Antivirus umgangen: So soll die CIA Windows-PCs angegriffen haben

Usa, Cia, Central Intelligence Agency Bildquelle: Central Intelligence Agency
Das umstrittene Whistleblower-Portal WikiLeaks hat eine Reihe von Dokumenten veröffentlicht, die angeblich dokumentieren sollen, wie der US-Auslandsgeheimdienst CIA versuchte, mit angepassten Varianten eines ursprünglich aus Russland stammenden Malware-Tools die Sicherheitsmaßnahmen diverser Windows-Versionen zu umgehen.
Die Dokumente stammen aus einem als "Vault 7" bezeichneten Paket von CIA-internen Papieren. Im jüngsten Fall hat WikiLeaks 27 Dokumente öffentlich gemacht, die eine Reihe von Software-Werkzeugen beschreiben, das von der Behörde offenbar als "Grasshopper" (Grashüpfer) bezeichnet wurde. Mit ihnen versuchte man, angepasste Schadsoftware für Angriffe auf Windows-Computer zu entwickeln. Konkret wurde "Grasshopper" für Angriffe auf Systeme mit Windows Xp, Windows 7 und Windows 8.x eingesetzt. WikiLeaks: CIA "Grasshopper"Beispiel für CIA-Statistik zu umgangenen Schutzmaßnahmen Das Grasshopper-Framework besteht demnach aus einer Reihe von "Bausteinen", die jeweils zu individuellen Paketen kombiniert werden können, um so die Anforderungen bestimmter Überwachungs- oder andersartiger Geheimdienst-Operationen zu erfüllen. Einerseits liefert der jüngste Leak Informationen, mit denen Sicherheitsdienstleister und mögliche Opfer von Angriffen nach Anzeichen für eine Infektion suchen können. Andererseits können andere Malware-Autoren aber auch neue Möglichkeiten für Angriffe erkunden.

Rahmenwerk für den Bau von angepasster Malware

In einer Art Benutzerhandbuch wird "Grasshopper" als Software-Tool zum Bau von angepassten Installationspaketen für Zielsysteme mit Windows-Betriebssystem beschrieben. Mit dem jeweiligen Installer können unterschiedliche "Payloads" auf verschiedenen Wegen auf das attackierte System gebracht werden, wobei man sich sogar einer Art eigenen Programmiersprache bedienen kann. Auch die Aufzeichnung von Log-Dateien für eine spätere Auswertung ist möglich, heißt es weiter.

In den Dokumenten wird auch erklärt, wie die CIA über lange Zeit versuchte, die in Windows integrierten oder von Sicherheitslösungen für Privatkunden verwendeten Sicherheitsmaßnahmen zu umgehen. Die Behörde versuchte also explizit, ihre Malware auf verschiedenen Wegen vor der Erkennung durch Windows Defender und den Sicherheitslösungen von Symantec und Kaspersky Labs zu verstecken.

Russische Malware Caberp kopiert und angepasst

Dazu bediente man sich unter anderem einer angepassten Ausgabe einer als "Caberp" bezeichneten russischen Malware, die ursprünglich von Betrügern für Angriffe auf Banken verwendet wurde. Caberp wurde in einschlägigen Foren teilweise für bis zu 35.000 Euro verkauft, im Jahr 2013 gelangte jedoch der Quellcode an die Öffentlichkeit. In einem Handbuch für eine Software-Komponente mit der Bezeichnung "Stolen Goods" (Diebesgut) beschreibt die CIA, wie man Komponenten des Caberp-Rootkits für ihre eigenen Zwecke einsetzte.

So hat die CIA offenbar den Installer teilweise und vor allem die Methoden zum Schutz gegen die Erkennung durch Sicherheitslösungen von Caberp übernommen und für eigene Zwecke angepasst. Dabei führte man zunächst eine Analyse der übernommenen Komponenten durch, um sicherzustellen, dass sie keine versteckten Funktionen, Hintertüren, Anfälligkeiten oder ähnliches enthielten. Letztlich habe man Caberp extrem stark verändert und angepasst, so dass nur wenig Original-Code übrig blieb.

Mit "Grasshopper" war es laut den Papieren ebenfalls möglich, zunächst eine Art Überprüfung des potenziellen Ziels durchzuführen. Man versuchte also herauszufinden, ob ein bestimmter Rechner bestimmte Lücken aufwies, um dann mit einem individuell zugeschnittenen Malware-Paket anzugreifen und genau diese Schwachstellen auszunutzen. Auch die Anpassung der Mechanismen zur Umgehung von Antivirus-Tools und anderen Schutzmaßnahmen sei mit "Grasshopper" möglich, so die mutmaßlichen CIA-Dokumente.

Microsoft und die genannten Sicherheitsdienstleister haben sich bisher noch nicht zu diesem Thema geäußert. Unklar ist derzeit, ob die CIA "Grasshopper" oder abgewandelte Werkzeuge derzeit auch gegen Windows-10-PCs einsetzt. Auch enthielten die Dokumente keinen Quellcode oder Informationen darüber, wer zum Ziel der Attacken geworden sein könnte. Usa, Cia, Central Intelligence Agency Usa, Cia, Central Intelligence Agency Central Intelligence Agency
Mehr zum Thema: Wikileaks
Diese Nachricht empfehlen
Kommentieren23
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 06:10 Uhr Grando 12V 10A Digitaler Bildschirm Luftkompressor Kompressor Luftpumpe und Schnell Air Inflator mit Manometer 150 PSI,mit TaschenlampeGrando 12V 10A Digitaler Bildschirm Luftkompressor Kompressor Luftpumpe und Schnell Air Inflator mit Manometer 150 PSI,mit Taschenlampe
Original Amazon-Preis
31,54
Im Preisvergleich ab
31,54
Blitzangebot-Preis
25,23
Ersparnis zu Amazon 20% oder 6,31
Im WinFuture Preisvergleich

Tipp einsenden