CIA hat Spionage-Tool als Kaspersky-Software getarnt

Wikileaks hat eine weitere, als Vault 8 bezeichnete Sammlung von Unterlagen zu Cyberwaffen der CIA veröffentlicht. Darin werden das Management für bereits durch Vault 7 bekannte Tools sowie eine Hive genannte Kommunikationsplattform beschrieben.

Wikileaks hat neue Dokumente mit Beschreibungen von Cyberwaffen und Strategien zur verdeckten Cyberspionage der Central Intelligence Agency (CIA) veröffentlicht. In der Vault 8 genannten Sammlung von Geheimunterlagen sind unter anderem Source Code und Analysen der Software der CIA enthalten, die in der bereits als Vault 7 bezeichneten, früher veröffentlichten Unterlagensammlung enthalten waren.

CIA (Bild: Central Intelligence Agency)

Vor allem geht es in den Dokumenten um die als Hive bezeichnete Komponente. Sie ist ein wesentlicher Bestandteil der Infrastruktur, mit der die CIA die von ihr verwendete Malware kontrollierte. Hive (zu Deutsch: Bienenkorb) stellte für zahlreiche CIA-Malware die erforderliche Kommunikationsplattform bereit, die benötigt wird, um abgegriffene Informationen möglichst unbemerkt vom Opfer an CIA-Server zu übertragen und der eingeschleusten Software neue Anweisungen zu übermitteln.

Außerdem diente Hive auch dazu, die Spuren zu verwischen, wenn eine eingeschleuste Software auf einem Rechner entdeckt wurde. In dem Fall musste es im Interesse der CIA sein, dass der Angegriffene die Attacke möglichst nicht zu ihr zurückverfolgen kann. Dazu wurden für die einzelnen Operationen jeweils anonym mindestens immer eine Domain registriert.

Der Server, auf dem die zugehörige Website lief, wurde von gewerblichen Hosting-Anbietern gemietet, meist als Virtual Private Server. Um deren eigentlichen Zweck zu verschleiern, wurde Besuchern der Website, beliebiger, harmloser Inhalt angezeigt. Diese Server dienten aber eigentlich als Relaisstation, um die Daten über eine VPN-Verbindung zu einem Blot genannten, CIA-eigenen Server zu übertragen.

[Funktionsweise der CIA-Kommunikationsplattform Hive (Grafik: Wikileaks)Funktionsweise der CIA-Kommunikationsplattform Hive (Grafik: Wikileaks)

Damit das ordentlich funktionierte, nutzte die CIA mit Optional Client Authentication eine ansonsten kaum verwendete HTTPS-Option. Hive verwendete diese Möglichkeit, um zwischen zufälligen Besuchern und Kommunikation mit der CIA-Spionagesoftware zu unterscheiden. Letztere authentifizierte sich gegenüber dem Webserver und konnte so vom Blot-Server erkannt werden. Der Datenverkehr von der Spionagesoftware wird dann weitergeleitet, der andere Datenverkehr geht zu dem Schein-Server, der den unverdächtigen Inhalt ausliefert.

Um ihre Aktivitäten zu verschleiern, wurde die Spionagesoftware digital signiert. Dazu gab sich die CIA für andere Einrichtungen aus. Diese Methode wurde auch bei Stuxnet angewendet. Dass sie erstens schon länger und zweitens häufiger als bislang gedacht benutzt wurde, haben Sicherheitsforscher erst kürzlich dargelegt. Sie können die Urheber nicht eindeutig benennen, vermuten aber neben staatlichen Stellen wie der CIA auch „gewöhnliche“ Kriminelle als Hintermänner.

In dem jetzt von Wikileaks veröffentlichten Source Code ist auch ein gefälschtes Zertifikat des russischen Antivirusspezialisten Kaspersky enthalten, das angeblich von der Zertifizierungsstelle Thawte in Südafrika ausgestellt wurde. Dadurch musste der Angegriffene, falls er den Angriff bemerkte und in Erfahrung zu bringen versuchte, wohin die Daten abflossen, annehmen, dass sie an Kaspersky beziehungsweise die anderen, für den Zweck missbrauchten Organisationen gingen.

