Durch WikiLeaks-Dokumente Sicherheitsexperten könnten CIA-Hackergruppe enttarnt haben

WikiLeaks stellt zurzeit viele interne CIA-Dokumente ins Netz. Dadurch könnte es Experten nun gelungen sein, dem US-Geheimdienst Spionageattacken in 16 Ländern zuzuschreiben.

CIA-Zeichen
DPA

CIA-Zeichen

Von und


Achttausendsiebenhunderteinundsechzig Dokumente hat WikiLeaks vor gut einem Monat ins Netz gestellt. Nicht nur wegen des schieren Umfangs, auch inhaltlich bringen die Daten Interpreten an ihre Grenzen. Codenamen wie "Grasshopper", "Weeping Angel" oder "CandyMountain" tauchen als Überschriften in einer Liste von Werkzeugen und Projekten auf, die WikiLeaks der CIA zuschreibt.

Das erste Leak war praktisch ein Inhaltsverzeichnis, eine erste Übersicht der von WikiLeaks "Vault 7" betitelten Informationen. Nach und nach wird dieses Verzeichnis nun mit weiteren Dokumenten gefüllt. Die Welt erfährt so Stück für Stück mehr darüber, was sich konkret hinter den Codenamen des US-Geheimdienstes verbirgt.

Unter dem Stichwort "Marble" etwa erschien ein Dokument mit Quellcode. Der Code gehört zu einem sogenannten Obfuscator, ein Programm, das von der CIA dafür genutzt worden sein könnte, eigene Schadsoftware zu verschleiern.

Keine schnellen, simplen Antworten

Eine solche Veröffentlichung ist für Spezialisten interessant: Lässt sich aus dem Code herauslesen, welches irgendwo auf der Welt im Einsatz befindliche Tool von der CIA stammt und wie es getarnt wurde? Lassen sich gar vergangene Angriffe, die beispielsweise den Russen oder Chinesen zugeordnet wurden, nun dem amerikanischen Geheimdienst zuweisen?

Simple, schnelle Antworten auf diese Fragen gibt es wohl nicht. Um Angriffe der CIA zuzuschreiben, bräuchte es "mehr Beweise", kommentierte etwa der Sicherheitsexperte Sean Sullivan von der finnischen IT-Sicherheitsfirma F-Secure Labs die "Marble"-Veröffentlichung. Sein Kollege Mikko Hyppönen sagte über Vault 7, es sei "keine Überraschung", dass die CIA solche Hacker-Werkzeuge nutze.

Die CIA dürfte es wie schon die NSA zu Zeiten der Snowden-Dokumente ärgern, wie viel nun über ihr Vorgehen bekannt wird. Denn Experten - und somit auch andere Geheimdienste - haben durch die veröffentlichten Dokumente einen detaillierten Einblick in die Arbeit und die interne Kommunikation der CIA. Und der normale Bürger kann jetzt zumindest nachvollziehen, was heute unter Geheimdienstmethoden zu verstehen ist.

Eine Verbindung zu Vault 7

Zu welchen konkreten Erkenntnissen die Dokumente führen können, zeigt gerade die amerikanische Sicherheitsfirma Symantec. Die Kalifornier, die die Norton-Schutzprogramme veröffentlichen, meldeten am Montag, eine schon seit Längerem beobachtete Cyberspionage-Gruppe nun mit dem Vault-7-Leak in Zusammenhang bringen zu können.

"Die WikiLeaks-Dokumente haben uns geholfen, unser Bild über die Gruppe zu vervollständigen", sagt Candid Wüest, Sicherheitsexperte bei Symantec auf eine SPIEGEL-Anfrage. Das Unternehmen habe in den vergangenen Jahren Malware gefunden, die - wie sich jetzt zeigte - teils fast exakt zu den Entwicklungsplänen und technischen Spezifikationen passt, die in den Vault-7-Dokumenten von WikiLeaks auftauchen.

Schon 2014 war Symantec auf eine Hackergruppe aufmerksam geworden, die offenbar hinter ganz bestimmten Spionageangriffen steckt. Sie nannte die Gruppierung Longhorn. Wie schon mehrere Dutzend andere landete die Gruppe damals auf dem Firmenradar, weil sie in Form eines manipulierten Word-Dokuments einen Zero-Day-Exploit für Windows-Rechner ausnutzte. Als Zero-Days bezeichnet man gravierende, bis dato unbekannte Schwachstellen.

Ziele in 16 Ländern

Es blieb nicht bei dieser einen Attacke. Symantec seien mittlerweile 40 Ziele der Gruppe in 16 Ländern bekannt, heißt es: zwar nicht in Deutschland, aber im Nahen Osten, in Europa, Asien und in Afrika. Betroffen seien etwa eine Bank, ein Provider und Non-Profit-Organisationen. "Alle Organisationen, die im Fokus standen, wären für einen staatlichen Angreifer interessant", heißt es. Im Spionageeinsatz sollen die Werkzeuge von Longhorn mindestens schon seit 2011 sein.

Einmal sei auch ein Computer in den USA von einer Attacke betroffen gewesen, berichtet Symantec. In diesem Fall sei aber binnen Stunden die Schadsoftware wieder deinstalliert worden. Das deute darauf hin, dass der betroffene Rechner wohl unabsichtlich infiziert wurde.

Symantec nennt noch andere Indizien dafür, dass Longhorn eine englischsprachige Gruppe aus Nordamerika sein könnte. So soll sie zum Beispiel das Akronym MTWRFSU (für: Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday) genutzt haben, um festlegen, an welchem Wochentag die Malware Kontakt mit der Gruppe aufnimmt. Außerdem sollen bestimmte Aktivitäten der Gruppe mit den amerikanischen Zeitzonen übereingestimmt haben. "Die Gruppe schien eine Standardarbeitswoche von Montag bis Freitag zu haben", heißt es in der Analyse.

"Longhorn werden ihre Tools jetzt anpassen"

Am Ende gebe es "kaum Zweifel", dass hinter den Longhorn-Aktivitäten und den Vault-7-Dokumenten dieselbe Gruppe stehe, heißt es bei Symantec. Das bedeutet: Wenn die Dokumente tatsächlich von der CIA stammen - worauf bisher alles hindeutet -, stünde hinter den von Symantec beschriebenen Longhorn-Attacken der US-Geheimdienst.

"Im Grunde lässt sich alles fälschen. Man kann sich nie hundertprozentig sicher sein", sagt Candid Wüest von Symantec. Es komme aber selten vor, dass Hackergruppen etwa so viel Aufwand betreiben, dass sie etwa ihre Aktivität zeitlich anpassen, um den Verdacht auf jemand anderen zu lenken.

In Zukunft jedoch könnte es für Symantec sowie andere Firmen und Geheimdienste aber schwerer werden, nachzuhalten, was die mutmaßlichen CIA-Hacker tun: "Longhorn werden ihre Tools jetzt anpassen", vermutet Wüest.

Veröffentlichungen wie die von WikiLeaks hätten zudem die Folge, dass "die Grenzen zwischen Malware verwässert werden. "Weil nun Schlüsselwörter aus den Vault-7-Dokumenten bekannt sind, können diese Wörter jetzt auch von anderen verwendet werden", sagt Wüest.

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 34 Beiträge
Alle Kommentare öffnen
Seite 1
stranzjoseffrauss 10.04.2017
1. Immer schön die Originalquelle nennen
Denn das hat SPON doch sicher nicht selber recherchiert, sondern nur halbwegs passend zusammengefasst. https://www.symantec.com/connect/blogs/longhorn-tools-used-cyberespionage-group-linked-vault-7 Danke für den Hinweis, wir haben den Text entsprechend ergänzt. MfG Redaktion Forum
Tomas Maidan 10.04.2017
2. Kein Tag
ohne Geheimdienst-Themen ... Seit Trump durch Putins Hilfe an die Macht gekommen ist, vergeht kein Tag ohne neue Themen aus der Welt des Cyberkrieges und der Desinformation. So langsam würde man mal wieder gerne Politik von echten Menschen für echte Menschen erleben - und nicht dieses Schauspiel, das ein russischer Geheimdienstmann für seinen Kumpel, einen rechtsradikalen Immobilien-Oligarchen abzieht.
bkarger 10.04.2017
3. Heute früh lasen
Wie in SPON noch eine Warnung vom US Geheimdienst, dass die Russen die Wahlen in Deutschland und Europa manipulieren wollen. Und nun das ? Die CIA höchst selbst ist einer der Übeltäter ?
malu501 10.04.2017
4. Interessant wäre zu wissen,
wen Symantec bisher hinter "Longhorn" vermutet hat. Gab es dazu bereits Berichte?
observatorius 10.04.2017
5. Achtung: F-Secure Labs
Liebe SPON-Readaktion, Danke für den Bericht in Sachen #Vault7! Umfang und Brinsanz sind in der Tat kaum zu überterschätzen und im Detail wirklich nicht leicht zu evaluieren. F-Secure Labs sind allerdingts in dieser Cause ein Quelle mit Beigeschmack. Da gibt zwar sicher auch unbefleckte Leute, aber es gibt auf personeller Ebene einfach auffällig viele Querverbindungen zu diversen US-Contractors. Daher würde ich deren Einschätzungen in diesem Zusammenhang nicht für objektiv halten. Sonst könnte man natürlich auch direkt bei den US-Diensten nachfragen, aber deren Verharmlosungsrhetorik kennt man ja schon aus den Snowden-leaks.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.