Artikel-Schlagworte: „Cyberterrorismus“

Kein Cyberterrorismus (diesmal)

Samstag, 3. Dezember 2011

Die Meldung klang dramatisch: Hacker hätten Zugriff auf das Kontrollsystem eines örtlichen Wasserwerks erhalten und dort eine Pumpanlage zerstört.

Ob solche Angriffe möglich bzw. ob sie wahrscheinlich sind, mit welcher Intention sie ausgeführt werden und wie häufig dies in der Vergangenheit bereits der Fall gewesen ist, darüber wird sowohl in der akademischen Community als auch in Regierungskreisen weltweit seit vielen Jahren erbittert diskutiert.

Angriffe auf kritische Infrastruktur

Einigkeit dürfte zumindest dahingehend bestehen, dass viele Kontrollsysteme (sog. Supervisory Control and Data Acquisition Systems, kurz SCADA) inzwischen über das Internet angebunden sind. Die Gründe hierfür liegen häufig in finanziellen Einsparungen begründet, die dadurch entstehen sollen, dass die Administration von Industrieanlagen nicht mehr vor Ort, sondern zentral von einer Stelle aus durchgeführt werden kann. In anderen Fällen sitzt zwar Personal vor Ort, gewährt aber Wartungsfirmen einen Online-Zugriff, damit deren Personal nicht aufwändig (und kostenträchtig) anreisen muss, sondern die notwendigen Anpassungen aus der Ferne vornehmen kann. Wenn ein solcher Online-Zugriff grundsätzlich möglich ist, bietet er ein attraktives Ziel für Hacker, die weltweit versuchen können darauf zuzugreifen und dann nicht nur digitale Schäden anrichten, sondern, indem sie auf die Industrieanlage zugreifen können, auch ganz reale Belästigungen oder sogar Schäden anrichten können. Horror-Szenarien, die immer wieder diskutiert werden, sind z.B. der Zugriff auf elektronisch zu öffnende Schleusentore (um so, die dahinterliegenden Gegenden zu überfluten), die Veränderung lebenswichtiger Parameter in Krankenhäusern oder die Herbeiführung ferngesteuerter Unfälle von Flugzeugen, Eisenbahnen oder sogar Satelliten. Angesichts der aufgezeigten Möglichkeiten würden Angriffe auf SCADA-Systeme auch ein spannendes Ziel für (Cyber-)Terroristen abgeben. Ob derartige Angriffe tatsächlich bereits erfolgt sind, darüber kann man trefflich streiten – insbesondere, da die Angreifer in der Regel nicht verraten, warum sie ein bestimmtes Ziel angegriffen haben und welches Fernziel sie damit verfolgen wollten.

Im eingangs erwähnten Fall wurde zunächst bekannt, dass im SCADA-System der Wasserwerke in der Stadt Springfield, Illinois ein Pumpsystem dabei war, sich ständig an- und wieder abzuschalten, worauf dieses System endgültig kaputt ging. Dies klang ganz ähnlich wie der gegen iranische Zentrifugen eingesetzte Stuxnet-Virus, der durch Veränderungen der Umdrehungszahlen dafür gesorgt hatte, dass sich die Lebenserwartung der angeschlossenen Geräte drastisch verringert hatte. Nachdem ein Wasserwerk in Illinois staatliche Aktionen eher nicht provoziert haben dürfte, lagen kriminelle oder sogar terroristische Motive nahe.

Kein Cyberterrorismus…

Eine nähere Untersuchung des SCADA-Systems ergab, dass Online-Zugriffe aus Russland erfolgt waren. Das U.S.-“Statewide Terrorism and Intelligence Center” verfasste anschließend einen “Public Water District Cyber Intrusion” Report, der an die Öffentlichkeit geriet. Danach wurde der Zugriff als Hacking-Angriff gewertet. Die Meldung verbreitete sich wie ein Lauffeuer. In On- und Offlinemedien wurde spekuliert, wer aus welchen Gründen den ersten SCADA-Zwischenfall nach Stuxnet herbeigeführt haben könnte.

Zwischenzeitlich liegt die – eher profane – Auflösung des mysteriösen Zwischenfalls vor: Die Pumpe hat ihren Geist aufgegeben, wie es Pumpen nun einmal von Zeit zu Zeit tun. Ein schlichter mechanisch-elektrischer Fehler war offenbar der Grund. Und auch der Zugriff von der russischen IP-Adresse konnte aufgeklärt werden. Anders als zunächst angenommen, handelte es sich um keinen Hacker, sondern um den verantwortlichen Mitarbeiter der Wartungsfirma, der sich gerade zum Urlaub in Russland aufhielt, als er darüber informiert wurde, dass es im SCADA-System ein Problem gebe. Er wählte sich – legal und durchaus erwünscht – ein und untersuchte den Vorgang (ebenso wie später auch einmal per Mobiltelefon aus Deutschland) aus der Ferne. Da nicht bekannt war, dass er sich zum Zeitpunkt des Anrufs gerade in Russland aufhielt und sich von da aus einwählte, galt diese IP-Adresse als wichtigstes Indiz für die weitere Untersuchung des Falles. Nachdem sie in Verbindung mit dem Username des Mitarbeiters in den Logfiles auftauchte, lag die Vermutung nahe, dass ein Angreifer sich dieser Daten bemächtigt hatte, um von Russland aus auf das SCADA-System zuzugreifen. Interessanterweise kam jedoch niemand auf die Idee, einmal bei dem betreffenden Mitarbeiter nachzufragen, von wo aus er sich eingeloggt hatte oder ob es eine andere plausible Erklärung für den Login-Vorgang gab. Andernfalls hätte sich die gesamte Geschichte innerhalb von fünf Minuten aufklären können, statt diverse Strafverfolgungs- und Anti-Terrorbehörden sowie die Presse zu beschäftigen.

Interessanterweise scheinen die im “Statewide Terrorism and Intelligence Center” zusammengeschlossenen Behörden ihren Fokus bei der aktuellen Aufklärung des Falles nicht darauf zu legen, warum ein Report ohne Hinweis auf seine Vorläufigkeit der Einschätzung erfolgt ist, oder warum niemand auf die naheliegende Idee gekommen ist, den Betroffenen zu kontaktieren. Auch keine Frage scheint es zu sein, warum überhaupt ein Report zusammengestellt worden ist, nachdem sich herausgestellt hat, dass die Fehlfunktion der Pumpe mit dem SCADA-System überhaupt nichts zu tun hatte, sondern es sich offenbar um eine elektrisch-mechanische Fehlfunktion gehandelt hat. Ziel Nummer eins ist es ganz offiziell stattdessen herauszufinden, wie es sein kann, dass der Report des Centers einem Unbefugten in die Hände gefallen ist. Spätestens seit Wikileaks sollte das eigentlich nichts ganz Ungewöhnliches mehr sein…

… aber auch keine Entwarnung

Ist mit der Auflösung dieses Falles die Gefahr gebannt? Eher nicht. Der ganze Vorfall zeigt, dass auch in sensiblen Bereichen der sog. kritischen Infrastruktur Zugriffe über das Internet möglich sind. Zumindest in einigen Fällen sind SCADA-Systeme nur unzureichend gesichert und verfügen zum Beispiel über festkodierte Passwörter. Angriffe werden damit übermäßig leicht gemacht. Dies versucht offenbar auch der Hacker “Pr0f” zu beweisen, der vier Screenshots von Steuerungsanlagen veröffentlicht hat, um zu zeigen, dass auch andere SCADA-Systeme anfällig für Angriffe sind. Einige Systeme sollen von Passwörtern geschützt sein, die lediglich aus drei Zeichen bestanden, was Angreife übermäßig erleichtern würde.

Derartige Einfallstore belasten nicht nur die Unternehmen selbst oder (bei kritischer Infrastruktur) auch die Kunden bzw. die Bevölkerung, sondern sie sind auch relevant für die Verteidigung eines Staates. Cyber-Komponenten sind bei militärischen Auseinandersetzungen kaum noch wegzudenken und sind daher nicht nur für Hacker oder Terroristen, sondern auch für fremde Staaten ein interessantes Angriffsziel. Die am Donnerstag abgeschlossene deutsche länderübergreifende Krisenmanagement-Übung “LÜKEX” war aus diesem Grund auch darauf ausgerichtet, ein Angriffsszenario auf die IT-Infrastruktur zu simulieren. Wie in Deutschland auf einen derartigen Fall reagiert würde, wird allerdings erst Mitte 2012 feststehen, wenn die Auswertung der LÜKEX 2011 abgeschlossen ist. So lange wird die Auswertung der 18 Monate lang geplanten Aktion dauern.

Cyberterrorismus via Twitter?

Samstag, 10. September 2011

In Mexiko ist ein Mann wegen Terrorismusstraftaten angeklagt worden, weil er Twitter genutzt hat. In seinen Tweets hatte der Mann behauptet, es wäre zu einem Kidnapping-Fall in einer Schule gekommen und mehrere Kinder wären dabei getötet worden. Durch die Staatsanwaltschaft ist dies als terroristische Tat gewertet worden, die darauf angelegt sei Angst und Verunsicherung unter der Bevölkerung zu verbreiten. Es hätte sich unter den Eltern der Schulkinder eine Panik entwickelt und mehrere Autounfälle hätten sich dadurch ereignet bei den Versuchen, möglichst schnell die Schule zu erreichen. Dem Täter drohen nun bis zu 30 Jahre Haft.

Derartige Folgen von einzelnen Tweets sind nicht unbekannt. Gleichwohl kritisieren die Anwälte des Beschuldigten, dass durch die Anklage das Recht auf Meinungsfreiheit gefährdet sei. Die Panik der Eltern sei in erster Linie nicht den Handlungen des Mandanten geschuldet, sondern dem andauernden Krieg gegen Drogengangs. Die Bevölkerung lebe daher ohnehin bereits in einem andauernden Stadium der Unsicherheit. Die eingetretenen Folgen seien vom Mandanten nicht beabsichtigt gewesen:

There was no intent on their part to generate this situation. They simply informed, incorrectly, but they informed.

Die Staatsanwaltschaft zeigt sich hiervon bisher unbeeindruckt und kündigt an, auch gegen andere “Cyberterroristen” zu ermitteln, die bewusst die Öffentlichkeit mis- bzw. desinformieren.

Bleibt noch abzuwarten, wie das Gericht dies einschätzt. In einem anderen Fall, in dem ein Tweet hohe Wellen geschlagen hatte, war der Täter (in England) zunächst zu 1.000 Pfund Geldstrafe verurteilt worden. In der Rechtsmittelinstanz wurde das Urteil bestätigt, wodurch weitere 2.000 Pfund an Kosten entstanden.

Broadcast your Jihad

Samstag, 11. September 2010

“Broadcast your Jihad” war bereits vor mehreren Jahren das Motto eines Videos auf YouTube, das dazu aufrief, Propaganda-, Anleitungs-, und Jihad-verherrlichende Videos auf YouTube hochzuladen und sie so einer größeren Gemeinde zugänglich zu machen. Eine fünfteilige Serie des Middle East Media Research Institutes (Links abrufbar über die Homeland Security Digital Library) greift dieses Thema aktuell wieder auf.

YouTube ist insbesondere unter zwei Gesichtspunkten interessant. Zum einen ist schon aufgrund der schieren Masse an Material eine Kontrolle so gut wie unmöglich. Angeblich werden jede Minute etwa 24 Stunden an neuem Material durch die Nutzer hochgeladen und damit zum Download zur Verfügung gestellt. Bis ein Video wieder vom Netzt genommen werden kann, vergeht in der Regel genug Zeit, damit das Video in der Zwischenzeit von beliebig vielen anderen Seiten gespiegelt werden kann. Zum anderen werden die Videos nicht nur eingefleischten Hardcore-Jihadis zur Verfügung gestellt, sondern können von ganz anderen Nutzergruppen betrachtet und kommentiert werden. Dies bietet die Chance, auch neue Interessenten zu gewinnen, die sich ein Video auf YouTube anschauen, jedoch (noch) nicht bereit wären, sich zum aktuellen Zeitpunkt auf rein extremistischen Seiten zu surfen.

Dass diese Überlegungen offenbar auch die Terroristen antreiben, zeigen einige Beispiele aus dem Beitrag. Anwar Al-Awlaki hat zum Beispiel mehr als 2.500 englischsprachige Videos und Vorträge auf YouTube hinterlassen. Ob seine Anhänger Nidal Hisan (Fort Hood) oder Umar Farooq Abdulmutallab (der Weihnachtsbomber) gerade aufgrund seiner Videos ihre Taten begangen wird man nicht eindeutig klären können. Die Möglichkeit besteht aber natürlich. Auch andere Gruppen, z.B. der “Jihadi Fan Club”, der das Attentat vom 11. September 2001 verteidigt, die Taliban und viele Einzelkämpfer laden ständig neues Material hoch: vom gefilmten Anschlag über einschlägige Anleitungen bis hin zur hasserfüllten Predigt ist alles dabei. Das alte Motto “broadcast your Jihad” scheint also immer noch Gültigkeit zu haben.

Anschlag auf den Dow Jones

Dienstag, 1. Juni 2010

Als vor einigen Jahren Wissenschaftler befragt wurden, was sie für denkbare Ziele eines terroristischen Cyber-Anschlages hielten, wurden meist zunächst die üblichen Verdächtigen genannt: Flugleitsysteme, Bahnkontrollstationen, hydroelektrische Dämme, Energieversorgungsunternehmen. Bei den eher langfristig angelegten Angriffszielen kamen meist die Vergiftung von Lebensmitteln sowie ähnliche Einflüsse auf Produktionsmaschinen (z.B. Waffen- oder Medikamentenproduktion). Ebenfalls häufig genannt, aber meist kritisch hinterfragt wurden Angriffe auf die Finanzmärkte mit dem Ziel der Destabiliserung westlicher Wirtschaftsmärkt. Zu unrealistisch schien vielen diese Option.

Nach einem Bericht von Heise wurden vor fünf Jahren gerade einmal 30 Prozent der Börsenumsätze automatisiert gemacht. Heute wird der Anteil der Computerdeals an den täglich in den USA gehandelten Aktien auf rund 60 Prozent geschätzt. Mittelschnelle Fonds werden dabei nur zwei oder drei Tage gehalten, während so genannte “Hochgeschwindigkeitsfonds” innerhalb von Sekunden tausende Transaktionen durchführen können. Da diese Systeme rein mathematisch auf Angebot und Nachfrage reagieren und sich unter Umständen auch gegenseitig hochsteigern könnten, erscheinen computergestützte Angriffe auf Börsensysteme bei weitem nicht mehr so unrealistisch wie noch vor wenigen Jahren.

Hier sehen Sie (m)ein Röntgenbild

Dienstag, 1. Juni 2010

In der Vergangenheit war erkennbar, dass Terroristen sich auch für technologisch anspruchsvollere Wege interessieren, um auf Informationen und Daten zuzugreifen. Zum Beispiel waren sie in der Lage, den Videokanal von unbemannten Drohnen abzuhören, die über dem Irak flogen und die Stellungen feindlicher Kämpfer ausspionieren sollten. Das Blog Futurecrimes hat einen interessanten zweiteiligen Artikel veröffentlicht (12) über denkbare Angriffsszenarien von Terroristen auf die Röntgenmaschinen in Flughäfen, insbesondere in Form der vor einiger Zeit heftig diskutierten so genannten “Nacktscanner”.

Angedacht werden zum Beispiel Möglichkeiten, mit Hilfe von Exploits die Daten der Geräte so zu verändern, dass etwa beim Durchleuchten von Gepäckstücken Bilder von (evtl. vorher durchleuchteten) ungefährlichen Koffern angezeigt werden, während in Wirklichkeit Taschen mit Waffen oder Sprengstoff vorbeitransportiert werden. Auch Denial-of-Service-Angriffe, bei denen alle Durchleuchtungsgeräte mit Hilfe eines Zeroday Exploit abgeschaltet werden und so zu massiven Verspätungen führen, werden diskutiert.

Der Artikel legt die Finger recht deutlich auf die Sicherheitsaspekte der Röntgengeräte. Ein Bereich, der angesichts der vielfältigen Datenschutz- und Privatsphärepunkte in der öffentlichen Diskussion eindeutig zu wenig Aufmerksamkeit geschenkt wurde. Manchmal muss man hoffen, dass Terroristen einige Blogs noch nicht entdeckt haben…

Jihad auf Facebook

Dienstag, 1. Juni 2010

Die Ideologien von Terroristen werden seit langer Zeit nicht nur in abgeschotteten jihadistischen Web-Foren verbreitet, auf die lediglich eingeweihte Zugriff haben. Auch auf YouTube und anderen populären Netzwerken finden sich einschlägige Werbe-, Rechtfertigungs- und Glorifizierungsdokumente. Das FBI befürchtet nun, dass sich diese Tendenz auch auf andere populäre soziale Netzwerke, wie z.B. Facebook ausweiten könnte.

Soziale Netzwerke sind in der Lage und werden auch dazu genutzt, Gleichgesinnte zusammenzubringen, sei es für Zwecke der Radikalisierung, der Rekrutierung oder anderer terroristischer Ziele

sagt Tom Osborne, der Leiter der Counterterrorism Internet Trageting Unit (CITU) beim FBI. Zwar habe z.B. Facebook eine klare Strategie, um gegen extremistische, insbesondere gegen terroristische Inhalte vorzugehen, dennoch gebe es nach wie vor vielfältige einschlägige Angebote, z.B. die Gruppe “Jihad in the way of god”, die über 1.200 Mitglieder zähle. Die vermeintliche Anonymität und Sicherheit des Internet schüfen ein Klima, das ideal sei, um Gleichgesinnte über das Internet zu treffen.

Anschlagspläne im Internet

Mittwoch, 12. Mai 2010

Exelon, Besitzer eines Kernkraftwerk in den USA, hat seit den 9/11-Anschlägen mehr als 20 Mio. USD ausgegeben, um die Sicherheit der Anlage gegen terroristische Anschläge zu verbessern. Unter anderem wurde eine Studie erstellt, die sich mit der Evaluierung von Gefahren befasst, die durch Flugzeugabstürzen auf Kernkraftwerke entstehen können. Weitgehend unbemerkt ist diese Studie seit Juni 2008 offiziell auf der Website des U.S.-Energieministeriums abrufbar gewesen. Gegen eine Gebühr von 40 $ war sie auch über die National Technical Information Service Website erhältlich.

Erst als ein Sicherheitsconsultant im Rahmen eigener Recherchen zu möglichen Sabotage- und terroristischen Angriffsmöglichkeiten gegen Atomkraftwerke recherchierte und das Dokument fand, wurde es offline geschaltet. Nach offizieller Lesart war der Bericht “aus Versehen” online gestellt worden, um so die Öffentlichkeit besser über die wissenschaftliche Arbeit zu informieren.

Zwischen Wissenschaft und Praxis

Montag, 29. März 2010

Wie Wissenschaft und Praxis manchmal miteinander verbunden sind, musste vor kurzem Wang Jianwei erfahren. Er hatte zusammen mit seinem Professor einen Aufsatz zu einer kaskadenartigen Verwundbarkeit des U.S.-Stromversorgungsnetzes veröffentlicht (Safety Science, vol. 47 (10), S. 1332-1336). Darin beschreiben die beiden Autoren aus theoretischer Sicht mögliche Effekte einer Einflussnahme auf das U.S.-Stromnetz, die zu weiteren Folgeerscheinungen führen könnten (Domino-Effekt).

Bei einer Anhörung Anfang März vor dem House Foreign Affairs Committee zitierte ein Militärstratege eben diesen Aufsatz. Allerdings wurde dabei nicht die wissenschaftlich-theoretische Komponente in den Vordergrund gestellt, sondern der Aspekt, dass “chinesische Wissenschaftler … einen Artikel veröffentlicht haben, wie ein kleineres U.S.-Stromnetz so angegriffen werden kann, dass durch die kaskadierenden Folgen die gesamten Vereinigten Staaten in Mitleidenschaft gezogen werden”. Die Möglichkeit, dass Terroristen und ausländische Staaten ihre Cyberangriffe gegen die kritische Infrastruktur eines Landes richten, ist in der Vergangenheit immer wieder thematisiert worden.

in einem Interview betont Wang, dass es ihm nicht um den Angriff, sondern um mögliche Verwundbarkeiten und geeignete Schutzmaßnahmen gegangen sei. Sein Ziel sei es, “das Netzwerk besser abzusichern und zu schützen.” Unabhängige Wissenschaftler bestätigen dies und erläutern, dass die für einen Angriff notwendigen Informationen weder diesem noch anderen Aufsätzen in diesem Themenfeld zu entnehmen seien. Dass – in der durch den Google-Rückzug aus China – gegenwärtig angeheizten Stimmung zwischen den USA und China der Artikel ausgerechnet das amerikanische Stromnetz betrifft, kann Wang plausibel erklären: China veröffentliche keine Daten zu seinem Stromnetz, während dies in den USA der Fall sei. Zudem habe es in der Vergangenheit dort einige größere Ausfälle gegeben, so dass auch aus diesem Blickwinkel eine Beschäftigung mit dem U.S.-Netz interessant gewesen sei.

Die linke Hand und die rechte Hand

Freitag, 26. März 2010

Drei Dinge sind seit langem bekannt. Erstens, dass Terroristen und solche, die es gerne einmal werden möchten, sich im Internet in mehr oder weniger gut abgeschotteten Foren treffen, um über Pläne und Ansichten zu diskutieren. Zweitens, dass einige Nachrichtendienste selber solche Kommunikationsplattformen im Internet anbieten, um besser verfolgen zu können, welche Themen momentan in der Szene diskutiert werden. Drittens, dass – zumindest in einigen Ländern – die Doktrin verfolgt wird, dass unerwünschte Webseiten gewaltsam geschlossen werden – selbst für den Fall, dass diese sich in einem anderen Land befinden. Eher selten wird jedoch bekannt, dass sich diese drei Entwicklungen auch in die Quere kommen können.