Streit zwischen Kaspersky und US-Behörden

Dass ist auch deshalb interessant, weil US-Behörden dem russischen Anbieter seit Anfang des Jahres schrittweise immer mehr die Vertrauenswürdigkeit abgesprochen haben. Obwohl das Unternehmen der US-Regierung Einblick in seinen Source Code angeboten hatte, blieb diese hart: Im September untersagte die Trump-Administration US-Behörden den Einsatz von Kaspersky-Software.

Das BSI sah dagegen keinen Anlass zu derartigen Maßnahmen. Es fühlte sich sogar bemüßigt, in einer Pressemitteilung klarzustellen: „Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.“

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

Vorläufiger Höhepunkt der Auseinandersetzung zwischen den USA und Kaspersky waren Vorwürfe, Kaspersky habe mit seiner Software NA-Mitarbeiter ausspioniert. In dem Fall musste das Unternehmen nach einer Überprüfung einräumen, dass im Rahmen eines vom Nutzer initiierten Scans mit einer Kaspersky-Sicherheitssoftware Daten an Kaspersky übermittelt wurden. Der Mitarbeiter der NSA, von dessen Privat-PC die Daten stammen, soll den Datenverlust aber erst durch sein Verhalten ermöglicht haben.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: CIA, Kaspersky, Wikileaks

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu CIA hat Spionage-Tool als Kaspersky-Software getarnt

Kommentar hinzufügen
  • Am 10. November 2017 um 14:26 von M@tze

    Ich halte „Bienenkorb“ als die gewählte Übersetzung für „Hive“ etwas unglücklich. Hive hat mehrere Bedeutungen, aber gerade in diesem (doch technischen) Sinne macht „Bienenkorb“ keinen wirklichen Sinn. Als bessere Varianten bieten sich meines Erachtens eher „Schwarm“ (a crowd of busy, very active people) oder „ein Ort großer Aktivität“ (a place swarming with activity – Webster’s New World College Dictionary, 4th ed.) an.

  • Am 10. November 2017 um 15:25 von C

    … und deshalb wurden Kaspersky Produkte von US-Behörden-PCs verbannt.

  • Am 11. November 2017 um 12:59 von GF

    Ich vertraue seit Jahren Kaspersky und werde es bestimmt auch weiter tun, dagegen wird mir amerikanische Hard- und Software immer suspekter. Wenn es irgendwie geht, vermeide ich sie deshalb.

  • Am 12. November 2017 um 10:24 von Florian

    Auch dieser Fall Zeigt: Bei Angriffen auf IT-Systeme wird versucht sich als jemand anders auszugeben. Darum ist so gefährlich wenn die NATO sich „digitale Angriffswaffen“ zulegen will. Es könnte dann nämlich passieren, dass jemand ein Angriff auf IT-Systeme irgend eines Landes unternimmt und es so aussehen lässt als ob es ein NATO-Land war. Das könnte sogar ein NATO-Land sein, dass ein kriegsunwillige anders NATO-Land gerne in einen Krieg reinziehen will. Das gab es zwischen den USA und Deutschland beim Golf-Krieg ja schon mal.
    Ob das angegriffen Land sich nur mit digitalen Waffen zurückschlägt ist nicht sicher. Und selbst wenn wäre ein Land u.a. mit „autonomen“ Autos, die aber nur per Internetverbindung „autonom“ fahren können mit digitalen Waffen angreifbarer als z.B.ein Land, in dem unsere nicht autonomen Altautos exportiert wurden.

  • Am 13. November 2017 um 19:47 von Jack

    Die USA sind für mich der grösste Übeltäter, der permanent virtuelle und echte Kriege führt, begründet durch sicherheitspolitische Interessen.
    Den anderen sprechen die USA eben diese ab – im Visier die Alleinherrschaft der Amis über die Welt, Deutschland im Wassalenrudel.
    Und wenn was schief geht, sind immer die anderen schuld, Chinesen, Russen,
    Nordkoreaner…, nicht aber die USA mit ihrem Haufen Spionen von der NSA,DEA,FBI,CIA,NA und weiss der Teufel was die noch alles haben.

    Was interessant ist – wenn man Kaspersky Software aboniert, dann bekommt man
    die Backup-CD aus den USA, aus Portland. Ob da nicht die NSA ihren Code einschleust?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *