Wikileaks: CIA legte Spur zu Kaspersky

Neue Wikileaks-Enthüllungen zeigen, dass die CIA ihre Spionage-Tools mit gefälschten Zertifikaten tarnte, um eine Spur zu Kaspersky zu legen. Pikant: Dem russischen Sicherheitsanbieter sprechen US-Behörden seit Monaten die Vertrauenswürdigkeit ab.

(Foto: Brian Jackson - Fotolia)

Die Enthüllungsplattform Wikileaks hat unter dem Titel »Vault 8« weitere Geheimunterlagen der CIA veröffentlicht. In diesen geht es vor allem um eine »Hive« genannte Kommunikationskomponente, mit der die Geheimdienstler ihre Malware überwachen und steuern können, ohne viel Aufmerksamkeit zu erregen oder als Urheber enttarnt zu werden, sollten die Spionagetools entdeckt werden. Im Prinzip wird für jede Operation anonym eine Domain registriert und eine Website mit harmlosen Tarninhalten angelegt. Diese lagern bei kommerziellen Hostern und werden normalen Internet-Nutzern angezeigt, sollten sie zufällige auf die Website stoßen. Tatsächlich dienen die Server jedoch als Relaisstation für die via VPN abgewickelte Kommunikation mit CIA-Servern. Über die »Optional Client Authentication« von HTTPS, eine selten genutzte Option des verschlüsselten Übertragungsprotokolls, können sich die Spionagetools bei der Tarn-Website authentifizieren und von den Command-und-Control-Servern angesteuert werden.

Für die Authentifizierung werden gefälschte Zertifikate existierender Organisationen verwendet, um zu verschleiern, wer hinter der Kommunikation steckt, sollte sie entdeckt werden. Unter anderem kommen auch gefälschte Zertifikate von Kaspersky zum Einsatz, die angeblich von der Symantec-Tochter Thawte ausgestellt wurden. Pikant ist das insbesondere deshalb, weil die CIA sich somit als Kaspersky tarnt – ebenjenen russischen Sicherheitsanbieter, dem die US-Behörden seit Monaten vorwerfen, mit dem russischen Geheimdiensten zusammenzuarbeiten, und dessen Sicherheitslösungen daher von Regierungs- und Behördenrechnern verbannt wurden. Kaspersky-CEO Eugene Kaspersky hat die Wikileaks-Enthüllungen bereits bestätigt: Man habe die Zertifikate untersucht; sie seien gefälscht und die Kunden, Schlüssel und Services des Unternehmens weiterhin sicher und nicht beeinträchtigt.