die sich im Internet als Assad-Anhänger zu erkennen geben – zu ihren Reihen gehören.
Für den Cyberwar typisch lässt sich das Ausmass der Zusammenarbeit des syrischen Staates mit der SEA kaum bestimmen. Zwar gibt es Indizien für eine strategische Zusammenarbeit (die Webseiten der Gruppe etwa wurden lange von der staatsnahen Syrian Computer Society beherbergt), für ihre Arbeit ist die Syrian Electronic Army aber auf kaum mehr als die stille Duldung der syrischen Machthaber angewiesen. Phishing-Attacken wie die auf die New York Times (beziehungsweise Melbourne IT) lassen sich auch von einer kleinen Gruppe nationalistischer Hacker im Alleingang durchführen.
