"Brutal Kangaroo" Geheimdokumente erklären CIA-Angriff per USB-Stick

Der US-Geheimdienst CIA kann Computer per USB-Stick kapern. Das zeigen von WikiLeaks veröffentlichte Geheimdokumente. Die Technik erinnert an den Stuxnet-Angriff auf iranische Atomanlagen.

Screenshot der CIA-Software
wikileaks.org

Screenshot der CIA-Software


Will man verhindern, dass Computer von fremden Mächten manipuliert werden, ist ein Schritt wohl der sinnvollste: Man muss die Netzwerkkabel kappen. Einen Rechner, der mit keinem öffentlichen Netzwerk verbunden ist, können Außenstehende zumindest nicht mit klassischen Onlineangriffen attackieren. Um Schadsoftware auf derart isolierte PC zu kriegen, müsste man einen Agenten einschleusen, der sich an den Geräten selbst zu schaffen macht.

Eine Reihe von Geheimdokumenten, die Wikileaks am Donnerstag veröffentlicht hat, zeigt aber, dass es auch anders geht. Die Texte beschreiben eine Software-Sammlung namens "Brutal Kangaroo" - brutales Känguru -, mit der es möglich ist, Computer mit Schadsoftware zu infizieren, auch wenn diese weder ans Internet noch an ein anderes öffentliches Netzwerk angeschlossen sind.

Die in den Dokumenten beschriebene Methode macht sich zunutze, dass man in der Regel auch mit abgeschotteten Computern Daten austauschen muss. Heute werden dazu meist USB-Sticks verwendet. Man spricht dann auch von Turnschuhnetzwerken, weil die Daten nicht per Netzwerkkabel, sondern zu Fuß von einem Rechner auf den anderen übertragen werden.

Von einem PC auf viele

Um in ein solches Turnschuhnetzwerk einzudringen, wird dem CIA-Handbuch zufolge zunächst eine Schadsoftware namens "Drifting Deadline" auf einen vernetzten Computer der Organisation, die man angreifen will, eingeschleust. Während WikiLeaks in seinem Text zu den Dokumenten schreibt, dabei müsse es sich um einen mit dem Internet verbundenen Computer handeln, vermittelt das Software-Handbuch den Eindruck, dieser Computer solle per USB-Stick mit der CIA-Software infiziert werden.

Der so infizierte Rechner wird als "Primärwirt" bezeichnet. Sobald jemand einen USB-Stick in diesen PC einsteckt, kopiert sich die Schadsoftware heimlich auf den Stick und verbreitet sich so weiter. Erreicht die Schadsoftware auf diese Weise ein vom Rest der Welt abgeschottetes Netzwerk, verbreitet sie sich auch über dieses Netzwerk von PC zu PC.

Das Ziel ist es offenbar, Daten von den infizierten Computern zu sammeln. Die Ergebnisse dieser Untersuchung werden dann verschlüsselt auf der Festplatte gesammelt und wieder auf den oder einen anderen USB-Stick kopiert, sobald ein solcher in den Opferrechner eingesteckt wird. Die gesammelten und auf den Stick gespielten Daten sollen dann an einen CIA-Server gesendet werden, sobald der fragliche Stick in einen Computer mit Internetverbindung gesteckt wird.

Ähnlichkeiten mit Stuxnet

Die grundsätzliche Vorgehensweise erinnert an das System, mit dem der Stuxnet-Wurm in das Netzwerk iranischer Atomanlagen eingebracht wurde. Auch die Computer der iranischen Urananreicherungsanlagen waren vom Internet abgeschirmt, sie wurden per USB-Stick infiziert.

Allerdings liegt der Fall Stuxnet lange vor dem Erstellungsdatum des nun von WikiLeaks veröffentlichten Handbuchs zu Brutal Kangaroo. Stuxnet wurde bereits 2010 entdeckt, das Software-Handbuch der CIA stammt aus 2016.