Die Washington Post berichtete vor kurzem über einen Fall, der sich bereits im Jahr 2008 zugetragen hatte, offenbar aber erst jetzt an die Öffentlichkeit gedrungen ist. Der Saudische Nachrichtendienst hatte offenbar zusammen mit der amerikanischen CIA ein Webforum als Honeypot aufgesetzt, um Informationen zu sammeln und ggf. Anschläge rechtzeitig aufdecken und vereiteln zu können. Um welche Seite es sich dabei gehandelt haben könnte, wird inzwischen an anderer Stelle diskutiert. Das U.S. Militär war allerdings zwischenzeitlich offenbar zu der Ansicht gelangt, dass Extremisten das Forum für Anschläge gegen amerikanische Truppen im Irak nutzten. Militärspezialisten schalteten daher mit einem Cyberangriff das Forum gegen den Widerspruch der CIA ab. Die saudischen Verbünden sollen hierüber nicht gerade erfreut gewesen sein…

In diesem Zusammenhang stellt sich vor allem die Frage, wie zwischen nachrichtendienstlichen Ermittlungen einerseits und (militärischen) Verteidigungsaktivitäten andererseits zu unterscheiden ist, um derartige Konflikte vermeiden zu können. In den U.S.A. gibt es jedenfalls nach der Darstellung der Washington Post bislang noch keine klaren Richtlinien für derartige Einsätze. Ein namentlich nicht näher benannter Mitarbeiter einer amerikanischen Anti-Terrorismusbehörde bringt die Auswirkungen, der Aktion jedenfalls schon einmal klar auf den Punkt:

Die CIA war der Auffassung, dass nachrichtendienstliche Informationen verlorengehen würden, was sie dann auch taten; dass die Beziehungen zu kooperierenden anderen Diensten beschädigt werden würden, was dann auch der Fall war; und dass die Terroristen zu anderen Webforen weiterziehen würden, was auch geschah.

Neben diesen Schäden wird als ein zentrales Argument gegen die Zerstörung von Internetangeboten mit Hilfe von Cyberangriffen (insbesondere auf fremden Territorium) häufig vorgebracht, dass die über das eigentliche Ziel hinausgehenden Auswirkungen kaum abzuschätzen sind. Die Estland-Angriffe von 2007, bei denen zunächst von einem staatlich gelenkten Angriff russischen Ursprungs ausgegangen wurde, die sich später als haltlos erwiesen, sind hierfür ein gutes Beispiel. Auch der Angriff auf das Forum blieb nicht ohne Folgen: mehr als 300 Server in Saudi-Arabien, Deutschland und Texas sollen durch den Angriff betroffen worden sein. Es stellt sich daher die Frage, ob derartige Angriffe zukünftig noch Sinn machen und tatsächlich in einem nationalen Alleingang durchgeführt werden können, statt in einer abgestimmten internationalen Aktion.

JihadJane angeklagt

Mittwoch, 10. März 2010

Colleen R. LaRose, die unter den Pseudonymen “JihadJane” und “Fatima LaRose” agiert hat, ist nach einem aktuellen Bericht in Pennsylvania wegen Verschwörung und anderer Straftaten angeklagt worden. Ihr wird vorgeworfen, auf YouTube ihre Hilfe für terroristische Anschläge angeboten zu haben. Sie habe dabei ihre blonden Haare und blauen Augen als gute Möglichkeit hervorgehoben, in Menschenmengen unauffällig zu agieren. Ein bislang noch nicht angeklagter Täter habe sie aufgefordert nach Schweden zu reisen und dort eine bestimmte Person zu töten. LaRose soll darauf geantwortet haben “Ich werde dies solange zu meinem Ziel machen, bis ich es entweder geschafft habe oder daran zugrundegegangen bin.” Weiterhin soll sie mit mindestens fünf weiteren Personen korrespondiert haben, um sie als Terroristen zu rekrutieren.

Obwohl die Identität des betreffenden Opfers nicht in den Gerichtsunterlagen erwähnt wird, scheint es sich um Lars Vilks zu handeln, einen Cartoonisten, der u.a. mit seinen Mohammed-Karikaturen in die öffentliche Kritik geraten ist. Ihr droht im Falle der Verurteilung eine lebenslange Gefängnisstrafe sowie eine Geldstrafe von bis zu einer Millionen U.S.-Dollar.