Wikileaks: Kaspersky und der Source-Code von CIA-Malware

Wikileaks veröffentlicht derzeit unter dem Namen Vault 8 Quellcode und Analysen von CIA-Malware, die bereits in der Vault-7-Serie beschrieben wurden – aber bislang eben nur beschrieben. Gestern publizierte die Enthüllungsplattform den Quellcode eines Toolkits namens "Hive", mit dessen Hilfe die CIA Malware auf infizierten Geräten kontrolliert hat.
 
Laut Wikileaks ist die aktuelle Veröffentlichung von Hive die erste in einer ganzen Reihe von Quellcode-Publikationen. Dies dürften keine guten Nachrichten sein und an die Veröffentlichungen der sogenannten Shadow Brokers erinnern, die im April Geheimdienst-Tools veröffentlichten. Teile davon fanden Eingang in allerhand Malware, unter anderem in alle drei riesigen Ransomware-Wellen dieses Jahr: WannaCry, NotPetya und Bad Rabbit. Sollte nun der Code von weiteren Angriffstools mit den schönen Namen wie Achilles, DarkSeaSkies, Brutal Kangaroo oder Angelfire – die neben anderen in den Vault-7-Files beschrieben wurden – veröffentlich werden, dürfte man sich wohl auf einen heissen Winter und Frühling gefasst machen.
 
Etwas Entwarnung mag ein Hinweis von Wikileaks geben, dass das publizierte Material keine (in der Publikation fettgeschrieben) Zeroday-Lücken oder ähnliche Schwachstellen beinhalte, die ausgenutzt werden könnten. Auch ist "Hive" keine direkte Gefahr für Enduser. Der Werkzeugkasten ist nicht geeignet, um Geräte zu kompromittieren, sondern eine Art Infrastrukturlösung für die Kontrolle von raffinierter Malware.
 
Ein interessanter Aspekt wird mit den neuen Veröffentlichungen zusätzlich aufgeworfen. Allem Anschein nach hat die CIA gefälschte Zertifikate benutzt, um die Kommunikation mit den C&C-Servern legitim erscheinen zu lassen. Brisant: In mindestens drei Fällen waren es Zertifikate, die von der Symantec-Tochter Thawte für Kaspersky Lab ausgestellt worden waren. Diese Erkenntnis fällt in eine Zeit in der von US-Seite heftige Anschuldigungen gegen das russische Security-Unternehmen erhoben werden. Kaspersky wehrt sich vehement gegen die Vorwürfe. (ts)