Nach den Handbüchern publiziert WikiLeaks nun die CIA-Programme
von Erich Moechel
Nach der Publikation von zwei Dutzend detaillierten Manuals und Beschreibungen von Schadsoftware der CIA im Frühjahr, hat WikLeaks nun mit der Veröffentlichung der Programme selbst begonnen. Exploits und Angriffscodes sind laut Julian Assange davon explizit ausgenommen. Dafür veröffentlichte er zur Premiere gleich ein ganzes Programmset für ein verdecktes Servernetz der CIA zum Abtransport gestohlener Daten.
Dass auch der Quellcode beiliegt. ist ein schwerer Schlag für die CIA, denn dieser Code verrät nicht nur alle Funktionen im Detail, sondern auch die „Handschrift“ der CIA-Programmierer. Dabei werden mit einiger Sicherheit auch Verbindungen zu anderen, derzeit nicht zuordenbaren Angriffen der jüngeren Vergangenheit zutage kommen. Der Code dieser Programme wurde CIA-intern drei Jahre lang entwickelt.
CC0
Die erste Tranche der Wikileaks-Veröffentlichungen von Manuals zeigte im März erstmals auf, dass auch die CIA über eine mittlerweile tausende Mitarbeiter umfassende Abteilung für Schadsoftware verfügt.
Der Bienenstock der CIA
Was da geleakt wurde, Nennt sich „Hive“ (Bienenstock) ist eine erst 2015 programmierte Programmsuite für ein Command-Control-Netz (C/C) mit ausgesprochen solider Tarnung. Damit können Trojaner und andere im Jargon der US-Geheimdienste allgemein „Implants“ (Implantate) genannten Programme in fremden Netzen gesteuert werden.
Vor allem aber dient ein Set-Up wie „Hive“ dazu, gestohlene Daten unauffällig abzutransportieren. Das geschieht, indem ein Trojaner mit einem der „Virtual Private Server“ Kontakt aufnimmt, der Abtransport der Daten ist verschlüsselt.Dieser Server gibt die Daten dann an einen von mehreren Proxy-Servern weiter, die den Datenstrom aus den „Implants“ dann an einen Management-Gateway weiterleiten, hinter dem dann der diensthabende CIA-Operator sitzt.
CC0
Die Tarnmechanismen der CIA
Dieses Anfang Mai geleakte Tool - das einzige von Assange publizierte CIA-Programm - zur versteckten Markierung von Dokumenten zeigt, dass es CIA-intern bis März 2016 offenbar keine besonders effizienten Sicherheitsmaßnahmen gegen Leaker gab. Scribbles 1.0 im FM4-Test
Als Tarnung funktioniert eine beliebig ausgewählte Firmen- oder Nachrichtenwebsite, auf die auch allfällige andere Anfragen aus einem Zielnetz geleitet werden. Ein Sicherheitstechniker des angegriffenen Netzes sieht an seiner Firewall nur einen verschlüsselten Https-Datenstrom der auf eine unverfängliche Firmenwebsite geht. Die im VPN-Tunnel mitreisenden Daten der Implants sieht der Firewall-Techniker natürlich nicht und ebensowenig, dass dieser Verkehr später „abbiegt“ und ganz woanders endet, nämlich bei einem Operator der CIA. „Hive“ kann mehrere Trojaner gleichzeitig steuern, eignet sich also etwa für eine Spionageaktion gegen ein großes Unternehmen oder eine ganze Behörde. Solche getarnten Command-Control-Netze gehören zur Grundausstattung jeder Cybertruppe, denn damit wird jede größere offensive Operation gesteuert.
CC0
Kaspersky, Implants und Virenscanner
Gezielte Leaks aus dem US-Geheimdienstapparat befeuern eine Medienkampagne gegen die Anti-Viren-Firma Kaspersky, die immer tiefer in den Sog der Infowars zwischen Russland und den USA gerät.
Seit Edward Snowden wurde durch Folien und Teilen von Manuals bekannt, mit welcher Art von Werkzeugen die NSA-Spionage arbeitet. Die ominösen „Shadow Brokers“ wiederum hatten ab Sommer 2016 Konfigurationsskripts für C/C-Netzwerke veröffentlicht. „Hive“ ist hingegen ein weitgehend ausprogrammiertes, fertiges Produkt samt Quellcode, das dadurch beliebig ausbaubar ist. Dieser Code wird logischerweise weltweit von Anti-Virenfirmen und Cybertruppen anderer Geheimdienste rund um den Globus gerade analysiert. Die Sicherheitsfirmen werden die Signaturen von „Hive“ in ihre Virenscanner integrieren und diese Version von „Hive“ damit weitgehend neutralisieren.
In diesem Konvolut sind auch drei gefälschte Sicherheitszertifikate der russischen Antivirusfirma Kaspersky enthalten. Sie dienten zur Tarnung der Implants vor den Sicherheitstechnikern der angegriffenen Netze. Dass man ausgerechnet ein angeblich auf Kaspersky verweisendes Zertifikat gewählt wurde, ist ebenso durchdacht. Der Datenverkehr von Anti-Viren-Scannern ist nur sehr schwer von Datenspuren zu unterscheiden, die Spionagewerkzeuge hinterlassen.
CC0
Software von russischen Kriminellen
Mit großer Sicherheit lässt sich sagen, dass andere Geheimdienste Teile dieses Quellcodes für ihre eigenen Zwecke adaptieren werden, dasselbe macht nachgewiesenermaßen auch die CIA. In einem im April geleakten CIA-Manual für ein Schadsoftwarepaket namens „Grasshopper“ - ein sogenanntes Rootkit zur Tarnung der gesamten Spionagesuite - „habe man sich die benötigten Komponenten ganz einfach ‚ausborgen‘ können“, heißt es entwaffnend offen in diesem Handbuch.
Am auffälligsten an der zweiten Tranche von Wikileaks war die Selbstverständlichkeit, die CIA-Instruktoren im Umgang mit Software von Kriminellen an den Tag legen.
Und weiter: „Die Persistenzmethode und Teile der Installationssoftware wurden ausgewählt und unseren Anforderungen angepasst.“ „Geborgt“ hatten sich die CIA-Techniker diese Software vom russischen Botnet „Carberp“, also von Kriminellen, die sich auf gekaperten Rechnern ahnungsloser Nutzer mit einem Rootkit tarnten. Es ist also durchaus möglich, dass bei der Analyse der Sicherheitsfirmen auch andere „geborgte“ Schadsoftware zu Tage kommt, denn die Coder der CIA sind hier wenig zimperlich. Die Programmsuite selbst ist linuxbasiert und schnell aufzusetzen, denn all die nötigen virtuellen Linux-Server werden in einem oder mehreren beliebigen Rechenzentren in der Cloud angemietet und erhalten automatisch eine neu angemeldete, unverfängliche Domain.
Womit nun zu rechnen ist
Ersucht wird, sachdienliche Informationen, Metakritiken et al. über dieses Formular sicher verschlüsselt und natürlich anonym beim Autor einzuwerfen. Wer eine direkte Antwort will, sollte jedenfalls irgendeine Kontaktmöglichkeit angeben.
Wenn das Team von Wikileaks, den Publikationsrhythmus aus der ersten Tranche beibehält, dann sollte schon in wenigen Tagen das nächste CIA-Programmpaket verfügbar sein. Da keine Implants, Exploits oder Trojaner veröffentlicht werden, werden das die langlebigeren Software-Frameworks zur Spionage sein. Der bei der CIA angerichtete Kollateralschaden ist deshalb weitaus größer als durch die Veröffentlichung von spektakulären Exploits, die schon am nächsten Tag meist für immer unbrauchbar werden. Zudem wird für andere unfreundliche Akteure eine hervorragende Tarnmöglichkeit eröffnet. Geheimdienste von Drittstaaten wie auch Kriminelle können unter der falschen Flagge der CIA nun beliebige Angriffe starten, indem sie - vice versa - Teile der CIA-Software „ausborgen“ und in ihre eigene Werkzeukiste integrieren.
Publiziert am 15.11.2017