Die Suche des FBI nach „Mo“, einem Verdächtigen bei Bombendrohungen, zeigt den Einsatz von Malware zur Überwachung auf

Der Mann, der sich „Mo“ nannte, hatte dunkle Haare, einen ausländischen Akzent und – wenn man den Bildern, die er per E-Mail an die Bundesermittler schickte, Glauben schenken darf – eine iranische Militäruniform. Als er letztes Jahr eine Reihe von Drohungen aussprach, Bomben an Universitäten und Flughäfen in weiten Teilen der Vereinigten Staaten zu zünden, musste die Polizei jedes Mal auf die Straße gehen.

Mo blieb monatelang schwer fassbar und kommunizierte per E-Mail, Video-Chat und einem internetbasierten Telefondienst, ohne seine wahre Identität oder seinen Aufenthaltsort preiszugeben, wie Gerichtsdokumente zeigen. Da kein Haus durchsucht oder ein Telefon angezapft werden musste, wandten sich die Ermittler einer neuen Art von Überwachungstool zu, das über das Internet bereitgestellt wurde.

Das Elite-Hacker-Team des FBI entwarf eine bösartige Software, die laut den Dokumenten von jedem Computer auf der Welt heimlich ausgeliefert werden sollte, wenn Mo sich bei seinem Yahoo-E-Mail-Konto anmeldete. Das Ziel der Software war es, eine Reihe von Informationen zu sammeln – von ihm besuchte Websites und Hinweise auf den Standort des Computers –, die es den Ermittlern ermöglichen, Mo zu finden und ihn mit den Bombendrohungen in Verbindung zu bringen.

Solche High-Tech-Suchwerkzeuge, die das FBI „Netzwerk-Ermittlungstechniken“ nennt, wurden verwendet, wenn die Behörden Schwierigkeiten haben, Verdächtige aufzuspüren, die ihre Spuren online verwischen können. Die leistungsstärkste FBI-Überwachungssoftware kann heimlich Dateien, Fotos und gespeicherte E-Mails herunterladen oder sogar Echtzeitbilder sammeln, indem sie mit Computern verbundene Kameras aktiviert, sagen Gerichtsdokumente und Personen, die mit dieser Technologie vertraut sind.

Die Online-Überwachung verschiebt die Grenzen der Verfassungsgrenzen bei Durchsuchungen und Beschlagnahmen, indem sie ein breites Spektrum an Informationen sammelt, einige davon ohne direkten Bezug zu einer Straftat. Kritiker vergleichen es mit einer physischen Durchsuchung, bei der der gesamte Inhalt einer Wohnung beschlagnahmt wird, nicht nur die Gegenstände, die im Verdacht stehen, eine bestimmte Straftat zu belegen.

Ein Bundesrichter in Denver genehmigte letztes Jahr das Senden von Überwachungssoftware an Mos Computer. Nicht alle derartigen Anfragen werden von den Gerichten begrüßt: Ein FBI-Plan, einem Verdächtigen in einem anderen Fall Überwachungssoftware zu schicken – einer, bei dem die eingebaute Computerkamera eines Verdächtigen aktiviert wurde – wurde von einem Bundesrichter in Houston abgelehnt, der entschied, dass es sei „extrem aufdringlich“ und könnte gegen den vierten Zusatzartikel verstoßen.

„Man kann nicht einfach auf einen Angelausflug gehen“, sagte Laura K. Donohue, Rechtsprofessorin an der Georgetown University, die drei aktuelle Gerichtsurteile über FBI-Überwachungssoftware überprüfte, darunter eines, das Mo betrifft. „Es muss eine Verbindung zwischen dem Verbrechen geben vorgeworfen werden und das Material beschlagnahmt werden soll. Aber was sie hier tun, ist, alles zu sammeln.“

Das FBI und das Justizministerium lehnten es ab, sich zu dem Fall oder den Überwachungstechniken, die bei der Verfolgung von Mo eingesetzt wurden, zu äußern.

Aber Gerichtsdokumente im Zusammenhang mit der Untersuchung, die erstellt wurden, als das FBI einen Durchsuchungsbefehl beantragte, bevor es die Überwachungssoftware über das Internet an Mo schickte, haben einen seltenen Einblick in die Tools des Büros zur Verfolgung von Verdächtigen durch eine Online-Landschaft voller Versteckmöglichkeiten geboten.

Der Fall zeigt auch die Grenzen der Überwachungssoftware, die nicht zu Mos Verhaftung geführt haben, und die rechtliche Komplexität, die entsteht, wenn der Aufenthaltsort eines Opfers unbekannt ist.

'Der Verdächtige könnte sich auf der Straße oder auf der anderen Seite des Planeten befinden', sagte Jason M. Weinstein, ein ehemaliger stellvertretender Generalstaatsanwalt in der Kriminalabteilung des Justizministeriums, der jetzt Partner bei Steptoe & Johnson ist. Er sagte, er habe keine direkten Kenntnisse über die Ermittlungen gegen Mo. Der Fall wirft jedoch 'die umfassendere Frage auf, ob die jetzt bestehenden Regeln ausreichen, um das Problem anzugehen.'

Mysteriöser Anrufer

Der erste bekannte Anruf von Mo kam im Juli 2012, zwei Tage nachdem ein unruhiger Mann mit gefärbten orangefarbenen Haaren in einem Kino im Denver-Vorort Aurora, Colorado, 12 Menschen erschossen hatte, zeigen Gerichtsdokumente. Mo teilte dem dortigen Büro des Bezirkssheriffs mit, dass er ein Freund des mutmaßlichen Mörders sei und wollte, dass er freigelassen wird. Wenn der Sheriff sich weigerte, sagte Mo, würde er ein Gebäude voller potenzieller Opfer in die Luft jagen.

Mo und ein stellvertretender Sheriff telefonierten schließlich drei Stunden lang, während sie die meiste Zeit auch per E-Mail kommunizierten. Dadurch hatten die Ermittler mehrere Hinweise, darunter eine Telefonnummer und eine Arbeitsadresse bei Gmail, dem webbasierten E-Mail-Dienst von Google.

Doch Mos wahre Identität blieb ein Rätsel. Es stellte sich heraus, dass es sich bei der Nummer um Google Voice handelte, einen internetbasierten Dienst, mit dem Benutzer von ihrem Computer aus telefonieren können. Als die Behörden Google in einem Notfall um Informationen aus seinem Konto bei dem Unternehmen ersuchten, erfuhren sie, dass Mo ein Online-Tool namens „virtueller Proxy“ verwendet hatte, um identifizierende Informationen über den von ihm verwendeten Computer zu verschleiern. Der für das Google-Konto registrierte Name lautete 'Soozan vf'.

Es gab keinen offensichtlichen Hinweis auf den Iran, obwohl eine Reihe von Bildern, die Mo später per E-Mail an die Ermittler schickte, einen olivfarbenen Mann Ende 20 zu zeigen schienen, der in Gerichtsdokumenten eine 'iranisch-braun getarnte Militäruniform' trug.

Über mehrere Monate soll Mo gedroht haben, Bomben in einem Bezirksgefängnis, einem DoubleTree-Hotel, der University of Denver, der University of Texas, dem San Antonio International Airport, dem Washington-Dulles International Airport, der Virginia Commonwealth University und anderen stark genutzten öffentlichen Einrichtungen in der ganzen Welt zu zünden das Land zeigen Gerichtsdokumente.

Obwohl nie Bomben gefunden wurden, begann Mo während seiner Drohungen, eine ominöse neue E-Mail-Adresse zu verwenden: „[email protected]“. Er gab den Ermittlern auch einen plausiblen vollständigen Namen für sich selbst – Mohammed Arian Far – dessen Initialen ungefähr zu einem Namen passten, den er bei der Registrierung seines Google-Kontos verwendet hatte: „mmmmaaaaffff“.

Die Kontoinformationen, die nach der Genehmigung eines Durchsuchungsbefehls im September 2012 gesammelt wurden, enthielten einen Geburtstag, der darauf hindeutete, dass Mo 27 Jahre alt war, was den Schätzungen der Ermittler auf der Grundlage der Bilder entsprach, die er ihnen geschickt hatte. Auf dem Feld für das Land stand „Iran“. Die Computer-IP-Adresse, die Mo verwendet hatte, als er sich 2009 für das Konto angemeldet hatte, deutete darauf hin, dass er sich zu diesem Zeitpunkt in der Hauptstadt Teheran befand. Aber es war nicht klar, wo in der Stadt er lebte oder ob er noch dort war.

Phishing für einen Verdächtigen

Das FBI-Team arbeitet ähnlich wie andere Hacker und nutzt Sicherheitsschwächen in Computerprogrammen, um die Kontrolle über die Maschinen der Benutzer zu erlangen. Der gebräuchlichste Übermittlungsmechanismus, sagen Leute, die mit der Technologie vertraut sind, ist ein einfacher Phishing-Angriff – ein Link, der sich in eine E-Mail eingeschlichen hat und in der Regel irreführend gekennzeichnet ist.

Wenn der Benutzer auf den Link klickt, stellt er eine Verbindung zu einem Computer in den FBI-Büros in Quantico, Virginia, her und lädt die bösartige Software herunter, die oft als 'Malware' bezeichnet wird, weil sie heimlich arbeitet, typischerweise um den Besitzer eines Computers auszuspionieren oder anderweitig auszunutzen. Wie bei einigen traditionellen Durchsuchungen werden Personen in der Regel erst benachrichtigt, nachdem Beweise aus ihrem Eigentum gesammelt wurden.

„Wir sind in eine Welt übergegangen, in der die Strafverfolgungsbehörden sich in die Computer der Menschen hacken, und wir hatten noch nie eine öffentliche Debatte“, sagte Christopher Soghoian, leitender Technologe der American Civil Liberties Union. 'Richter müssen diese Befugnisse im Laufe der Zeit nachholen.'

Ehemalige US-Beamte sagen, das FBI setze die Technik sparsam ein, zum Teil, um öffentliche Hinweise auf seine Online-Überwachungstools auf ein Minimum zu beschränken. Dort war Berichterstattung über sie im Jahr 2007, als Wired berichtete, dass das FBI Überwachungssoftware an den Besitzer eines MySpace-Kontos geschickt hatte, das mit Bombendrohungen gegen eine High School im US-Bundesstaat Washington in Verbindung stand.

Das FBI ist seit mehreren Jahren in der Lage, die Kamera eines Computers heimlich zu aktivieren – ohne das Licht auszulösen, das die Benutzer darüber informiert, dass es aufzeichnet – und hat diese Technik hauptsächlich in Terrorismusfällen oder bei den schwersten kriminellen Ermittlungen eingesetzt, sagte Marcus Thomas, ehemaliger Assistent Direktor der operativen Technologieabteilung des FBI in Quantico, jetzt im Beirat von Subsentio, einer Firma, die Telekommunikationsanbieter bei der Einhaltung der Abhörgesetze des Bundes unterstützt.

Die Technologie des FBI schreitet weiter voran, da sich die Benutzer von traditionellen Computern entfernen und mehr wissen, wie sie ihren Standort und ihre Identität verschleiern. „Aufgrund der Verschlüsselung und weil Ziele zunehmend mobile Geräte verwenden, erkennen die Strafverfolgungsbehörden, dass sie sich immer mehr auf dem Gerät oder in der Cloud befinden müssen“, sagte Thomas mit Bezug auf Remote-Speicherdienste. „Es gibt die Erkenntnis, dass sie diese Art von Tools immer häufiger verwenden müssen.“

Die Möglichkeit, Video-Feeds aus der Ferne zu aktivieren, war eines der Probleme, die in einem Fall in Houston angeführt wurden, in dem der Bundesrichter Stephen W. Smith im April einen Antrag auf einen Durchsuchungsbefehl des FBI ablehnte. In diesem Fall zuerst berichtet vom Wall Street Journal , entschied Smith, dass der Einsatz einer solchen Technologie in einem Fall von Bankbetrug „extrem aufdringlich“ sei und das Risiko birgt, versehentlich Informationen von Personen zu erfassen, die nicht unter dem Verdacht einer Straftat stehen.

Smith sagte auch, dass ein in Texas ansässiges Amtsgericht nicht zuständig sei, um eine Durchsuchung eines Computers zu genehmigen, dessen Standort unbekannt war. Er schrieb, dass eine solche Überwachungssoftware die Grenzen des Vierten Zusatzartikels für ungerechtfertigte Durchsuchungen und Beschlagnahmen verletzen könnte.

Ein weiterer Bundesrichter in Austin genehmigte den Antrag des FBI, eine „einmalige begrenzte Durchsuchung“ durchzuführen – ohne die Kamera des Computers –, indem er im Dezember 2012 Überwachungssoftware an das E-Mail-Konto eines Bundesflüchtlings schickte.

In diesem Fall hatten die Ermittler Beweise dafür, dass der Mann, der angeblich die Identität eines im Irak dienenden Soldaten angenommen hatte, in einem Hotel in San Antonio lebte, nur mehr als eine Autostunde von Austin entfernt. Die Überwachungssoftware des FBI lieferte ein detailliertes Inventar des Computers des Flüchtigen, einschließlich der verwendeten Chips, des Speicherplatzes auf seiner Festplatte und einer Liste von Dutzenden von darauf geladenen Programmen. Später wurde er festgenommen, verurteilt und wegen Finanzbetrugs und Identitätsdiebstahls zu fünf Jahren Gefängnis verurteilt.

„Die Technologie entwickelt sich weiter, und die Strafverfolgungsbehörden haben Mühe, Schritt zu halten“, sagte Brian L. Owsley, ein Bundesrichter im Ruhestand aus Texas, der in beiden Fällen nicht beteiligt war. 'Es ist ein Katz-und-Maus-Spiel.'

Immer noch suchend

Obwohl die Ermittler vermuteten, dass Mo sich im Iran aufhielt, erschwerte die Unsicherheit über seine Identität und seinen Aufenthaltsort den Fall. Hätte sich herausgestellt, dass er ein US-Bürger oder ein im Land lebender Ausländer war, hätte eine Durchsuchung ohne Haftbefehl seine strafrechtliche Verfolgung gefährden können.

Bundesrichterin Kathleen M. Tafoya genehmigte am 11. Dezember 2012, fast fünf Monate nach dem ersten Drohanruf von Mo, den Antrag auf Durchsuchungsbefehl des FBI. Der Befehl gab dem FBI zwei Wochen Zeit, um zu versuchen, die an texan.slayer gesendete Überwachungssoftware zu aktivieren @yahoo.com-E-Mail-Adresse. Alles, was die Ermittler anscheinend brauchten, war, dass Mo sich bei seinem Konto anmeldete, und die Software würde fast augenblicklich damit beginnen, Informationen an Quantico zu melden.

Die logistischen Hürden erwiesen sich als noch komplexer als die rechtlichen. Die erste Anfrage eines Durchsuchungsbefehls hat die Yahoo-E-Mail-Adresse von Mo verpfuscht, einen einzelnen Brief verwechselt und die Einreichung eines korrigierten Antrags veranlasst. Ein Software-Update eines Programms, auf das die Überwachungssoftware abzielen wollte, ließ unterdessen Befürchtungen einer Fehlfunktion aufkommen und zwang das FBI, seine bösartige Software zu überarbeiten, bevor es sie an Mos Computer schickte.

Der Haftbefehl autorisiert einen „Internet-Weblink“, der die Überwachungssoftware auf Mos Computer herunterlädt, wenn er sich bei seinem Yahoo-Konto anmeldet. (Yahoo gab auf Nachfrage der Washington Post eine Erklärung ab, in der es hieß, dass sie keine Kenntnis von dem Fall habe und in keiner Weise behilflich sei.)

Tie Überwachungssoftware wurde am 14. Dezember 2012 – drei Tage nach Ausstellung des Haftbefehls – über das Internet gesendet, aber das Programm des FBI funktionierte laut einem im Februar eingereichten Gerichtsdokument nicht richtigry,

„Das Programm, das in dem an [email protected] gesendeten Link versteckt ist, wurde nie wie geplant ausgeführt“, berichtete ein Bundesagent in einer handschriftlichen Notiz an das Gericht.

Mos Computer habe jedoch eine Informationsanfrage an den FBI-Computer gesendet und dabei zwei neue IP-Adressen preisgegeben. Beide schlugen vor, dass Mo sich im Dezember letzten Jahres noch in Teheran aufhielt.

Julie Tate hat zu diesem Bericht beigetragen.