FBI jagte "Bombenleger" mit Hilfe eines Trojaners

Ein Schüler einer High-School im US-Bundesstaat Washington muss nach einem Urteil in dieser Woche für 90 Tage in eine Jugendvollzugsanstalt, nachdem er sich schuldig bekannt hatte, über das Internet Bombendrohungen gegen seine ehemalige Schule ausgesprochen zu haben.

Die US-Bundespolizei hatte ihn zuvor mit Hilfe eines Trojaners ausfindig gemacht. Der junge Mann hatte sich unter Angabe falscher Daten bei Googles Webmailer Gmail angemeldet und diesen genutzt, um Bombendrohungen gegen die Timberline High School in Lacey, Washington zu verschicken.

Die Schule musste deshalb in einer Woche im Juni an mehreren Tagen evakuiert werden. In seinen E-Mails hatte der Autor der Bombendrohungen mehrfach behauptet, einen Computer in Italien zu verwenden und den Ermittlungsbehörden vorgeworfen, unfähig zu sein, ihn aufzuspüren.

Die bei der Registrierung der E-Mail-Adresse bei Gmail genutzte IP-Adresse stammte tatsächlich aus Italien. Außerdem hatte der Schüler einen Rechner des italienischen Nationalinstituts für Nuklearphysik unter seine Kontrolle gebracht, um Bombendrohungen in einem Internet-Forum zu veröffentlichen.


Um dem Verfasser der Drohungen auf die Schliche zu kommen, nutzte das FBI erstmals ein Programm namens CIPAV (Computer and Internet Protocol Address Verifier), wobei es sich um eine Art Spyware bzw. trojanisches Pferd handelt. Das Programm wurde dem Jugendlichen offenbar geschickt untergejubelt.

Da die Software IP-Adressen sowie Datum und Uhrzeit aufzeichnen kann, wenn Daten verschickt werden, war es den Behörden in der Folge ein Leichtes, den jungen Mann trotz seiner Versuche anonym zu bleiben dingfest zu machen. Wie genau die Software auf den Rechner des Verdächtigen gelangte, wurde nicht bekannt.

Es handelt es sich hierbei um den ersten Fall dieser Art, der an die Öffentlichkeit gelangt ist, bei dem Spyware zum Einsatz kam, ohne dass sich die Behörden zuvor physische Zugriff auf das jeweilige Ziel verschafft haben. CIPAV ist offenbar in der Lage Sicherheitssoftware zu umgehen.

Das Programm überträgt nicht nur verbindungsbezogene Daten, sondern kann nach Angaben des FBI auch genutzt werden, um Daten aus der Registrierungsdatenbank eines Windows-Rechners auszulesen und den Typ des Betriebssystems zu ermitteln. Außerdem sammelt die Software Informationen zum derzeit angemeldeten Benutzer und zu den zuletzt aufgerufenen Internetseiten.

Offenbar gelang es dem FBI mit CIPAV die von dem Verdächtigen genutzten Sicherheitsprogramme und ähnliches zu umschiffen. Daher stellt sich die Frage, ob die US-Behörden nicht möglicherweise Druck auf die Hersteller von Sicherheitssoftware ausgeübt haben, damit diese ihren "Ermittlungswerkzeugen" ein Schlupfloch bieten.