Wikileaks: CIA nutzte Carberp-Trojaner für die Entwicklung eigener Malware

Laut neuen Vault-7-Dokumenten verfügt die CIA über eine Plattform für die Entwicklung maßgeschneiderter Schadsoftware. Einzelne Module liefern beispielsweise Code für die Umgehung von Sicherheitssoftware. Andere helfen bei der Definition von Zielsystemen.

Wikileaks hat weitere Dokumente veröffentlicht, die Einblick in die Arbeitsweise des US-Auslandsgeheimdienst Central Intelligence Agency geben sollen. Die aus dem Vault-7-Leak stammenden Unterlagen beschreiben eine Grasshopper genannte Plattform, die die CIA für die Entwicklung speziell angepasster Windows-Schadprogramme nutzen soll. Demnach bedient sich der Geheimdienst auch bei von Hackern und Cyberkriminellen entwickelten Viren und Trojanern.

(Bild: Wikileaks)Grasshopper stellt CIA-Agenten demnach verschiedene Module zur Verfügung, die als Bausteine für maßgeschneiderte Implantate benutzt werden können. Laut Wikileaks können beispielsweise in Abhängigkeit der gewünschten Funktionen des Schädlings verschiedene Techniken integriert werden, die eine Erkennung der Malware erschweren oder verhindern sollen. Grasshopper biete aber auch eine sehr flexible Sprache für die Definition von Regeln, die sicherstellen, dass die Malware nur auf Systemen mit der richtigen Konfiguration installiert werde. Hier nennt Wikileaks bestimmte Windows-Versionen und Antivirenprogramme als mögliche Kriterien.

Ein Modul von Grasshopper namens PSP Avoidance liefert den Code, der benötigt wird, um bestimmte „private Sicherheitsprogramme“ auszutricksen. Unterstützt werden unter anderem Microsoft Security Essentials, Symantec Endpoint und Kaspersky Internet Security. Ob diese Techniken allerdings auch bei aktuellen Versionen der genannten Produkte funktionieren, ist nicht bekannt.

Als „Stolen Goods“ soll die CIA indes Komponenten bezeichnen, die von herkömmlicher Malware „gestohlen“ wurden. Namentlich nennt die CIA den Trojaner Carberp, der angeblich von Mitgliedern organisierter Verbrecherbanden aus Russland in Umlauf gebracht wurde. Von Carberp wurden demnach Teile des Installers sowie Code zum Verstecken der Malware wiederverwertet. Erste Hinweise darauf, dass der Geheimdienst Code von im Internet kursierenden Schadprogrammen recycle, hätten bereits die durchgesickerten Unterlagen des italienischen Unternehmens Hacking Team enthalten, so Wikileaks weiter.

Derzeit gibt Wikileaks im wöchentlichen Rhythmus neue Dokumente aus den als Vault 7 bezeichneten Geheimdokumenten der CIA frei. In der vergangenen Woche wurde der Quellcode des Anti-Forensic-Tools Marble öffentlich. Diese Werkzeugsammlung erlaubt es, von der CIA entwickelte Malware zu enttarnen. Da Marble den Unterlagen zufolge noch 2016 eingesetzt wurde, könnte sich diese Veröffentlichung sogar auch noch laufende Ermittlungen der CIA auswirken. Cyberkriminelle könnten Marble allerdings auch nutzen, um ihre eigene Malware besser vor der Erkennung durch Sicherheitsanwendungen zu schützen – was die eigentliche Aufgabe von Marble ist.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen - die wichtigsten Tipps

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Central Intelligence Agency, Malware, Security, sicherheits, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Wikileaks: CIA nutzte Carberp-Trojaner für die Entwicklung eigener Malware

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *