Durch WikiLeaks-Dokumente Sicherheitsexperten könnten CIA-Hackergruppe enttarnt haben

WikiLeaks stellt zurzeit viele interne CIA-Dokumente ins Netz. Dadurch könnte es Experten nun gelungen sein, dem US-Geheimdienst Spionageattacken in 16 Ländern zuzuschreiben.
CIA-Zeichen

CIA-Zeichen

Foto: Carolyn Kaster/ dpa

Achttausendsiebenhunderteinundsechzig Dokumente hat WikiLeaks vor gut einem Monat ins Netz gestellt. Nicht nur wegen des schieren Umfangs, auch inhaltlich bringen die Daten Interpreten an ihre Grenzen. Codenamen wie "Grasshopper", "Weeping Angel" oder "CandyMountain" tauchen als Überschriften in einer Liste von Werkzeugen und Projekten auf, die WikiLeaks der CIA zuschreibt.

Das erste Leak war praktisch ein Inhaltsverzeichnis, eine erste Übersicht der von WikiLeaks "Vault 7" betitelten Informationen. Nach und nach wird dieses Verzeichnis nun mit weiteren Dokumenten gefüllt. Die Welt erfährt so Stück für Stück mehr darüber, was sich konkret hinter den Codenamen des US-Geheimdienstes verbirgt.

Unter dem Stichwort "Marble" etwa erschien ein Dokument mit Quellcode. Der Code gehört zu einem sogenannten Obfuscator, ein Programm, das von der CIA dafür genutzt worden sein könnte, eigene Schadsoftware zu verschleiern.

Keine schnellen, simplen Antworten

Eine solche Veröffentlichung ist für Spezialisten interessant: Lässt sich aus dem Code herauslesen, welches irgendwo auf der Welt im Einsatz befindliche Tool von der CIA stammt und wie es getarnt wurde? Lassen sich gar vergangene Angriffe, die beispielsweise den Russen oder Chinesen zugeordnet wurden, nun dem amerikanischen Geheimdienst zuweisen?

Simple, schnelle Antworten auf diese Fragen gibt es wohl nicht. Um Angriffe der CIA zuzuschreiben, bräuchte es "mehr Beweise", kommentierte etwa der Sicherheitsexperte Sean Sullivan von der finnischen IT-Sicherheitsfirma F-Secure Labs die "Marble"-Veröffentlichung. Sein Kollege Mikko Hyppönen sagte über Vault 7, es sei "keine Überraschung", dass die CIA solche Hacker-Werkzeuge nutze.

Die CIA dürfte es wie schon die NSA zu Zeiten der Snowden-Dokumente ärgern, wie viel nun über ihr Vorgehen bekannt wird. Denn Experten - und somit auch andere Geheimdienste - haben durch die veröffentlichten Dokumente einen detaillierten Einblick in die Arbeit und die interne Kommunikation der CIA. Und der normale Bürger kann jetzt zumindest nachvollziehen, was heute unter Geheimdienstmethoden zu verstehen ist.

Eine Verbindung zu Vault 7

Zu welchen konkreten Erkenntnissen die Dokumente führen können, zeigt gerade die amerikanische Sicherheitsfirma Symantec. Die Kalifornier, die die Norton-Schutzprogramme veröffentlichen, meldeten am Montag, eine schon seit Längerem beobachtete Cyberspionage-Gruppe nun mit dem Vault-7-Leak in Zusammenhang bringen zu können.

"Die WikiLeaks-Dokumente haben uns geholfen, unser Bild über die Gruppe zu vervollständigen", sagt Candid Wüest, Sicherheitsexperte bei Symantec auf eine SPIEGEL-Anfrage. Das Unternehmen habe in den vergangenen Jahren Malware gefunden, die - wie sich jetzt zeigte - teils fast exakt zu den Entwicklungsplänen und technischen Spezifikationen passt, die in den Vault-7-Dokumenten von WikiLeaks auftauchen.

Schon 2014 war Symantec auf eine Hackergruppe aufmerksam geworden, die offenbar hinter ganz bestimmten Spionageangriffen steckt. Sie nannte die Gruppierung Longhorn. Wie schon mehrere Dutzend andere landete die Gruppe damals auf dem Firmenradar, weil sie in Form eines manipulierten Word-Dokuments einen Zero-Day-Exploit für Windows-Rechner ausnutzte. Als Zero-Days bezeichnet man gravierende, bis dato unbekannte Schwachstellen.

Ziele in 16 Ländern

Es blieb nicht bei dieser einen Attacke. Symantec seien mittlerweile 40 Ziele der Gruppe in 16 Ländern bekannt, heißt es: zwar nicht in Deutschland, aber im Nahen Osten, in Europa, Asien und in Afrika. Betroffen seien etwa eine Bank, ein Provider und Non-Profit-Organisationen. "Alle Organisationen, die im Fokus standen, wären für einen staatlichen Angreifer interessant", heißt es. Im Spionageeinsatz sollen die Werkzeuge von Longhorn mindestens schon seit 2011 sein.

Einmal sei auch ein Computer in den USA von einer Attacke betroffen gewesen, berichtet Symantec. In diesem Fall sei aber binnen Stunden die Schadsoftware wieder deinstalliert worden. Das deute darauf hin, dass der betroffene Rechner wohl unabsichtlich infiziert wurde.

Symantec nennt noch andere Indizien dafür, dass Longhorn eine englischsprachige Gruppe aus Nordamerika sein könnte. So soll sie zum Beispiel das Akronym MTWRFSU (für: Monday Tuesday Wednesday ThuRsday Friday Saturday SUnday) genutzt haben, um festlegen, an welchem Wochentag die Malware Kontakt mit der Gruppe aufnimmt. Außerdem sollen bestimmte Aktivitäten der Gruppe mit den amerikanischen Zeitzonen übereingestimmt haben. "Die Gruppe schien eine Standardarbeitswoche von Montag bis Freitag zu haben", heißt es in der Analyse .

"Longhorn werden ihre Tools jetzt anpassen"

Am Ende gebe es "kaum Zweifel", dass hinter den Longhorn-Aktivitäten und den Vault-7-Dokumenten dieselbe Gruppe stehe, heißt es bei Symantec. Das bedeutet: Wenn die Dokumente tatsächlich von der CIA stammen - worauf bisher alles hindeutet -, stünde hinter den von Symantec beschriebenen Longhorn-Attacken der US-Geheimdienst.

"Im Grunde lässt sich alles fälschen. Man kann sich nie hundertprozentig sicher sein", sagt Candid Wüest von Symantec. Es komme aber selten vor, dass Hackergruppen etwa so viel Aufwand betreiben, dass sie etwa ihre Aktivität zeitlich anpassen, um den Verdacht auf jemand anderen zu lenken.

In Zukunft jedoch könnte es für Symantec sowie andere Firmen und Geheimdienste aber schwerer werden, nachzuhalten, was die mutmaßlichen CIA-Hacker tun: "Longhorn werden ihre Tools jetzt anpassen", vermutet Wüest.

Veröffentlichungen wie die von WikiLeaks hätten zudem die Folge, dass "die Grenzen zwischen Malware verwässert werden. "Weil nun Schlüsselwörter aus den Vault-7-Dokumenten bekannt sind, können diese Wörter jetzt auch von anderen verwendet werden", sagt Wüest.