CIA hat Spionage-Tool als Kaspersky-Software getarnt

Wikileaks hat neue Dokumente mit Beschreibungen von Cyberwaffen und Strategien zur verdeckten Cyberspionage der Central Intelligence Agency (CIA) veröffentlicht. In der Vault 8 genannten Sammlung von Geheimunterlagen sind unter anderem Source Code und Analysen der Software der CIA enthalten, die in der bereits als Vault 7 bezeichneten, früher veröffentlichten Unterlagensammlung enthalten waren.

CIA (Grafik: CIA)

Vor allem geht es in den Dokumenten um die als Hive bezeichnete Komponente. Sie ist ein wesentlicher Bestandteil der Infrastruktur, mit der die CIA die von ihr verwendete Malware kontrollierte. Hive (zu Deutsch: Bienenkorb) stellte für zahlreiche CIA-Malware die erforderliche Kommunikationsplattform bereit, die benötigt wird, um abgegriffene Informationen möglichst unbemerkt vom Opfer an CIA-Server zu übertragen und der eingeschleusten Software neue Anweisungen zu übermitteln.

Außerdem diente Hive auch dazu, die Spuren zu verwischen, wenn eine eingeschleuste Software auf einem Rechner entdeckt wurde. In dem Fall musste es im Interesse der CIA sein, dass der Angegriffene die Attacke möglichst nicht zu ihr zurückverfolgen kann. Dazu wurden für die einzelnen Operationen jeweils anonym mindestens immer eine Domain registriert.

Der Server, auf dem die zugehörige Website lief, wurde von gewerblichen Hosting-Anbietern gemietet, meist als Virtual Private Server. Um deren eigentlichen Zweck zu verschleiern wurde Besuchern der Website, beliebiger, harmloser Inhalt angezeigt. Diese Server dienten aber eigentlich als Relaisstation, um die Daten über eine VPN-Verbindung zu einem Blot genannten, CIA-eigenen Server zu übertragen.

Damit das ordentlich funktionierte, nutzte die CIA mit Optional Client Authentication eine ansonsten kaum verwendete HTTPS-Option. Hive verwendete diese Möglichkeit, um zwischen zufälligen Besuchern und Kommunikation mit der CIA-Spionagesoftware zu unterscheiden. Letztere authentifizierte sich gegenüber dem Webserver und konnte so vom Blot-Server erkannt werden. Der Datenverkehr von der Spionagesoftware wird dann weitergeleitet, der andere Datenverkehr geht zu dem Schein-Server, der den unverdächtigen Inhalt ausliefert.

Um ihre Aktivitäten zu verschleiern, wurde die Spionagesoftware digital signiert. Dazu gab sich die CIA für andere Einrichtungen aus. Diese Methode wurde auch bei Stuxnet angewendet. Dass sie erstens schon länger und zweitens häufiger als bislang gedacht benutzt wurde, haben Sicherheitsforscher erst kürzlich dargelegt. Sie können die Urheber nicht eindeutig benennen, vermuten aber neben staatlichen Stellen wie der CIA auch “gewöhnliche” Kriminelle als Hintermänner.

In dem jetzt von Wikileaks veröffentlichten Source Code ist auch ein gefälschtes Zertifikat des russischen Antivirusspezialisten Kaspersky enthalten, dass angeblich von der Zertifizierungsstelle Thawte in Südafrika ausgestellt wurde. Dadurch musste der Angegriffene, falls er den Angriff bemerkte und in Erfahrung zu bringen versuchte, wohin die Daten abflossen, annehmen, dass sie an Kaspersky beziehungsweise die anderen, für den Zweck missbrauchten Organisationen ging.

Streit zwischen Kaspersky und US-Behörden

Dass ist auch deshalb interessant, weil US-Behörden dem russischen Anbieter seit Anfang des Jahres schrittweise immer mehr die Vertrauenswürdigkeit abgesprochen haben. Obwohl das Unternehmen der US-Regierung Einblick in seinen Source Code angeboten hatte, blieb diese hart: Im September untersagte die Trump-Administration US-Behörden den Einsatz von Kaspersky-Software.

Das BSI sah dagegen keinen Anlass zu derartigen Maßnahmen. Es fühlte sich sogar bemüßigt, in einer Pressemitteilung klarzustellen: “Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.”

Vorläufiger Höhepunkt der Auseinandersetzung zwischen den USA und Kaspersky waren Vorwürfe, Kaspersky habe mit seiner Software NA-Mitarbeiter ausspioniert. In dem Fall musste das Unternehmen nach einer Überprüfung einräumen, dass im Rahmen eines vom Nutzer initiierten Scans mit einer Kaspersky-Sicherheitssoftware Daten an Kaspersky übermittelt wurden. Der Mitarbeiter der NSA, von dessen Privat-PC die Daten stammen, soll den Datenverlust aber erst durch sein Verhalten ermöglicht haben.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.