Antivirus umgangen: So soll die CIA Windows-PCs angegriffen haben

Die Dokumente stammen aus einem als "Vault 7" bezeichneten Paket von CIA-internen Papieren. Im jüngsten Fall hat WikiLeaks 27 Dokumente öffentlich gemacht, die eine Reihe von Software-Werkzeugen beschreiben, das von der Behörde offenbar als "Grasshopper" (Grashüpfer) bezeichnet wurde. Mit ihnen versuchte man, angepasste Schadsoftware für Angriffe auf Windows-Computer zu entwickeln. Konkret wurde "Grasshopper" für Angriffe auf Systeme mit Windows Xp, Windows 7 und Windows 8.x eingesetzt. Beispiel für CIA-Statistik zu umgangenen Schutzmaßnahmen Das Grasshopper-Framework besteht demnach aus einer Reihe von "Bausteinen", die jeweils zu individuellen Paketen kombiniert werden können, um so die Anforderungen bestimmter Überwachungs- oder andersartiger Geheimdienst-Operationen zu erfüllen. Einerseits liefert der jüngste Leak Informationen, mit denen Sicherheitsdienstleister und mögliche Opfer von Angriffen nach Anzeichen für eine Infektion suchen können. Andererseits können andere Malware-Autoren aber auch neue Möglichkeiten für Angriffe erkunden.

Rahmenwerk für den Bau von angepasster Malware

In einer Art Benutzerhandbuch wird "Grasshopper" als Software-Tool zum Bau von angepassten Installationspaketen für Zielsysteme mit Windows-Betriebssystem beschrieben. Mit dem jeweiligen Installer können unterschiedliche "Payloads" auf verschiedenen Wegen auf das attackierte System gebracht werden, wobei man sich sogar einer Art eigenen Programmiersprache bedienen kann. Auch die Aufzeichnung von Log-Dateien für eine spätere Auswertung ist möglich, heißt es weiter.

In den Dokumenten wird auch erklärt, wie die CIA über lange Zeit versuchte, die in Windows integrierten oder von Sicherheitslösungen für Privatkunden verwendeten Sicherheitsmaßnahmen zu umgehen. Die Behörde versuchte also explizit, ihre Malware auf verschiedenen Wegen vor der Erkennung durch Windows Defender und den Sicherheitslösungen von Symantec und Kaspersky Labs zu verstecken.

Russische Malware Caberp kopiert und angepasst

Dazu bediente man sich unter anderem einer angepassten Ausgabe einer als "Caberp" bezeichneten russischen Malware, die ursprünglich von Betrügern für Angriffe auf Banken verwendet wurde. Caberp wurde in einschlägigen Foren teilweise für bis zu 35.000 Euro verkauft, im Jahr 2013 gelangte jedoch der Quellcode an die Öffentlichkeit. In einem Handbuch für eine Software-Komponente mit der Bezeichnung "Stolen Goods" (Diebesgut) beschreibt die CIA, wie man Komponenten des Caberp-Rootkits für ihre eigenen Zwecke einsetzte.

So hat die CIA offenbar den Installer teilweise und vor allem die Methoden zum Schutz gegen die Erkennung durch Sicherheitslösungen von Caberp übernommen und für eigene Zwecke angepasst. Dabei führte man zunächst eine Analyse der übernommenen Komponenten durch, um sicherzustellen, dass sie keine versteckten Funktionen, Hintertüren, Anfälligkeiten oder ähnliches enthielten. Letztlich habe man Caberp extrem stark verändert und angepasst, so dass nur wenig Original-Code übrig blieb.

Mit "Grasshopper" war es laut den Papieren ebenfalls möglich, zunächst eine Art Überprüfung des potenziellen Ziels durchzuführen. Man versuchte also herauszufinden, ob ein bestimmter Rechner bestimmte Lücken aufwies, um dann mit einem individuell zugeschnittenen Malware-Paket anzugreifen und genau diese Schwachstellen auszunutzen. Auch die Anpassung der Mechanismen zur Umgehung von Antivirus-Tools und anderen Schutzmaßnahmen sei mit "Grasshopper" möglich, so die mutmaßlichen CIA-Dokumente.

Microsoft und die genannten Sicherheitsdienstleister haben sich bisher noch nicht zu diesem Thema geäußert. Unklar ist derzeit, ob die CIA "Grasshopper" oder abgewandelte Werkzeuge derzeit auch gegen Windows-10-PCs einsetzt. Auch enthielten die Dokumente keinen Quellcode oder Informationen darüber, wer zum Ziel der Attacken geworden sein könnte.