CIA hat Spionage-Tool als Kaspersky-Software getarnt

Wikileaks hat neue Dokumente mit Beschreibungen von Cyberwaffen und Strategien zur verdeckten Cyberspionage der Central Intelligence Agency (CIA) veröffentlicht. In der Vault 8 genannten Sammlung von Geheimunterlagen sind unter anderem Source Code und Analysen der Software der CIA enthalten, die in der bereits als Vault 7 bezeichneten, früher veröffentlichten Unterlagensammlung enthalten waren.

Vor allem geht es in den Dokumenten um die als Hive bezeichnete Komponente. Sie ist ein wesentlicher Bestandteil der Infrastruktur, mit der die CIA die von ihr verwendete Malware kontrollierte. Hive (zu Deutsch: Bienenkorb) stellte für zahlreiche CIA-Malware die erforderliche Kommunikationsplattform bereit, die benötigt wird, um abgegriffene Informationen möglichst unbemerkt vom Opfer an CIA-Server zu übertragen und der eingeschleusten Software neue Anweisungen zu übermitteln.

Außerdem diente Hive auch dazu, die Spuren zu verwischen, wenn eine eingeschleuste Software auf einem Rechner entdeckt wurde. In dem Fall musste es im Interesse der CIA sein, dass der Angegriffene die Attacke möglichst nicht zu ihr zurückverfolgen kann. Dazu wurden für die einzelnen Operationen jeweils anonym mindestens immer eine Domain registriert.

Der Server, auf dem die zugehörige Website lief, wurde von gewerblichen Hosting-Anbietern gemietet, meist als Virtual Private Server. Um deren eigentlichen Zweck zu verschleiern, wurde Besuchern der Website, beliebiger, harmloser Inhalt angezeigt. Diese Server dienten aber eigentlich als Relaisstation, um die Daten über eine VPN-Verbindung zu einem Blot genannten, CIA-eigenen Server zu übertragen.

[Funktionsweise der CIA-Kommunikationsplattform Hive (Grafik: Wikileaks)

Damit das ordentlich funktionierte, nutzte die CIA mit Optional Client Authentication eine ansonsten kaum verwendete HTTPS-Option. Hive verwendete diese Möglichkeit, um zwischen zufälligen Besuchern und Kommunikation mit der CIA-Spionagesoftware zu unterscheiden. Letztere authentifizierte sich gegenüber dem Webserver und konnte so vom Blot-Server erkannt werden. Der Datenverkehr von der Spionagesoftware wird dann weitergeleitet, der andere Datenverkehr geht zu dem Schein-Server, der den unverdächtigen Inhalt ausliefert.

Um ihre Aktivitäten zu verschleiern, wurde die Spionagesoftware digital signiert. Dazu gab sich die CIA für andere Einrichtungen aus. Diese Methode wurde auch bei Stuxnet angewendet. Dass sie erstens schon länger und zweitens häufiger als bislang gedacht benutzt wurde, haben Sicherheitsforscher erst kürzlich dargelegt. Sie können die Urheber nicht eindeutig benennen, vermuten aber neben staatlichen Stellen wie der CIA auch „gewöhnliche“ Kriminelle als Hintermänner.

In dem jetzt von Wikileaks veröffentlichten Source Code ist auch ein gefälschtes Zertifikat des russischen Antivirusspezialisten Kaspersky enthalten, das angeblich von der Zertifizierungsstelle Thawte in Südafrika ausgestellt wurde. Dadurch musste der Angegriffene, falls er den Angriff bemerkte und in Erfahrung zu bringen versuchte, wohin die Daten abflossen, annehmen, dass sie an Kaspersky beziehungsweise die anderen, für den Zweck missbrauchten Organisationen gingen.

Streit zwischen Kaspersky und US-Behörden

Dass ist auch deshalb interessant, weil US-Behörden dem russischen Anbieter seit Anfang des Jahres schrittweise immer mehr die Vertrauenswürdigkeit abgesprochen haben. Obwohl das Unternehmen der US-Regierung Einblick in seinen Source Code angeboten hatte, blieb diese hart: Im September untersagte die Trump-Administration US-Behörden den Einsatz von Kaspersky-Software.

Das BSI sah dagegen keinen Anlass zu derartigen Maßnahmen. Es fühlte sich sogar bemüßigt, in einer Pressemitteilung klarzustellen: „Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.“

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

Vorläufiger Höhepunkt der Auseinandersetzung zwischen den USA und Kaspersky waren Vorwürfe, Kaspersky habe mit seiner Software NA-Mitarbeiter ausspioniert. In dem Fall musste das Unternehmen nach einer Überprüfung einräumen, dass im Rahmen eines vom Nutzer initiierten Scans mit einer Kaspersky-Sicherheitssoftware Daten an Kaspersky übermittelt wurden. Der Mitarbeiter der NSA, von dessen Privat-PC die Daten stammen, soll den Datenverlust aber erst durch sein Verhalten ermöglicht haben.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago