Wenn Firewalls, Netzwerküberwachungsdienste und Antivirensoftware nicht ausreichen, gab es schon immer einen todsicheren Weg, um Computer zu schützen, die sensible Vorgänge wie Stromnetze und Wasserpumpen steuern: Sie ganz vom Internet abzuschneiden. Doch neue Dokumente, die WikiLeaks am 22. Juni veröffentlichte, legen nahe, dass selbst bei solch extremen Maßnahmen kein Computer vor motivierten, gut ausgerüsteten Hackern sicher ist.

Die 11 Dokumente beschreiben eine Software namens „Brutal Kangaroo“, eine Reihe von Werkzeugen, die für das Eindringen in isolierte, „luftgekapselte“ Computer entwickelt wurden, indem sie auf mit dem Internet verbundene Netzwerke innerhalb derselben Organisation abzielen. Es ist die jüngste Veröffentlichung in der „Vault 7“-Serie von durchgesickerten Dokumenten, die unzählige Hacking-Tools beschreiben, die laut WikiLeaks der US Central Intelligence Agency (CIA) gehören.

Brutal Kangaroo funktioniert, indem es einen digitalen Pfad von einem Angreifer zu einem abgekapselten Computer und zurück erstellt. Der Prozess beginnt damit, dass ein Hacker aus der Ferne einen mit dem Internet verbundenen Computer in der anvisierten Organisation oder Einrichtung infiziert. Sobald er diesen ersten Computer infiziert hat, der in den Dokumenten als „Primärhost“ bezeichnet wird, wartet Brutal Kangaroo. Es kann sich erst dann auf andere Systeme ausbreiten, wenn jemand einen USB-Stick an diesen ersten Computer anschließt.

WikiLeaks

„Emotional Simian“, ein in den Brutal Kangaroo-Dokumenten beschriebenes Tool zum Verpacken von Malware

Wenn jemand dies tut, wird Malware, die speziell auf die Marke und das Modell des USB-Sticks zugeschnitten ist, darauf kopiert und versteckt sich in modifizierten LNK-Dateien, die Microsoft Windows zum Rendern von Desktop-Symbolen verwendet, sowie in DLL-Dateien, die ausführbare Programme enthalten. Von diesem Punkt aus verbreitet Brutal Kangaroo weitere Malware auf jedes System, an das das Laufwerk angeschlossen ist. Und diese Systeme werden jedes Laufwerk infizieren, das an sie angeschlossen ist, und so weiter, und die Idee ist, dass schließlich eines dieser Laufwerke an den Computer mit Luftschleuse angeschlossen wird.

Der größte Fehler im Konzept der Isolierung empfindlicher Computer besteht darin, dass die Luftschleuse um sie herum nur aufrechterhalten werden kann, wenn niemand jemals Dateien auf oder von ihnen kopieren muss. Aber selbst bei spezialisierten Systemen müssen immer wieder Updates und Patches installiert und Informationen eingespeist oder entnommen werden. Es ist unter IT-Spezialisten allgemein bekannt, dass externe Festplatten ein offensichtliches Ziel für jeden sind, der versucht, den Luftraum zu durchbrechen, und in Einrichtungen mit sorgfältigen IT-Spezialisten werden vermutlich Vorsichtsmaßnahmen getroffen. Diese Vorsichtsmaßnahmen können jedoch durch die Ausnutzung obskurer Schwachstellen unterlaufen werden, und manchmal passieren einfach Fehler.

Wird ein mit Brutal Kangaroo infizierter USB-Stick an einen Computer mit Luftschleuse angeschlossen, kopiert er sich sofort auf den Computer. Wenn ein Benutzer versucht, den Inhalt des infizierten Laufwerks auf diesem Computer zu durchsuchen, wird zusätzliche Malware ausgelöst, die Daten auf dem Computer sammelt. Wenn die Benutzer das Laufwerk weiterhin an angeschlossene und nicht angeschlossene Computer anschließen, wird ein Relais gebildet, das schließlich einen langsamen Weg zurück zum Hacker schafft, über den die vom abgekapselten Computer kopierten Daten geliefert werden, wenn alles nach Plan läuft.

Viele Details, die in den Brutal-Kangaroo-Dokumenten beschrieben werden, haben Vergleiche mit Stuxnet gezogen, der leistungsstarken Malware, die Berichten zufolge von den USA und Israel entwickelt wurde, um das iranische Atomprogramm zu sabotieren. Stuxnet wurde speziell entwickelt, um aus der Luft gesteuerte Computer anzugreifen, die Zentrifugen in einer iranischen Atomanlage steuerten. Die Angreifer zielten in diesem Fall nicht auf ein mit dem Internet verbundenes Netzwerk innerhalb der Nuklearanlage ab – vermutlich, weil es dort keins gab -, sondern auf fünf externe Organisationen, so ein Bericht in Wired aus dem Jahr 2014. Von dort aus funktionierte der Angriff jedoch auf ähnliche Weise wie die in den Brutal-Kangaroo-Dokumenten beschriebenen Methoden: Stuxnet verbreitete sich ebenfalls über USB-Sticks, versteckte sich in LNK-Dateien und versuchte, ein Relais einzurichten, um Informationen an die Angreifer zurückzuschicken.

Stuxnet wurde schließlich von Sicherheitsforschern entdeckt, weil es zu mächtig war und sich auf weit mehr Computer verbreitete, als seine Schöpfer offenbar wollten. Die Entwickler von Brutal Kangaroo scheinen daraus ihre Lehren gezogen zu haben und beschreiben in ihren Dokumenten mehrere Überprüfungen, die die Ausbreitung des Virus verhindern, wenn bestimmte Faktoren erfüllt sind. Jedes Mal, wenn es auf einem neuen Computer landet, überprüft Brutal Kangaroo zunächst das Datum des Computers. Liegt es nach einem in der Malware fest einkodierten Datum, „wird das Programm sofort beendet“, heißt es in den Dokumenten. Außerdem prüft es eine Art „schwarze Liste“ und beendet sich, wenn der Computer darauf steht. Es beendet Brutal Kangaroo auch, „wenn der Computer zuvor gesehen wurde“

Die Brutal-Kangaroo-Dokumente sind nur die jüngste Enthüllung darüber, wozu die Hacker der CIA angeblich fähig sind. Frühere Veröffentlichungen von Vault 7 enthielten Dokumente, die nahelegen, dass der Geheimdienst Smart-TVs in Abhörgeräte verwandeln, verschiedene Desktop- und mobile Betriebssysteme hacken und den Internetverkehr überwachen kann, indem er in private WLAN-Router einbricht. Im April hat Symantec mehrere in den Veröffentlichungen beschriebene Tools mit invasiver Software abgeglichen, die es seit 2014 verfolgt. Diese Malware habe seit 2011 mindestens 40 Ziele in 16 Ländern infiziert, so das Unternehmen in einem Blogbeitrag, und sei möglicherweise schon seit 2007 aktiv.

Die CIA hat nicht bestätigt, dass sie Eigentümerin der Dokumente oder Tools ist, aber wie Motherboard im vergangenen März feststellte, sagten US-Beamte vor Gericht, dass die Dokumente Verschlusssachen enthalten, was darauf hindeutet, dass die Leaks tatsächlich authentisch sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.