Wikileaks: CIA nutzte Carberp-Trojaner für die Entwicklung eigener Malware

Wikileaks hat weitere Dokumente veröffentlicht, die Einblick in die Arbeitsweise des US-Auslandsgeheimdienst Central Intelligence Agency geben sollen. Die aus dem Vault-7-Leak stammenden Unterlagen beschreiben eine Grasshopper genannte Plattform, die die CIA für die Entwicklung speziell angepasster Windows-Schadprogramme nutzen soll. Demnach bedient sich der Geheimdienst auch bei von Hackern und Cyberkriminellen entwickelten Viren und Trojanern.

Grasshopper stellt CIA-Agenten demnach verschiedene Module zur Verfügung, die als Bausteine für maßgeschneiderte Implantate benutzt werden können. Laut Wikileaks können beispielsweise in Abhängigkeit der gewünschten Funktionen des Schädlings verschiedene Techniken integriert werden, die eine Erkennung der Malware erschweren oder verhindern sollen. Grasshopper biete aber auch eine sehr flexible Sprache für die Definition von Regeln, die sicherstellen, dass die Malware nur auf Systemen mit der richtigen Konfiguration installiert werde. Hier nennt Wikileaks bestimmte Windows-Versionen und Antivirenprogramme als mögliche Kriterien.

Ein Modul von Grasshopper namens PSP Avoidance liefert den Code, der benötigt wird, um bestimmte „private Sicherheitsprogramme“ auszutricksen. Unterstützt werden unter anderem Microsoft Security Essentials, Symantec Endpoint und Kaspersky Internet Security. Ob diese Techniken allerdings auch bei aktuellen Versionen der genannten Produkte funktionieren, ist nicht bekannt.

Als „Stolen Goods“ soll die CIA indes Komponenten bezeichnen, die von herkömmlicher Malware „gestohlen“ wurden. Namentlich nennt die CIA den Trojaner Carberp, der angeblich von Mitgliedern organisierter Verbrecherbanden aus Russland in Umlauf gebracht wurde. Von Carberp wurden demnach Teile des Installers sowie Code zum Verstecken der Malware wiederverwertet. Erste Hinweise darauf, dass der Geheimdienst Code von im Internet kursierenden Schadprogrammen recycle, hätten bereits die durchgesickerten Unterlagen des italienischen Unternehmens Hacking Team enthalten, so Wikileaks weiter.

Derzeit gibt Wikileaks im wöchentlichen Rhythmus neue Dokumente aus den als Vault 7 bezeichneten Geheimdokumenten der CIA frei. In der vergangenen Woche wurde der Quellcode des Anti-Forensic-Tools Marble öffentlich. Diese Werkzeugsammlung erlaubt es, von der CIA entwickelte Malware zu enttarnen. Da Marble den Unterlagen zufolge noch 2016 eingesetzt wurde, könnte sich diese Veröffentlichung sogar auch noch laufende Ermittlungen der CIA auswirken. Cyberkriminelle könnten Marble allerdings auch nutzen, um ihre eigene Malware besser vor der Erkennung durch Sicherheitsanwendungen zu schützen – was die eigentliche Aufgabe von Marble ist.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.