Zwölf Stunden, bevor das jordanische Staatsfernsehen am 5. Februar 2015 vom Angriff auf die Stellungen der Terrororganisation IS in der nordsyrischen Provinz Al-Rakka berichtete, fanden israelische Cybermilitärs Einsatzpläne der jordanischen Luftwaffe auf einem versteckten und gut abgesicherten Server. Wenige Wochen zuvor hatte der ägyptische Geheimdienst Audiomitschnitte einer Strategiebesprechung von Regierungsmitarbeitern über Mittelsmänner in Istanbul erworben. Die Mitschnitte waren offenbar heimlich über infizierte Computer in einem Besprechungsraum des ägyptischen Außenministeriums gefertigt worden. Gleichzeitig hatten israelische Nachrichtendienstler eine vertrauliche Einschätzung ihrer Regierung zu den Atomgesprächen mit dem Iran im Angebot eines Nachrichtenhändlers im Darknet gefunden. Zumindest in allen westlichen Geheimdiensten setzte hektische Aktivität ein.

Waren iranische Hacker oder gar Cyberaktivisten des IS in der Lage, in Regierungscomputer und Militärnetze verschiedener Regierungen einzudringen? Die Frage hat die Nachrichtendienstler nicht ruhen lassen, bis Sicherheitsforscher nun eine Gruppe von arabischen Cyberspionen enttarnt haben, deren Aktivitäten auffällig mit den geschilderten Vorkommnissen übereinstimmen. Desert Falcons, Falken der Wüste haben die Sicherheitsforscher die Gruppe genannt, weil sie von der arabischen Halbinsel aus operierten. Der britische Sicherheitsforscher David Emm arbeitet für den russischen Antivirenhersteller Kaspersky und war an den Ermittlungen gegen die Falken der Wüste beteiligt.

"Cyberspionage steht im Mittelpunkt ihrer Tätigkeit. Das können wir von den eingesetzten Werkzeugen her schließen. Sie nutzen zwei Hintertüren, die sie komplett selbst entwickelt haben. Sie schneiden Tastatureingaben mit, sie machen Sprachaufnahmen über infizierte Computer, und sie fertigen Screenshots, sammeln also Informationen über infizierte Computer und schicken diese Daten zu ihren Kontroll- und Steuerrechnern, wo sie die Informationen zusammenführen."

Die Sicherheitsforscher haben die Cyberattacken der Falken der Wüste bis in das Jahr 2013 zurückverfolgt. IT-Sicherheitsexperten von Kaspersky fanden dabei Bruchstücke von ausführbarem Maschinencode auf den infizierten Rechnern verschiedener Behörden und Medien in Jordanien und Ägypten. Aber auch Teile von Quellprogrammen auf den Steuerungscomputern der Gruppe. Minutiös konnten sie die Kommunikation der Gruppe über mehrere Monate hinweg rekonstruieren. Die Ergebnisse beschreibt David Emm so.

"Wir glauben, dass an diesen Hackerattacken 30 Leute beteiligt sind. Sie sind in drei Gruppen aufgeteilt. Aktiv sind sie seit ungefähr zwei Jahren. Der Fokus ihrer Aktivitäten liegt darin, Informationen zu stehlen, und zwar bei einer großen Zahl von Organisationen, Militär, Regierungen, Medien. Und dort konzentrieren sie sich auf Leute, die mit Fragen der Sicherheit oder Gesundheit zu tun haben. Von diesen Organisationen und deren Mitarbeitern wollen sie Informationen, die sie später für andere Angriffe nutzen können, vielleicht auch für andere kriminelle Zwecke wie Erpressung."

Indizien deuten darauf hin, dass es sich bei den Falken der Wüste um eine Söldnertruppe handelt, die die Beute aus ihren Cyberspionageattacken meistbietend verkauft. Die Opfer sitzen in Ägypten, Israel, Jordanien und Palästina. Wir sprechen hier von Ländern, deren Regierungen nicht gerade freundliche Beziehungen zueinander unterhalten. Das könnte anzeigen, dass eher ökonomische Interessen als politische Interessen hinter den Attacken stecken. Ganz sicher sind wir da aber auch nicht."

Die Truppe ist jedenfalls hochprofessionell organisiert und setzt ausgesprochen effiziente Softwarewerkzeuge ein.

"In einigen Fällen haben sie sehr raffinierte Tricks eingesetzt, um die Schutzsoftware auszuschalten. Zum Beispiel nutzen sie eine Funktion in Unicode, mit der der Dateityp verheimlicht werden kann. So haben sie Dateien mit Bildschirmfotos als harmlos aussehende PDF-Dateien getarnt. Eine so gründliche Arbeit haben wir bei Attacken im Nahen oder Mittleren Osten nicht gesehen."

Die amerikanische National Security Agency hatte schon vor einigen Monaten vermutet, dass die IS-Terrororganisation in den Besitz geheimer Informationen von türkischen und ägyptischen Regierungsrechnern gelangt sei. Jetzt erscheint plausibel, dass die Falken der Wüste diese Informationen beschafft und weitergereicht haben. Eigentlich Alltag im Geschäft der Nachrichtendienste.