Neu von MSI

Vault 7: Let's make America leak again

reported by doelf, Donnerstag der 09.03.2017, 18:29:56 Uhr

Mit "Vault 7" scheint WikiLeaks zu alter Stärke zurückzukehren und legt brisante Dokumente über die Cyberwaffen des US-amerikanischen Auslandsgeheimdiensts CIA auf den Tisch. Okay, nicht alles ist wirklich brisant. Der Tipp, Dienstflüge mit der Lufthansa zu machen, da man sich an Bord kostenlos besaufen kann, ist aber zumindest praxisnah und ein guter Grund "to take a leak". Beunruhigend sind indes Angriffe auf Smart-TVs, gesicherte Router und medizinische Geräte.

Früher setzten die Jungs und Mädels aus Langley auf persönliche Kontakte - Bestechung, Erpressung, Folter - und überließen die Computerspiele den Nerds von der "National Security Agency" (NSA). Doch auch die "Central Intelligence Agency" (CIA) musste die Zeichen der Zeit erkennen und sich mit eigenen Nerds verstärken. Sicher, der menschliche Faktor geht dabei verloren, doch durch die Vernetzung der Welt ist die digitale Informationsbeschaffung einfach viel effizienter. Und jede Sicherheitslücke, die man dem eigenen Cyberwaffenarsenal hinzufügt, könnte sich irgendwann einmal als nützlich erweisen. Dies ist eine Sache, die "Vault 7" klar dokumentiert: Sicherheitslücken werden als Waffen betrachtet und geheim gehalten. Selbst wenn die Schwachstellen wichtige Infrastrukturen bedrohen, werden die Betreiber der Anlagen und die Entwickler der Software nicht informiert.

Primäre Ziele: Firmware und Software
Die Dokumente aus "Vault 7" offenbare mannigfaltige Ziele: So will die CIA in die Firmware von Fahrzeugen (VSEP) und Industrieanlagen (ICS/SCADA) eindringen, das Internet der Dinge und Router kontrollieren sowie die EFI/UEFI-Firmware von PCs übernehmen. Die Abkürzung "VSEP" ist unbekannt, dürfte aber mit "Vehicles" (Fahrzeuge) beginnen. Als "wichtiger Spieler" im Bereich "VSEP" wird QNX, der Entwickler des gleichnamigen Echtzeitbetriebssystems, genannt. QNX ist im Bereich "Connected Car" sehr aktiv und vernetzt dabei nicht nur die Unterhaltungselektronik der Fahrzeuge, sondern auch alle technischen Aspekte bis hin zum autonomen Fahren. Als Software-Ziele führt die CIA neben QNX auch Linux/Unix, BSD, Solaris und VxWorks auf. Es geht dabei grundsätzlich um Sicherheitslücken, die einen Zugang ermöglichen, um sich mit Trojanern festzusetzen und die Systeme überwachen und steuern zu können. Hinsichtlich des Internets der Dinge verweisen die Dokumente auf ein konkretes Projekt namens "Weeping Angel".

Samsung Smart-TV: Weeping Angel
"Weeping Angel" klingt, als habe jemand zu viel Doctor Who geguckt und so wundert es nicht, dass bei diesem Unterfangen der britische MI5 mit an Bord war. Zudem wird die Abkürzung BTSS aufgeführt, welche für den privaten Sicherheitsanbieter "Black Tower Security Services Ltd." stehen könnte. Bei Doctor Who sind die "Weeping Angels" außerirdische Wesen, welche in Form der steinernen Figur eines weinenden Engels auftreten. Sie bewegen sich nur, wenn man sie nicht ansieht. Dazu passend manipuliert das Projekt "Weeping Angel" die Smart-TVs des Herstellers Samsung (F Serie von 2013, Firmware-Versionen 1111, 1112 und 1116), um deren Mikrofone und Kameras zu übernehmen. Diese lassen sich dann aus der Ferne aktivieren, während der Fernsehapparat vorgibt, ausgeschaltet zu sein (Fake-Off). Eine modifizierte Version von TinyShell sorgt für Shell-Zugriffe, nimmt Befehle entgegen und bietet Dateitransfers. Die Angreifer können das Einspielen von Updates unterbinden, um ihren Schädling dauerhaft aktiv zu halten. Zudem entfernten die Briten die Verschlüsselung aus dem Code.

Im Juni 2014 wurde "Weeping Angel" noch über den USB-Anschluss eingeschleust, was bei Aufstellungsorten wie Hotelzimmern problemlos möglich ist. Die Techniker merken an, dass die Firmware 1118 und höher den USB-Angriff unterbindet, man war damals aber schon auf der Spur der automatischen Updates über das Internet. Im Fake-Off-Modus ließ sich die blaue Power-LED nicht unterdrücken und WiFi war deaktiviert. Letzteres sollten zukünftige Updates freischalten. Zudem sollten Videoaufnahmen ermöglicht werden, doch hierfür war der Speicherplatz mit 700 MiB recht knapp bemessen. Deswegen wurde eine kompaktere Firmware angedacht, die weniger Speicherplatz belegt. Im Rahmen der Schädlingsinstallation wird empDownload, Samsungs Downloader für Apps und Werbung, durch ein Programm des CIA ersetzt. Dann wird ein Download ausgelöst, damit das manipulierte empDownload gestartet wird und die Malware verankert. Nach der Installation wird Samsungs empDownload wiederhergestellt und damit auch die Spuren verwischt.

Windows: Ricky Bobby
Die US-Filmkomödie "Ricky Bobby - König der Rennfahrer" dient als Namenspate für einen leichtgewichtigen Trojaner, mit dem die CIA neuere Versionen von Microsoft Windows und Windows Server infiziert. Wurde "Ricky Bobby" erfolgreich eingeschleust, können die IT-Experten der CIA eigene Dateien hochladen und vorhandene Daten abgreifen sowie beliebige Befehle ausführen, ohne dabei von Virenschutzprogrammen entdeckt zu werden. Die Spionage-Software besteht aus einem Windows-PowerShell-Script und mehreren .NET-Bibliotheken (.dll), letztere werden vom Script heruntergeladen und dynamisch im Speicher ausgeführt. Dabei kommt der CIA zugute, dass PowerShell seit Vista zum Installationsumfang aller Windows-Versionen gehört und als vertrauenswürdiger, von Microsoft zertifizierter Prozess läuft. Die Infektion mit "Ricky Bobby" kann sowohl lokal als auch aus der Ferne vorgenommen werden.

Der Horchposten für "Ricky Bobby" heißt "Cal" und ist ein Projekt auf Basis des Python-Web-Frameworks Django, den die CIA unter Apache auf CentOS laufen lässt. Um die Funktion der Python-Scripte zu verbergen, werden diese seit der Version 4.1 als kompilierte Cython-Scripte eingesetzt. Eingeschleust wird "Ricky Bobby" beispielsweise über eine Werkzeugsammlung namens "Fight Club". Für "Fight Club v1.1" wurden beliebte Programme wie VLC Player, Win-Rar, TrueCrypt und Shamela Reader mit Trojanern infiziert und auf USB-Sticks kopiert, welche man dem Opfer direkt oder über dessen Zulieferer unterschiebt. Infizierte Versionen des Microsoft Office Standalone Installer, Adobe Reader Installer und von ConnectifyMe waren zumindest in Planung. Bei der Infektion werden Microsofts Benutzerkontensteuerung (UAC) umgangen und Rechteausweitungen verwendet, um "Ricky Bobby" auf dem Zielrechner zu installieren.

Als Ideen für die Weiterentwicklung wird eine verschlüsselte Kommunikation zwischen "Ricky Bobby" und "Cal" genannt. Der Schädling soll sich hartnäckiger festsetzen und seinen Infektionsweg besser verbergen. Hierzu soll die zur Installation genutzte Batch möglichst sicher gelöscht werden. "Cal" soll indes modularer werden und sich auch für andere Trojaner abseits von "Ricky Bobby" öffnen.

Mac: Angriffe auf EFI und UEFI
Wie zu erwarten, haben sich die IT-Spezialisten des CIA auch eingehend mit EFI/UEFI-Firmwares, wie sie von PCs und Macs genutzt werden, beschäftigt. Mit "QuarkMatter" wird beispielsweise die dauerhafte Infektion von Macs mit Hilfe eines EFI-Treibers auf der EFI-System-Partition beschrieben. Wie weit dieses Projekt aus dem Jahr 2015 fortgeschritten ist, bleibt aber unklar. Einsatztauglich ist indes die Methode "DerStarke 2.0", welche eine Kernel-Injektion namens "Bokor" mit einem EFI-Angriff namens "Darkmatter" kombiniert. Durch die Manipulation mehrerer EFI-Komponenten hebelt dieser Schädling den Schreibschutz des Flash-Speichers dauerhaft aus und kann auch aus der Ferne aktualisiert werden. Hierzu sucht die Spionage-Software auf der Festplatte nach verschlüsselten Updates und baut diese in die EFI-Firmware ein. Mit dem Rootkit "HarpyEagle" scheint auch eine dauerhafte Infektion von Apples Airport Extreme und Time Capsule möglich zu sein.

Android und iOS: Viele Partner an Bord
Für Angriffe auf Android führt die CIA mehrere Partner auf, neben den beiden Geheimdiensten GCHQ (Großbritannien) und NSA (USA) finden sich auch Verkäufer mit den Codenamen Anglerfish, Fangtooth, Peppermint und SurfsUp. Einige Exploits funktionieren nur mit speziellen Hardware-Konfigurationen, genannt werden beispielsweise die Adreno-GPUs 225 und 320 sowie die WiFi-Chipsätze des Herstellers Broadcom. Andere benötigen ein spezielles Zielgerät wie das Nexus 7 oder Samsungs Galaxy S II Epic 4G (SPH-D710), S4, S5, Note, Note 3, Note 4 (SM-N910/SM-N910S) oder Tab 2. Etliche Angriffe funktionieren nur mit bestimmten Versionen von Android, Chrome oder Opera. Momentan werden die Details zu einigen der aufgeführten Angriffe noch zurückgehalten. Auch die Exploits für iOS stammen größtenteils aus externen Quellen. Neben dem britischen GCHQ werden die US-Dienste NSA und FBI aufgeführt, zugekauft wurde auch bei Anbietern mit den Codenamen Nocturnalfears und Peppermint. Und auch öffentlich dokumentierte Schwachstellen werden genutzt.

Weitere Ziele: Telefone, Router, medizinische Geräte...
Unter den Zielen der CIA befinden sich auch das VoIP-Telefon Siemens OpenStage 15 HFA, Ciscos 881 Ethernet-Security-Router sowie medizinische Geräte des Herstellers Vanguard. Mit Angriffen wie Gyrfalcon (Linux) und SnowyOwl (Mac) werden verschlüsselte Datenverbindungen über OpenSSH untergraben, indem die Spionage-Software Benutzerdaten abgreift oder einen Nebenkanal öffnet. Wer tiefer gräbt, wird feststellen, dass die CIA-Mitarbeiter so gut wie alles untersucht haben, das sich mit dem Internet verbinden lässt. Doch insbesondere das Beispiel der Smart-TVs zeigt, dass die dunklen Schatten des Internet der Dinge längst bis in unsere Wohn- und Schlafzimmer reichen. Jedes Gerät mit Mikrofon und Kamera lässt sich von außen übernehmen und zur heimlichen Überwachung und Spionage missbrauchen. Wer jetzt noch mit "Ich habe nichts zu verbergen" kommt, darf sich nicht beschweren, wenn schon morgen sein haariger Hintern zur Lachnummer auf Pornhub wird!

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]