Wikileaks: CIA tarnt Spionage-Software mit gefälschten Kaspersky-Zertifikaten
Neues aus dem von Wikileaks veröffentlichten CIA-"Bienenkorb": Der US-amerikanische Auslandsgeheimdienst CIA hat den Nachrichtenverkehr zu seinen Command-&-Control-Servern mit gefälschten Zertifikaten des russischen Kaspersky Lab abgesichert.
(Bild: wikileaks.org)
Mit der neuesten Veröffentlichung von Vault 8 hat Wikileaks Dateien veröffentlicht, die die innere Funktion des bereits früher als Hive (Bienenkorb) bekannten Projektes weiter erklären können. Demnach benutzte der US-amerikanische Auslandsgeheimdienst CIA Täusch-Zertifikate bei der Kommunikation mit den Command-&-Control-Servern. Die nun von Wikileaks freigegebenen Dateien zeigen, dass mindestens in drei Fällen von der Symantec-Tochter Thawte ausgestellte Zertifikate für das russische Unternehmen Kaspersky Lab benutzt wurden. Während Wikileaks von einem Skandal redet, wird der Vorfall von Kasperky untersucht.
Technisch ist das, was Wikileaks nun aus dem vorhandenen CIA-Material veröffentlicht hat, einfach zu erklären: Wenn ein Angreifer über einen Command-&-Control-Server mit dem von ihm infizierten Systemen kommunizieren will, muss er einen möglichst unverdächtigen Kanal wählen. Im Fall von "Vault 8", dem vom CIA Projekt "Hive" genannten System, wurden gefälschte Zertifikate verwendet, die den Nachrichtenverkehr zwischen der Malware und den C&C-Servern authentifizierten und somit unverdächtig erscheinen lassen sollten. Die CIA nutzte dafür Zertifikate, die von Thawte auf die russische Firma Kaspersky Labs ausgestellt waren.
Der Zeitpunkt der Vault-8-Veröffentlichungen fällt mit vielfältigen Spekulationen zusammen, wie "russische Hacker" aus der so genannten Fancy-Bear-Szene die Wahlen in den Vereinigten Staaten möglicherweise beeinflusst haben. (anw)
