SPIEGEL ONLINE

SPIEGEL ONLINE

23. Juni 2017, 11:48 Uhr

"Brutal Kangaroo"

Geheimdokumente erklären CIA-Angriff per USB-Stick

Der US-Geheimdienst CIA kann Computer per USB-Stick kapern. Das zeigen von WikiLeaks veröffentlichte Geheimdokumente. Die Technik erinnert an den Stuxnet-Angriff auf iranische Atomanlagen.

Will man verhindern, dass Computer von fremden Mächten manipuliert werden, ist ein Schritt wohl der sinnvollste: Man muss die Netzwerkkabel kappen. Einen Rechner, der mit keinem öffentlichen Netzwerk verbunden ist, können Außenstehende zumindest nicht mit klassischen Onlineangriffen attackieren. Um Schadsoftware auf derart isolierte PC zu kriegen, müsste man einen Agenten einschleusen, der sich an den Geräten selbst zu schaffen macht.

Eine Reihe von Geheimdokumenten, die Wikileaks am Donnerstag veröffentlicht hat, zeigt aber, dass es auch anders geht. Die Texte beschreiben eine Software-Sammlung namens "Brutal Kangaroo" - brutales Känguru -, mit der es möglich ist, Computer mit Schadsoftware zu infizieren, auch wenn diese weder ans Internet noch an ein anderes öffentliches Netzwerk angeschlossen sind.

Die in den Dokumenten beschriebene Methode macht sich zunutze, dass man in der Regel auch mit abgeschotteten Computern Daten austauschen muss. Heute werden dazu meist USB-Sticks verwendet. Man spricht dann auch von Turnschuhnetzwerken, weil die Daten nicht per Netzwerkkabel, sondern zu Fuß von einem Rechner auf den anderen übertragen werden.

Von einem PC auf viele

Um in ein solches Turnschuhnetzwerk einzudringen, wird dem CIA-Handbuch zufolge zunächst eine Schadsoftware namens "Drifting Deadline" auf einen vernetzten Computer der Organisation, die man angreifen will, eingeschleust. Während WikiLeaks in seinem Text zu den Dokumenten schreibt, dabei müsse es sich um einen mit dem Internet verbundenen Computer handeln, vermittelt das Software-Handbuch den Eindruck, dieser Computer solle per USB-Stick mit der CIA-Software infiziert werden.

Der so infizierte Rechner wird als "Primärwirt" bezeichnet. Sobald jemand einen USB-Stick in diesen PC einsteckt, kopiert sich die Schadsoftware heimlich auf den Stick und verbreitet sich so weiter. Erreicht die Schadsoftware auf diese Weise ein vom Rest der Welt abgeschottetes Netzwerk, verbreitet sie sich auch über dieses Netzwerk von PC zu PC.

Das Ziel ist es offenbar, Daten von den infizierten Computern zu sammeln. Die Ergebnisse dieser Untersuchung werden dann verschlüsselt auf der Festplatte gesammelt und wieder auf den oder einen anderen USB-Stick kopiert, sobald ein solcher in den Opferrechner eingesteckt wird. Die gesammelten und auf den Stick gespielten Daten sollen dann an einen CIA-Server gesendet werden, sobald der fragliche Stick in einen Computer mit Internetverbindung gesteckt wird.

Ähnlichkeiten mit Stuxnet

Die grundsätzliche Vorgehensweise erinnert an das System, mit dem der Stuxnet-Wurm in das Netzwerk iranischer Atomanlagen eingebracht wurde. Auch die Computer der iranischen Urananreicherungsanlagen waren vom Internet abgeschirmt, sie wurden per USB-Stick infiziert.

Allerdings liegt der Fall Stuxnet lange vor dem Erstellungsdatum des nun von WikiLeaks veröffentlichten Handbuchs zu Brutal Kangaroo. Stuxnet wurde bereits 2010 entdeckt, das Software-Handbuch der CIA stammt aus 2016.

Angriffsziel Uralt-Windows

Als Ziel-Betriebssysteme für die verschiedenen Versionen der Schadsoftware werden Windows XP, Windows Vista, Windows 7 und Windows 8 genannt. Um funktionieren zu können, nutzen die Programme eine Schwachstelle im Windows-Betriebssystem.

Das Tech-Portal "Ars Technica" zitiert allerdings eine Stellungnahme von Microsoft, in der es heißt, dass die von der CIA-Software ausgenutzte Schwachstelle in den aktuell von Microsoft unterstützten Versionen von Windows nicht mehr angreifbar ist. Auf Windows XP und Vista würde diese Aussage dann nicht mehr zutreffen, da für beide Versionen der Support bereits abgelaufen ist.

Microsoft weist darauf hin, dass man ohnehin lieber auf Windows 10 umsteigen sollte. Das würde einen besseren Schutz gegen derartige Angriffe bieten, weil es sich automatisch mit Updates gegen bekannte Sicherheitslücken versorge. Ein frommer Wunsch: Laut Netmarketshare hat das aktuelle Windows derzeit einen Marktanteil von knapp 27 Prozent. Ältere Versionen kommen dagegen auf insgesamt fast 65 Prozent, von denen allein auf das völlig veraltete XP noch 5,66 Prozent entfallen.

mak

URL:


© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung