CIA-Tool Pandemic dient als Infektionsherd im Windows-Netzwerk

Die CIA hat offenbar ein Tool mit dem Namen "Pandemic" entwickelt, das Angreifer im Rahmen von Spionageaktivitäten auf Windows-Fileservern installieren, um weitere Schadsoftware im Netzwerk über SMB-Freigaben zu verteilen. Auf Wikileaks wurden im Rahmen der Vault 7-Veröffentlichungen mehrere Dokumentationen des Werkzeugs veröffentlicht.

Pandemic arbeitet auf dem Windows-Fileserver als sogenannter Minifilter und verändert keine Dateien auf dem Dateisystem. Während der Installation trägt der Angreifer ein, welche Dateien ersetzt werden sollen. Fordert ein Client über eine SMB-Freigabe eine Datei in der Liste an, liefert der Server eine andere aus. Über diesen Weg lassen sich im Rahmen von gezielten Aktionen weitere Schadprogramme in Firmennetzen verteilen. Laut der Dokumentation haben die Entwicker verschiedene Limits eingebaut: Maximal 20 Dateien können ausgetauscht werden und die maximale Dateigröße beträgt 800 MB.

Nicht perfekt und nicht für die Massenüberwachung

Keine Angaben enthält das Dokument über den Weg, über den es in ein System eingeschleust und auf dem Fileserver installiert wird. Um es zu installieren, wird zunächst ein Zugriff auf das Serversystem benötigt. Insgesamt scheint das Tool laut Dokumentation nicht fehlerfrei. Ein ausführliches Kapitel der Dokumentation befasst sich mit bekannten Problemen wie Speicherlecks, Inkonsistenzen bei mehreren gleichzeitigen Zugriffen und der angezeigten Dateigröße.

Das Tool scheint nicht für die massenhafte Überwachung konzipiert zu sein, sondern ist vielmehr ein Werkzeug für gezielte Spionage-Angriffe in einzelnen Netzwerken. Die Konfiguration der auszutauschenden Dateien muss sehr genau an die Umgebung angepasst werden.

Anfang März begann WikiLeaks mit der Veröffentlichung von Dokumenten, die aus dem CIA-Center for Cyber Intelligence stammen sollen. Für die Zukunft sind weitere Veröffentlichungen angekündigt. (jam)