Angriffsziel Uralt-Windows

Als Ziel-Betriebssysteme für die verschiedenen Versionen der Schadsoftware werden Windows XP, Windows Vista, Windows 7 und Windows 8 genannt. Um funktionieren zu können, nutzen die Programme eine Schwachstelle im Windows-Betriebssystem.

Das Tech-Portal "Ars Technica" zitiert allerdings eine Stellungnahme von Microsoft, in der es heißt, dass die von der CIA-Software ausgenutzte Schwachstelle in den aktuell von Microsoft unterstützten Versionen von Windows nicht mehr angreifbar ist. Auf Windows XP und Vista würde diese Aussage dann nicht mehr zutreffen, da für beide Versionen der Support bereits abgelaufen ist.

Microsoft weist darauf hin, dass man ohnehin lieber auf Windows 10 umsteigen sollte. Das würde einen besseren Schutz gegen derartige Angriffe bieten, weil es sich automatisch mit Updates gegen bekannte Sicherheitslücken versorge. Ein frommer Wunsch: Laut Netmarketshare hat das aktuelle Windows derzeit einen Marktanteil von knapp 27 Prozent. Ältere Versionen kommen dagegen auf insgesamt fast 65 Prozent, von denen allein auf das völlig veraltete XP noch 5,66 Prozent entfallen.

mak



insgesamt 12 Beiträge
Alle Kommentare öffnen
Seite 1
steffen.ganzmann 23.06.2017
1. Ist das wirklich SO neu?
In der Firma meiner Frau waren extra deshalb *sämtliche* USB-Ports aller Rechner unbrauchbar gemacht worden. Aber das war schon ungefähr Mitte der 1990er ...
felisconcolor 23.06.2017
2. Cool
was der CIA so kann. Nach den Sommerferien habe ich wieder Konjunktur "mimimimi hab mein Passwort vergessen". Die ganze Aktion dauert 5 Minuten. Es mag natürlich auch kompliziertere Aktionen geben und es gibt wie schon im Forum geschrieben erst gar keine USB Ports. Aber auch das ist kein Problem, wenn man Zeit hat hat man auch wieder USB Ports. Und in den meisten Fällen helfen dem CIA sowieso die Personen die belauscht werden sollen. man lässt den Stick ganz einfach in der Kantiene auf dem parkplatz oder auf dem Schreibtisch des Betreffenden liegen. Der Rest geht von allein. Der Mensch ist halt zu neugierig. Und damit ist auch der CIA nur allzu menschlich ;-)
Bernd.Brincken 23.06.2017
3. Automatische Updates unter Windows 10
Automatische Updates unter Windows 10 sind eine mögliche Reaktion auf solche Schwachstellen - aber auch ein mögliches Einfallstor für Angriffe. Was sprach denn dagegen, diese Updates _abschaltbar_ zu machen, wie auch bei früherer Windows-Versionen? In der jetzigen Fassung ist Windows 10 für viele sicherheits-bewußte Unternehmen und Nutzer schlicht inakzeptabel.
varlex 23.06.2017
4.
Zitat von Bernd.BrinckenAutomatische Updates unter Windows 10 sind eine mögliche Reaktion auf solche Schwachstellen - aber auch ein mögliches Einfallstor für Angriffe. Was sprach denn dagegen, diese Updates _abschaltbar_ zu machen, wie auch bei früherer Windows-Versionen? In der jetzigen Fassung ist Windows 10 für viele sicherheits-bewußte Unternehmen und Nutzer schlicht inakzeptabel.
Unternehmen bekommen eine ganz andere Variante von Win10 als der Privatnutzer (ich weiß es, ich habs auf Arbeit und zu Hause). Ansonsten, die Updates sind durch eine Firewall blockierbar. Zum Thema, Angriffe durch USB-Sticks sind schon ein alter Hut...denn es ist einfach über USB-Sticks einen Schadcode aufzuspielen, als von außen über das Netz.
Olaf 23.06.2017
5.
Das kann sicherlich nicht nur die CIA.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.