FM4-Logo

jetzt live:

Aktueller Musiktitel:

Julian Assange

AFP

Erich Möchel

Nach den Handbüchern publiziert WikiLeaks nun die CIA-Programme

Zum Auftakt der neuen Serie wurde ein weitgehend ausprogrammiertes, komplettes Programmset der CIA samt Quellcode für ein verdecktes Servernetz zum Abtransport ausspionierter Daten zum Download freigegeben.

von Erich Möchel

Nach der Publikation von zwei Dutzend detaillierten Manuals und Beschreibungen von Schadsoftware der CIA im Frühjahr, hat WikLeaks nun mit der Veröffentlichung der Programme selbst begonnen. Exploits und Angriffscodes sind laut Julian Assange davon explizit ausgenommen. Dafür veröffentlichte er zur Premiere gleich ein ganzes Programmset für ein verdecktes Servernetz der CIA zum Abtransport gestohlener Daten.

Dass auch der Quellcode beiliegt. ist ein schwerer Schlag für die CIA, denn dieser Code verrät nicht nur alle Funktionen im Detail, sondern auch die „Handschrift“ der CIA-Programmierer. Dabei werden mit einiger Sicherheit auch Verbindungen zu anderen, derzeit nicht zuordenbaren Angriffen der jüngeren Vergangenheit zutage kommen. Der Code dieser Programme wurde CIA-intern drei Jahre lang entwickelt.

Screenshot

CC0

Das HIVE-Projektentstammt der „Embedded Development Branch“ der CIA. Wie aus der beigelegten Liste mit den technischen Änderungen und den Handbüchern zu entnehmen ist, wurde die Malware-Suite seit November 2012 entwickelt und hatte es 2015 bereits zu Version 2.9.1 gebracht. Obwohl gerade solche Suites im Vergleich zu anderer Schadsoftware äußerst langlebig sind, weil sie nicht unmittelbar am Angriff selbst beteiligt sind, kann die Suite von der CIA nun nicht mehr eingesetzt werden.

Die erste Tranche der Wikileaks-Veröffentlichungen von Manuals zeigte im März erstmals auf, dass auch die CIA über eine mittlerweile tausende Mitarbeiter umfassende Abteilung für Schadsoftware verfügt.

Der Bienenstock der CIA

Was da geleakt wurde, Nennt sich „Hive“ (Bienenstock) ist eine erst 2015 programmierte Programmsuite für ein Command-Control-Netz (C/C) mit ausgesprochen solider Tarnung. Damit können Trojaner und andere im Jargon der US-Geheimdienste allgemein „Implants“ (Implantate) genannten Programme in fremden Netzen gesteuert werden.

Vor allem aber dient ein Set-Up wie „Hive“ dazu, gestohlene Daten unauffällig abzutransportieren. Das geschieht, indem ein Trojaner mit einem der „Virtual Private Server“ Kontakt aufnimmt, der Abtransport der Daten ist verschlüsselt.Dieser Server gibt die Daten dann an einen von mehreren Proxy-Servern weiter, die den Datenstrom aus den „Implants“ dann an einen Management-Gateway weiterleiten, hinter dem dann der diensthabende CIA-Operator sitzt.

Screenshot

CC0

Schema der Funktionsweise von Hive: Grün sind die Implants in fremden Netzen, weinrot die verdeckten VPN-Server, die beiden Proxy-Server zur Umleitung (blau) routen den Verkehr aller Implants mit einer Software namens „Blot 4.0“ zu einem Sammelserver (Honeycomb) weiter, „normale“ Anfragen Unbeteiligter werden auf die Pseudo-Zielwebsite umgeleitet. Die Sicherheitstechniker in den angegriffenen Netzen sehen nur diese unverdächtige Route.

Die Tarnmechanismen der CIA

Dieses Anfang Mai geleakte Tool - das einzige von Assange publizierte CIA-Programm - zur versteckten Markierung von Dokumenten zeigt, dass es CIA-intern bis März 2016 offenbar keine besonders effizienten Sicherheitsmaßnahmen gegen Leaker gab. Scribbles 1.0 im FM4-Test

Als Tarnung funktioniert eine beliebig ausgewählte Firmen- oder Nachrichtenwebsite, auf die auch allfällige andere Anfragen aus einem Zielnetz geleitet werden. Ein Sicherheitstechniker des angegriffenen Netzes sieht an seiner Firewall nur einen verschlüsselten Https-Datenstrom der auf eine unverfängliche Firmenwebsite geht. Die im VPN-Tunnel mitreisenden Daten der Implants sieht der Firewall-Techniker natürlich nicht und ebensowenig, dass dieser Verkehr später „abbiegt“ und ganz woanders endet, nämlich bei einem Operator der CIA. „Hive“ kann mehrere Trojaner gleichzeitig steuern, eignet sich also etwa für eine Spionageaktion gegen ein großes Unternehmen oder eine ganze Behörde. Solche getarnten Command-Control-Netze gehören zur Grundausstattung jeder Cybertruppe, denn damit wird jede größere offensive Operation gesteuert.

