Categories: Politik

CIA hat Spionage-Tool als Kaspersky-Software getarnt

Wikileaks hat neue Dokumente mit Beschreibungen von Cyberwaffen und Strategien zur verdeckten Cyberspionage der Central Intelligence Agency (CIA) veröffentlicht. In der Vault 8 genannten Sammlung von Geheimunterlagen sind unter anderem Source Code und Analysen der Software der CIA enthalten, die in der bereits als Vault 7 bezeichneten, früher veröffentlichten Unterlagensammlung enthalten waren.

Vor allem geht es in den Dokumenten um die als Hive bezeichnete Komponente. Sie ist ein wesentlicher Bestandteil der Infrastruktur, mit der die CIA die von ihr verwendete Malware kontrollierte. Hive (zu Deutsch: Bienenkorb) stellte für zahlreiche CIA-Malware die erforderliche Kommunikationsplattform bereit, die benötigt wird, um abgegriffene Informationen möglichst unbemerkt vom Opfer an CIA-Server zu übertragen und der eingeschleusten Software neue Anweisungen zu übermitteln.

Außerdem diente Hive auch dazu, die Spuren zu verwischen, wenn eine eingeschleuste Software auf einem Rechner entdeckt wurde. In dem Fall musste es im Interesse der CIA sein, dass der Angegriffene die Attacke möglichst nicht zu ihr zurückverfolgen kann. Dazu wurden für die einzelnen Operationen jeweils anonym mindestens immer eine Domain registriert.

Der Server, auf dem die zugehörige Website lief, wurde von gewerblichen Hosting-Anbietern gemietet, meist als Virtual Private Server. Um deren eigentlichen Zweck zu verschleiern wurde Besuchern der Website, beliebiger, harmloser Inhalt angezeigt. Diese Server dienten aber eigentlich als Relaisstation, um die Daten über eine VPN-Verbindung zu einem Blot genannten, CIA-eigenen Server zu übertragen.

Funktionsweise der CIA-Kommunikationsplattform Hive (Grafik: Wikileaks)

Damit das ordentlich funktionierte, nutzte die CIA mit Optional Client Authentication eine ansonsten kaum verwendete HTTPS-Option. Hive verwendete diese Möglichkeit, um zwischen zufälligen Besuchern und Kommunikation mit der CIA-Spionagesoftware zu unterscheiden. Letztere authentifizierte sich gegenüber dem Webserver und konnte so vom Blot-Server erkannt werden. Der Datenverkehr von der Spionagesoftware wird dann weitergeleitet, der andere Datenverkehr geht zu dem Schein-Server, der den unverdächtigen Inhalt ausliefert.

Um ihre Aktivitäten zu verschleiern, wurde die Spionagesoftware digital signiert. Dazu gab sich die CIA für andere Einrichtungen aus. Diese Methode wurde auch bei Stuxnet angewendet. Dass sie erstens schon länger und zweitens häufiger als bislang gedacht benutzt wurde, haben Sicherheitsforscher erst kürzlich dargelegt. Sie können die Urheber nicht eindeutig benennen, vermuten aber neben staatlichen Stellen wie der CIA auch “gewöhnliche” Kriminelle als Hintermänner.

In dem jetzt von Wikileaks veröffentlichten Source Code ist auch ein gefälschtes Zertifikat des russischen Antivirusspezialisten Kaspersky enthalten, dass angeblich von der Zertifizierungsstelle Thawte in Südafrika ausgestellt wurde. Dadurch musste der Angegriffene, falls er den Angriff bemerkte und in Erfahrung zu bringen versuchte, wohin die Daten abflossen, annehmen, dass sie an Kaspersky beziehungsweise die anderen, für den Zweck missbrauchten Organisationen ging.

Streit zwischen Kaspersky und US-Behörden

Dass ist auch deshalb interessant, weil US-Behörden dem russischen Anbieter seit Anfang des Jahres schrittweise immer mehr die Vertrauenswürdigkeit abgesprochen haben. Obwohl das Unternehmen der US-Regierung Einblick in seinen Source Code angeboten hatte, blieb diese hart: Im September untersagte die Trump-Administration US-Behörden den Einsatz von Kaspersky-Software.

Das BSI sah dagegen keinen Anlass zu derartigen Maßnahmen. Es fühlte sich sogar bemüßigt, in einer Pressemitteilung klarzustellen: “Eine Warnung des BSI vor dem Einsatz von Kaspersky-Produkten ist derzeit nicht vorgesehen, da dem BSI keine Belege für ein Fehlverhalten des Unternehmens oder Schwachstellen in der Software vorliegen.”

Vorläufiger Höhepunkt der Auseinandersetzung zwischen den USA und Kaspersky waren Vorwürfe, Kaspersky habe mit seiner Software NA-Mitarbeiter ausspioniert. In dem Fall musste das Unternehmen nach einer Überprüfung einräumen, dass im Rahmen eines vom Nutzer initiierten Scans mit einer Kaspersky-Sicherheitssoftware Daten an Kaspersky übermittelt wurden. Der Mitarbeiter der NSA, von dessen Privat-PC die Daten stammen, soll den Datenverlust aber erst durch sein Verhalten ermöglicht haben.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Peter Marwan

Peter Marwan ist Chefredakteur von silicon.de und immer auf der Suche nach Möglichkeiten, wie Firmen den rasanten Fortschritt in der IT-Branche in der Praxis nutzen können. Dabei geht es nicht nur darum, Vorhandenes zu optimieren, sondern vor allem auch um Ansätze und Strategien, mit denen sich neue, durch die IT unterstützte Geschäftsmodellle entwickeln lassen.

Recent Posts

Echte Security-KI für den OnPrem-Betrieb

Sie heißt LARA. Sie ist eine Security-KI, die sich auf die individuellen Anforderungen von Kunden…

11 Stunden ago

CISA warnt US-Bundesbehörden VMware-Produkte zu patchen oder offline zu nehmen

Im April haben Angreifer VMware-Patches in kürzester Zeit nachgebaut, um RCE-Angriffe zu starten.

1 Tag ago

Hacker können Tesla Model 3, Y mit Bluetooth-Angriff stehlen

Sicherheitsforscher der NCC Group haben ein Tool entwickelt, mit dem ein Bluetooth Low Energy (BLE)-Relay-Angriff…

1 Tag ago

Die 10 häufigsten Angriffsvektoren für das Eindringen in Netzwerke

Gemeinsam von den USA, Kanada, Neuseeland, Niederlande und Großbritannien herausgegebene Empfehlung enthält Anleitungen zur Eindämmung…

1 Tag ago

Silicon DE Podcast: Frauen in der IT

Frauen sind in der Technologiebranche immer noch unterrepräsentiert. Warum und wie sich das ändern lässt,…

2 Tagen ago

Eternity-Malware-Kit bietet Stealer, Miner, Wurm und Ransomware-Tools

Cyberkriminelle können den neuen Malware-as-a-Service je nach Angriff mit verschiedenen Modulen anpassen.

2 Tagen ago