Screenshot

CC0

„Kapazitäten für Cyberspionage bei gemischten Operationen“ bedeutet höchstwahrscheinlich, dass es in diese Operationen nicht allein um Spionage geht. Die CIA ist ja für ihr hemdsärmeliges Herangehen samt der nötigen Brutalität bekannt.

Kaspersky, Implants und Virenscanner

Gezielte Leaks aus dem US-Geheimdienstapparat befeuern eine Medienkampagne gegen die Anti-Viren-Firma Kaspersky, die immer tiefer in den Sog der Infowars zwischen Russland und den USA gerät.

Seit Edward Snowden wurde durch Folien und Teilen von Manuals bekannt, mit welcher Art von Werkzeugen die NSA-Spionage arbeitet. Die ominösen „Shadow Brokers“ wiederum hatten ab Sommer 2016 Konfigurationsskripts für C/C-Netzwerke veröffentlicht. „Hive“ ist hingegen ein weitgehend ausprogrammiertes, fertiges Produkt samt Quellcode, das dadurch beliebig ausbaubar ist. Dieser Code wird logischerweise weltweit von Anti-Virenfirmen und Cybertruppen anderer Geheimdienste rund um den Globus gerade analysiert. Die Sicherheitsfirmen werden die Signaturen von „Hive“ in ihre Virenscanner integrieren und diese Version von „Hive“ damit weitgehend neutralisieren.

In diesem Konvolut sind auch drei gefälschte Sicherheitszertifikate der russischen Antivirusfirma Kaspersky enthalten. Sie dienten zur Tarnung der Implants vor den Sicherheitstechnikern der angegriffenen Netze. Dass man ausgerechnet ein angeblich auf Kaspersky verweisendes Zertifikat gewählt wurde, ist ebenso durchdacht. Der Datenverkehr von Anti-Viren-Scannern ist nur sehr schwer von Datenspuren zu unterscheiden, die Spionagewerkzeuge hinterlassen.

Screenshot

CC0

Software von russischen Kriminellen

Mit großer Sicherheit lässt sich sagen, dass andere Geheimdienste Teile dieses Quellcodes für ihre eigenen Zwecke adaptieren werden, dasselbe macht nachgewiesenermaßen auch die CIA. In einem im April geleakten CIA-Manual für ein Schadsoftwarepaket namens „Grasshopper“ - ein sogenanntes Rootkit zur Tarnung der gesamten Spionagesuite - „habe man sich die benötigten Komponenten ganz einfach ‚ausborgen‘ können“, heißt es entwaffnend offen in diesem Handbuch.

Und weiter: „Die Persistenzmethode und Teile der Installationssoftware wurden ausgewählt und unseren Anforderungen angepasst.“ „Geborgt“ hatten sich die CIA-Techniker diese Software vom russischen Botnet „Carberp“, also von Kriminellen, die sich auf gekaperten Rechnern ahnungsloser Nutzer mit einem Rootkit tarnten. Es ist also durchaus möglich, dass bei der Analyse der Sicherheitsfirmen auch andere „geborgte“ Schadsoftware zu Tage kommt, denn die Coder der CIA sind hier wenig zimperlich. Die Programmsuite selbst ist linuxbasiert und schnell aufzusetzen, denn all die nötigen virtuellen Linux-Server werden in einem oder mehreren beliebigen Rechenzentren in der Cloud angemietet und erhalten automatisch eine neu angemeldete, unverfängliche Domain.

Womit nun zu rechnen ist

Ersucht wird, sachdienliche Informationen, Metakritiken et al. über dieses Formular sicher verschlüsselt und natürlich anonym beim Autor einzuwerfen. Wer eine direkte Antwort will, sollte jedenfalls irgendeine Kontaktmöglichkeit angeben.

Wenn das Team von Wikileaks, den Publikationsrhythmus aus der ersten Tranche beibehält, dann sollte schon in wenigen Tagen das nächste CIA-Programmpaket verfügbar sein. Da keine Implants, Exploits oder Trojaner veröffentlicht werden, werden das die langlebigeren Software-Frameworks zur Spionage sein. Der bei der CIA angerichtete Kollateralschaden ist deshalb weitaus größer als durch die Veröffentlichung von spektakulären Exploits, die schon am nächsten Tag meist für immer unbrauchbar werden. Zudem wird für andere unfreundliche Akteure eine hervorragende Tarnmöglichkeit eröffnet. Geheimdienste von Drittstaaten wie auch Kriminelle können unter der falschen Flagge der CIA nun beliebige Angriffe starten, indem sie - vice versa - Teile der CIA-Software „ausborgen“ und in ihre eigene Werkzeukiste integrieren.

Aktuell: