Vault7: Die größte Veröffentlichung geheimer CIA-Dokumente

von Tyler Durden, 8. März 2017

Wikileaks hat veröffentlicht, wovon sie selbst sagen, dass es die größte Enthüllung von vertraulichen CIA-Dokumenten in der Geschichte des Geheimdienstes wäre. Es sind mehr als 8.000 Dokumente als Teil von „Vault7“ enthalten, einer Reihe von Leaks über die Agentur, die angeblich aus dem Center For Cyber Intelligence der CIA in Langley hervorgegangen und die im unten angeführten Organigramm zu sehen ist, das ebenfalls von Wikileaks veröffentlicht wurde:

Insgesamt wurden 8.761 Dokumente als Teil von „Year Zero“ veröffentlicht, dem Ersten in einer Reihe von Leaks, die von der Whistleblower-Organisation „Vault7“ genannt wird. Wikileaks sagte, dass „Year Zero“ Details über das „globale verdeckte Hacker-Programm“ der CIA enthüllt, einschließlich der „Weaponized Exploits“, die gegen Produkte wie das Apple iPhone, Android-Smartphones und sogar gegen Samsung-TVs eingesetzt werden, die in versteckte Mikrofone verwandelt werden.“

Wikileaks hat den Leak getweetet, von dem sie behaupten, er käme aus einem Netzwerk innerhalb des Center for Cyber Security der CIA in Langley, Virginia.

Zu den bemerkenswerteren Enthüllungen, die, wenn sie bestätigt werden, „die Technologie-Welt in ihren Grundfesten erschüttern würden“, gehört, dass es die CIA geschafft hat, die Verschlüsselung auf gängigen Telefonen und Messaging-Diensten wie Signal, WhatsApp und Telegram zu umgehen. Nach der Aussage von Wikileaks können Regierungshacker in Android-Telefone eindringen und den „Audio- und Nachrichtenverkehr sammeln, bevor die Verschlüsselung angewendet wird.“

Eine weitere tiefergehende Offenbarung ist, dass die CIA „False Flag“ Cyberattacken durchführen kann, die Russland als den Angreifer darstellt. Bei der Diskussion über die UMBRAGE-Gruppe des Remote Devices Branch der CIA stellt die Quelle von Wikileaks fest, dass sie „eine umfangreiche Bibliothek von Angriffstechniken sammeln und warten, die von Malware ‚gestohlen‘ wurde, die in anderen Staaten einschließlich der Russischen Föderation produziert wurde.“

„Mit UMBRAGE und verwandten Projekten kann die CIA nicht nur ihr Arsenal der Angriffstechniken erweitern, sondern auch die Zuordnung manipulieren, indem sie die „Fingerabdrücke“ jener Gruppe zurücklassen, von der die Angriffstechnik gestohlen wurde. Zu den UMBRAGE-Komponenten gehören Keylogger, Passwortsammlungen, Webcam-Aufnahmen, Datenvernichtung, Beharrlichkeit, Privilege Escalation, Stealth, Anti-Virus (PSP) Vermeidung und Umfrage-Techniken.“

Wie Kim Dotcom diesen Fund zusammenfasst: „Die CIA verwendet Techniken, um Cyber-Attacken so aussehen zu lassen, dass sie von einem feindlichen Staat stammen. Das verwandelt die Democratic National Convention / Russland-Hacker-Behauptung der CIA in einen WITZ“.

Doch was vielleicht am bemerkenswertesten ist, ist die angebliche Entstehung eines weiteren Whistleblowers vom Typ Snowden: Die Informationsquelle erzählte Wikileaks in einer Erklärung, dass sie eine öffentliche Debatte über die „Sicherheit, Erschaffung, Verwendung, Verbreitung und demokratische Kontrolle von Cyberwaffen“ initiieren will. Zu den politischen Fragen, die in der Öffentlichkeit diskutiert werden sollen, gehört auch, „ob die Hacking-Fähigkeiten der CIA ihre beauftragten Befugnisse übersteigen sowie das Problem der Aufsicht über den Geheimdienst durch die Öffentlichkeit“, sagte die Quelle laut Wikileaks.

Der FAQ-Abschnitt des Leaks, der unten gezeigt wird, gibt weitere Hinweise über das Ausmaß des Leaks, der „vor kurzem erhalten wurde und bis 2016 reicht“. Der Zeitraum, der vom letzten Leak abgedeckt wird, liegt laut den Zeitstempeln auf den CIA-Dokumenten selbst zwischen 2013 und 2016. Zweitens hat Wikileaks behauptet, dass sie noch nicht den gesamten Leak durchleuchtet und ihn nur verifiziert hätten und somit Journalisten und Aktivisten bitten, die Arbeiten zu erledigen.

Unter den verschiedenen Techniken, die von Wikileaks aufgeführt werden, ist „Weeping Angel“, entwickelt vom Embedded Devices Branch (EDB) der CIA, der Smart-TVs infiziert und sie in versteckte Mikrofone verwandelt. Nach dem Befall versetzt Weeping Angel den Ziel-TV in einen Fake-Off Modus, sodass der Besitzer fälschlicherweise glaubt, das Gerät ist ausgeschaltet, wenn es eigentlich eingeschaltet ist. Im Fake-Off Modus verhält sich der Fernseher wie eine Wanze, die Gespräche im Raum aufzeichnet und sie über das Internet zu einem verdeckten CIA-Server schickt.

Wie es Kim Dotcom auf Twitter nannte: „Die CIA verwandelt Smart-TVs, iPhones, Spielkonsolen und viele andere Consumer-Gadgets in offene Mikrofone“ und er fügte hinzu: „Die CIA hat jeden Microsoft Windows PC der Welt in Spyware verwandelt. Sie können Backdoors on demand aktivieren, auch über das Windows-Update.“

Dotcom fügte hinzu, dass „Obama Russland wegen Cyberattacken beschuldigte, während sein CIA jede internet-fähige Unterhaltungselektronik in Russland in Abhörgeräte verwandelt hat. Wow!“

Der Wikileaks-Redakteur Julian Assange stellte fest, dass „es bei der Entwicklung von Cyberwaffen ein extremes Risiko der Vermehrung von Cyber-Waffen gibt. Vergleiche können zwischen der unkontrollierten Verbreitung solcher „Waffen“ gezogen werden, die sich aus der Unfähigkeit ergeben, sie einzudämmen, in Verbindung mit ihrem hohen Marktpreis und dem globalen Waffenhandel. Doch die Bedeutung von „Year Zero“ geht weit über die Wahl zwischen Cyberwar und Cyber-Frieden hinaus. Die Enthüllung ist auch aus einer politischen, rechtlichen und forensischen Perspektive gesehen außergewöhnlich.“

Die Highlights aus dem Vault7-Release sind bis jetzt:

  • „Year Zero“ zeigt den Umfang und die Richtung des globalen verborgenen Hacking-Programms der CIA, sein Malware-Arsenal sowie dutzende der „Zero Day“-Exploits gegen eine breite Palette von US- und europäischen Produkten, einschließlich Apples iPhone, Googles Android und Microsofts Windows und sogar Samsung TVs, die in verborgene Mikrofone verwandelt werden.
  • Wikileaks behauptet, dass die CIA über die Mehrheit ihres Hacker-Arsenals die Kontrolle verloren hat, einschließlich Malware, Viren, Trojaner, „Zero Day“-Exploits, ferngesteuerte Malware und der dazugehörigen Dokumentation. Die außerordentliche Sammlung, die es gemeinsam auf mehrere 100 Millionen Zeilen Code bringt, verleiht dem Besitzer die gesamte Hacking-Kapazität der CIA. Das Archiv scheint unter früheren US-Regierungshackern und Auftragnehmern unberechtigter Weise herumgereicht worden sein, von denen einer Wikileaks mit Teilen des Archivs versorgt hat.
  • Bis Ende 2016 hat die Hacking-Abteilung der CIA, die formell unter das Center for Cyber Intelligence (CCI) der CIA fällt, über 5000 registrierte Benutzer und hatte mehr als 1000 Hacking-Systeme, Trojaner, Viren und andere „waffenfähige“ Malware produziert. Die CIA-Unternehmung ist von einem solchen Ausmaß, dass bis 2016 seine Hacker mehr Code benutzt haben, als Facebook zum Laufen braucht.
  • Die CIA hat in Wirklichkeit ihre eigene NSA mit noch weniger Rechenschaftspflicht erschaffen und ohne die Frage öffentlich zu beantworten ob es gerechtfertigt ist, ob ein solch massives Budget für die Verdopplung der Kapazitäten einer rivalisierenden Agentur ausgegeben werden sollte.
  • Sobald eine einzige Cyberwaffe „lose“ ist, kann sie in Sekunden um die ganze Welt verbreitet werden, um von rivalisierenden Staaten, der Cybermafia und Teenager-Hackern gleichermaßen verwendet zu werden.

Snowden 2.0?

  • In einem Statement an Wikileaks listet die Quelle politische Fragen auf, die dringend in der Öffentlichkeit diskutiert werden sollen, einschließlich den Fragen, ob die Hacking-Fähigkeiten der CIA ihre beauftragten Befugnisse übersteigt sowie das Problem der öffentlichen Aufsicht über die Agentur. Die Quelle möchte eine öffentliche Debatte über die Sicherheit, die Erzeugung, die Verwendung, die Verbreitung und die demokratische Kontrolle von Cyberwaffen einleiten.

Die CIA hat es auf iPhones, Androids und SmartTVs abgesehen:

  • CIA-Malware und Hacking-Tools werden von der EDG (Engineering Development Group) entwickelt, eine Softwareentwicklergruppe innerhalb des CCI (Center for Cyber Intelligence), eine Abteilung des DDI (Directorate for Digital Innovation) der CIA. Das DDI ist eines der fünf Hauptdirektionen der CIA (siehe hierzu das Organigramm der CIA).
  • Die zunehmende Raffinesse der Überwachungstechniken führte zu Vergleichen mit George Orwells 1984, doch „Weeping Angel“, entwickelt vom Embedded Devices Branch (EDB) der CIA, der SmartTVs infiziert und sie in versteckte Mikrofone verwandelt, ist sicherlich die sinnbildlichste Realisierung.

Aber auch auf Autos, was darauf hindeutet, dass die CIA eine Rolle beim Tod von Michael Hastings gespielt haben könnte:

  • Ab Oktober 2014 versuchte die CIA, die Fahrzeugsteuerungssysteme von modernen Autos und LKWs zu infizieren.
  • Der Zweck für solch eine Kontrolle wird nicht spezifiziert, aber es würde der CIA erlauben, so gut wie nicht nachweisbare Attentate auszuführen.

Und auf Computer:

  • Die CIA ist auch sehr darum bemüht, Microsoft Windows Benutzer mit ihrer Malware zu infizieren und zu kontrollieren. Hier handelt es sich um mehrere lokale und ferngesteuerte „Zero Day“-Exploits, Viren wie „Hammer Drill“, der Software auf CDs / DVDs infiziert, Infektoren von Wechselmedien wie USB-Sticks, Systeme, um Daten in Bildern oder verdeckten Plattenbereichen zu verstecken („Brutal Kangaroo“) und um den Malware-Befall konstanz zu halten.

Horten von Zero Day-Exploits:

  • Im Zuge der Snowden-Leaks über die NSA stellte die US-Technologie-Industrie eine Verpflichtung der Obama-Regierung sicher, dass die Exekutive laufend ernsthafte Schwachstellen, Exploits, Bugs oder „Zero Days“ an Apple, Google, Microsoft und anderen US-Herstellern übermittelt — anstatt sie zu horten.
  • Ernsthafte Schwachstellen, die den Herstellern nicht mitgeteilt werden, bringen riesige Bevölkerungsschichten und kritische Infrastruktur in Gefahr, von ausländischen Geheimdiensten oder Cyber-Kriminellen abgehört zu werden, die unabhängig davon die Schwachstellen entdecken oder davon hören. Wenn die CIA diese Schwachstellen entdecken kann, dann können es auch andere.

Die starke Vermehrung von geleakten / gehackten Cyberwar-Programmen:

  • Während die Verbreitung von Atomwaffen durch die enormen Kosten und die sichtbare Infrastruktur, die bei der Zusammenstellung von genügend spaltbarem Material zur Herstellung einer kritischen Kernmasse einhergeht, zurückgehalten wurde, sind Cyberwaffen, die einmal entwickelt wurden, sehr schwer zurückzuhalten. „Cyberwaffen“ sind tatsächlich einfach nur Computerprogramme, die wie alle anderen raubkopiert werden können. Da sie vollständig aus Informationen bestehen, können sie ohne Grenzkosten schnell kopiert werden.
  • In den letzten 3 Jahren wurde der US-amerikanische Geheimdienstsektor, der sich aus Regierungsbehörden wie der CIA, der NSA und ihren Auftragnehmern wie Booze Allan Hamilton zusammensetzt, einer noch nie dagewesenen Reihe von Datenschwund durch ihre eigenen Mitarbeiter unterworfen.
  • Wenn eine einzige Cyberwaffe einmal „lose“ ist, kann sie sich innerhalb Sekunden um die ganze Welt verbreiten, um von Feindstaaten, der Cybermafia und Teenager-Hackern gleichermaßen verwendet zu werden.

Das US-Konsulat in Frankfurt ist eine verdeckte CIA-Hacker-Basis

  • Zusätzlich zu ihren Operationen in Langley, Virginia, verwendet die CIA auch das US-Konsulat in Frankfurt als verdeckte Basis für ihre Hacker, die sich um Europa, den Nahen Osten und Afrika kümmern. CIA-Hackern, die aus dem Frankfurter Konsulat (Center for Cyber Intelligence Europe oder CCIE) operieren, werden diplomatische („schwarze“) Pässe und eine Tarnidentität des State Department gegeben.
  • Die Instruktionen für ankommende CIA-Hacker ließen die Bemühungen der deutschen Spionageabwehr inkonsequent erscheinen: „Rausche durch den deutschen Zoll, weil du deine Covergeschichte parat hast, und alles, was sie getan haben, ist deinen Pass zu stempeln.“

Beispiele für CIA-Projekte:

  • Das Management System der Engineering Development Group (EDG) der CIA umfasst rund 500 verschiedene Projekte (von denen nur einige durch „Year Zero“ dokumentiert sind) mit jeweils eigenen Unterprojekten, Malware und Hacker-Tools. Die Mehrheit dieser Projekte bezieht sich auf Werkzeuge, die zur Penetration, zum Befall („Implantation“), zur Kontrolle und Exfiltration verwendet werden.
  • UMBRAGE: Die UMBRAGE Gruppe des Remote Devices Branch der CIA sammelt und pflegt eine umfangreiche Bibliothek von Angriffstechniken, die aus Malware, die in anderen Staaten einschließlich der Russischen Föderation produziert wurden, gestohlen wurde. Mit UMBRAGE und verwandten Projekten kann die CIA ihre Gesamtanzahl an Angrifftypen nicht nur erhöhen, sondern auch die Zuordnung in die Irre führen, indem sie die „Fingerabdrücke“ jener Gruppen zurücklassen, von denen die Angriffstechnik gestohlen wurde.
  • Fine Dining: Fine Dining ist mit einem standardisierten Fragebogen ausgestattet, der von CIA-Angestellten ausgefüllt wird. Der Fragebogen wird vom OSB (Operational Support Branch) der CIA verwendet, um die Anforderungen für Hackerangriffe (typischerweise „Exfiltration“ von Informationen von Computersystemen) der CIA-Mitarbeiter für bestimmte Operationen in technische Anforderungen umzuwandeln. Unter den möglichen Zielen der Sammlung befinden sich „Assets“, „Liason Assets“, „Systemadministratoren“, „Ausländische Informations-Operationen“, „ausländische Geheimdienste“ und „ausländische Regierungen“. Bemerkenswert abwesend ist jeder Hinweis auf Extremisten oder transnationale Kriminelle.
  • „Improvise“: Ein Toolset für die Konfiguration, die Nachbearbeitung, das Payload Setup und Execution Vector Selection für Überwachungs-/ Exfiltrations-Tools, die alle wichtigen Betriebssysteme wie Windows (Bartender), MacOS (JukeBox) und Linux (DanceFloor) unterstützen.
  • HIVE: Hive ist eine Multi-Plattform CIA Malware Suite und die dazugehörige Steuerungssoftware. Das Projekt liefert anpassbare Implantate für Windows, Solaris, MikroTik (in Internet-Routern) und Linux-Plattformen und eine Listening Post (LP)/Command and Control (C2) Infrastruktur, um mit diesen Implantaten zu kommunizieren. Die Implante sind konfiguriert, um über HTTPS mit einem Webserver einer Cover-Domain zu kommunizieren; jede Operation, die diese Implantate verwendet, hat eine eigene Cover-Domain und die Infrastruktur kann eine beliebige Anzahl von Cover-Domains verarbeiten.

Und einige Schlüsselstellen aus der FAQ:

  • Welche Zeitspanne wird abgedeckt? Die Jahre 2013 bis 2016. Die Sortierreihenfolge der Seiten auf jeder Ebene wird durch das Datum (das Älteste zuerst) bestimmt. Wikileaks hat das Erstelldatum / das Datum der letzten Änderungen der CIA für jede Seite, doch aus technischen Gründen erscheinen diese nicht. Normalerweise kann das Datum aus dem Inhalt und der Seitenreihenfolge erkannt oder angenähert werden. Wenn dir das Datum wichtig ist, kontaktiere Wikileaks.
  • Was ist Vault7? Vault7 ist eine umfangreiche Sammlung von Materialien über CIA-Aktivitäten, die Wikileaks erhalten hat.
  • Wie Groß ist Vault7? Vault7 ist die größte Geheimdienst-Veröffentlichung der Geschichte.
  • Wann kam jeder Teil von Vault7 in den Besitz von Wikileaks? Teil 1 wurde uns vor kurzem zugespielt und geht bis 2016. Details über die anderen Teile werden zum Zeitpunkt ihrer Veröffentlichung zur Verfügung stehen.
  • Stammt jeder Teil von Vault7 aus einer anderen Quelle? Details zu den anderen Teilen werden zum Zeitpunkt ihrer Veröffentlichung verfügbar gemacht.
  • Wie hat Wikileaks jeden Teil von Vault7 erhalten? Die Quellen vertrauen Wikileaks, dass keine Informationen enthüllt werden, die dazu beitragen könnten, sie zu identifizieren.
  • Ist Wikileaks nicht darüber besorgt, dass die CIA gegen seine Mitarbeiter agieren wird, um die Veröffentlichung zu stoppen? Nein, das wäre sicherlich kontraproduktiv.

Was vorher geschah:

Als Erinnerung, letzte Nacht hat Wikileaks angekündigt, dass es eine verschlüsselte Torrent-Datei veröffentlicht hat, die angeblich Informationen über den geheimnisvollen „Vault7“ enthält, und von dem wir jetzt wissen, dass es die größte „Matieralsammlung über CIA-Aktivitäten ist, die jemals in der Geschichte von Wikileaks erhalten wurde“. Sie kann unter folgender URL heruntergeladen werden und mit dem Passwort „SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds“ geöffnet werden.

Wikileaks hatte zuvor angekündigt, dass sie um 8 Uhr Eastern eine Pressekonferenz als Teil der Enthüllung abhalten werden.

Allerdings schien es einige Komplikationen gegeben zu haben, da Wikileaks getweetet hat: „Die Pressekonferenz wird angegriffen: Facebook+Periscope Video, welches vom Wikileaks-Redakteur Julian Assange verwendet werden, wurden angegriffen. Notfallpläne werden aktiviert.“

Wikileaks hat dann angekündigt: „Da Mr. Assange’s Periscope & Facebook Video-Stream angegriffen werden, wird seine Video-Pressekonferenz verschoben.“

In einem separaten Tweet hat Wikileaks gerade das Passwort veröffentlicht, um die Torrent-Datei zu entschlüsseln: „Enthüllung: CIA Vault7 Year Zero Entschlüsselungs-Passwort:

SplinterItIntoAThousandPiecesAndScatterItIntoTheWinds

Als Ergebnis, da Assange nicht in der Lage war, seine vorher geplante Pressekonferenz abzuhalten, tätigte er einen Schritt nach vorn und veröffentlichte die Pressemitteilung über Vault 7 Teil 1 „Year Zero“, mit dem Namen: Mitten in der globalen Hacker-Macht der CIA:

Pressemitteilung

Vault 7: CIA Hacking Tools aufgedeckt

Heute, am 7. März 2017, beginnt Wikileaks eine neue Serie von Leaks über die amerikanische CIA. Von Wikileaks „Vault7“ genannt ist es die größte Veröffentlichung von vertraulichen Dokumenten über den Geheimdienst.

Der erste ganze Teil der Serie, „Year Zero“, umfasst 8.761 Dokumente und Akten aus einem isolierten, hochsicherern Netzwerk innerhalb des Center for Cyber Intelligence in Langley, Virginia. Es folgt einer einleitenden Offenlegung von letztem Monat, wie die CIA französische politische Parteien und Kandidaten bei den Präsidentschaftswahlen 2012 ins Visier genommen hat.

Vor kurzem hat die CIA die Kontrolle über einen Großteil ihres Hacker-Arsenals verloren, einschließlich Malware, Viren, Trojanern, militärisch genutzte „Zero Day“-Exploits, Malware-Fernbedienungssysteme und zugehörige Dokumentation. Diese außerordentliche Sammlung, die mehr als mehrere hundert Millionen Zeilen Code enthält, verleiht ihrem Besitzer die gesamte Hack-Kapazität der CIA. Das Archiv scheint unter ehemaligen US-Regierungshackern und Auftragnehmern der Regierung in einer unberechtigten Art und Weise verbreitet worden sein, von denen einer WikiLeaks mit Teilen des Archivs versorgt hat.

„Year Zero“ stellt den Umfang und die Richtung des globalen verdeckten Hacking-Programms der CIA, ihr Arsenal an Malware und Dutzenden von „Zero Day“-Exploits gegen eine breite Palette von US- und europäischen Firmenprodukten vor, einschließlich Apple’s iPhone, Google’s Android, Microsoft’s Windows und sogar Samsung Fernseher, die in verdeckte Mikrofone verwandelt werden.

Seit 2001 hat die CIA die politische und finanzielle Vorangstellung über die Nationale Sicherheitsbehörde (NSA) der USA eingenommen. Die CIA hat nicht nur ihre berüchtigte Drohnen-Flotte gebaut, sondern auch eine ganz andere Art von verdeckter, globusumspannender Macht — ihre eigene, beträchtliche Armee an Hackern. Die Hacking-Abteilung der CIA befreite sie davor, ihre oft kontroversiellen Operationen der NSA (ihr primärer bürokratischer Rivale) zu offenbaren, um auf die Hacking-Kapazitäten der NSA zuzugreifen.

Bis Ende 2016 hatte die Hacking-Abteilung der CIA, die formell unter das Center for Cyber Intelligence (CCI) der CIA fällt, über 5.000 registrierte Benutzer und mehr als 1.000 Hacking-Systeme, Trojaner, Viren und andere „militarisierte“ Malware produziert. Das ist der Umfang der Unternehmung der CIA, dass bis 2016 ihre Hacker mehr Code benutzt haben, als jener der notwendig ist, um Facebook zu betreiben. Die CIA hat in Wirklichkeit eine „eigene NSA“ erschaffen, mit sogar noch weniger Rechenschaftspflicht und ohne öffentlich auf Fragen zu antworten, wie ob solch eine massive Budgetausgabe für die Duplizierung der Kapazitäten einer rivalisierenden Agentur gerechtfertigt wäre.

In einer Erklärung an WikiLeaks berichtet die Quelle ausführlich über politische Fragen, von denen sie sagt, dass sie dringend in der Öffentlichkeit diskutiert werden müssten, einschließlich der Frage, ob die Hacking-Kapazitäten der CIA ihre beauftragten Befugnisse übersteigen, sowie das Problem der öffentlichen Aufsicht über die Agentur. Die Quelle wünscht, eine öffentliche Debatte über die Sicherheit, die Herstellung, die Nutzung, die Verbreitung und die demokratische Kontrolle von Cyberwaffen einzuleiten.

Sobald eine einzige Cyberwaffe einmal in den falschen Händen ist, kann sie sich in Sekunden um die Welt verbreiten, um von rivalsierenden Staaten, der Cybermafia und Teenager-Hackern gleichermaßen eingesetzt zu werden.

Der WikiLeaks-Redakteur Julian Assange stellte fest: „Bei der Entwicklung von Cyber-Waffen existiert das extreme Risiko der unkontrollierten Verbreitung. Vergleiche können zwischen der unkontrollierten Verbreitung solcher „Waffen“, die sich aus der Unfähigkeit ergeben, sie zusammen mit ihrem hohen Marktwert unter Kontrolle zu halten, und dem globalen Waffenhandel gezogen werden. Doch die Bedeutung von „Year Zero“ geht weit über die Wahl zwischen Cyberkrieg und Cyberfrieden hinaus. Die Offenlegung ist auch aus einer politischen, rechtlichen und forensischen Perspektive außergewöhnlich.“

Wikileaks hat die „Year Zero“-Offenlegung sorgfältig überprüft und bedeutende CIA-Dokumentation veröffentlicht, während vermieden wurde, „geladene“ Cyberwaffen zu verbreiten bis ein Konsens über die technische und politische Natur des CIA-Programms auftaucht und wie solche „Waffen“ analysiert, entschärft und veröffentlicht werden sollen.

Wikileaks hat auch beschlossen, einige Informationen in „Year Zero“, die zur Identifzierung dienen können, für die eingehende Analyse zu redigieren und anonymisieren. Diese Änderungen beinhalten 10.000e CIA-Ziele und Angriffsmaschinen in ganz Lateinamerika, Europa und den Vereinigten Staaten. Während wir uns der mangelhaften Ergebnisse eines jeden gewählten Ansatzes bewusst sind, bleiben wir unserem Verlagsmodell verpflichtet und merken an, dass die Quantität der veröffentlichten Seiten in „Vault 7“ Teil 1 („Year Zero“) bereits die Gesamtanzahl der Seiten, die über die ersten drei Jahre der Edward Snowden NSA Leaks veröffentlicht wurden, bereits übertroffen hat.


Analyse

CIA Malware zielt auf iPhone, Android, Smart-TVs

CIA-Malware und Hacking-Tools werden von der EDG (Engineering Development Group) hergestellt, einer Softwareentwicklungsgruppe innerhalb des CCI (Center for Cyber Intelligence), eine Abteilung, die zum DDI (Directorate for Digital Innovation) der CIA gehört. Das DDI ist eines von fünf Hauptdirektionen der CIA (siehe das Organigramm der CIA für mehr Details).

Die EDG ist verantwortlich für die Entwicklung, das Testen und die operative Unterstützung für alle Backdoors, Exploits, bösartige Nutzlasten, Trojaner, Viren und andere Arten von Malware, die von der CIA in ihren verdeckten Operationen weltweit verwendet werden.

Die zunehmende Raffinesse der Überwachungstechniken lassen sich mit George Orwells 1984 vergleichen, aber „Weeping Angel“, entwickelt vom Embedded Devices Branch (EDB) der CIA, mit dem Smart-TVs infiziert werden und der sie in verdeckte Wanzen verwandelt, ist sicherlich eine der Realisierungen mit dem größten Symbolcharakter.

Die Angriffe auf Samsung Smart-TVs wurden in Zusammenarbeit mit dem britischen MI5/BTSS entwickelt. Nach der Infizierung versetzt Weeping Angel den Ziel-Fernseher in einen „Fake-Off“ Modus, sodass der Besitzer fälschlicherweise glaubt, dass der TV ausgeschaltet ist, wenn er tatsächlich eingeschaltet ist. Im Fake-Off Modus verhält sich der TV wie eine Wanze, zeichnet Gespräche im Raum auf und schickt diese über das Internet an einen geheimen CIA-Server.

Ab Oktober 2014 suchte die CIA auch nach Wegen, die Fahrzeugsteuerungssysteme von modernen Autos und Lastwagen zu infizieren. Der Zweck einer solchen Kontrolle ist nicht spezifiziert, aber es würde der CIA erlauben, nahezu nicht nachweisbare Attentate durchzuführen.

Der Mobile Devices Branch (MDB) der CIA entwickelte zahlreiche Angriffe um populäre Smartphones fernzusteuern und zu kontrollieren. Infizierte Telefone können angewiesen werden, der CIA den Standort des Users zu schicken, Audio- und Textkommunikation zugänglich machen sowie die heimliche Aktivierung der Kameras und des Mikrofons des Telefons.

Trotz des Minderheitenanteils des iPhones (14,5%) am globalen Smartphone-Markt im Jahr 2016, produziert eine Spezialeinheit innerhalb des Mobile Development Branch der CIA Malware, um iPhones und andere Apple-Produkte, die mit iOS laufen, wie iPads, zu infizieren, zu kontrollieren und heimlich Daten abzusaugen. Das Arsenal der CIA beinhaltet zahlreiche lokale und fernbedienbare „Zero Days“, die von der CIA entwickelt wurden oder die sie vom GCHQ, der NSA oder vom FBI erhalten haben, oder die sie von Cyber-Waffen-Vertragspartnern wie Baitshop zugekauft haben. Der unverhältnismäßige Fokus auf das iPhone könnte durch die Popularität des iPhones unter sozialen, politischen, diplomatischen und Business-Eliten erklärt werden.

Eine ähnliche Einheit zielt auf Google’s Android ab, mit dem die Mehrheit der weltweiten Smartphones (~85%) ausgestattet ist, einschließlich Samsung, HTC und Sony. 1,15 Milliarden Android-Telefone wurden letztes Jahr verkauft. „Year Zero“ zeigt, dass die CIA im Jahr 2016 24 „militarisierte“ Android „Zero Days“ hatte, die sie entweder selbst entwickelt oder vom GCHQ, der NSA oder Cyber-Waffen-Auftragnehmer erhalten hat.

Diese Techniken erlauben es der CIA, die Verschlüsselung von WhatsApp, Signal, Telegram, Wiebo, Confide und Cloackman zu umgehen, indem sie das „Smart“-phone, auf dem sie laufen, hacken und den Audio- und Nachrichtenverkehr mitschnüffeln, bevor die Verschlüsselung angewendet wird.

CIA Malware nimmt Windows, OSx, Linux und Router ins Visier

Die CIA betreibt auch eine sehr große Anstrengung, Microsoft Windows User mit ihrer Malware zu infizieren und kontrollieren. Dies beinhaltet mehrere lokale und fernsteuerbare „Zero Days“, Air gaps überspringende Viren wie den „Hammer Drill“, der Software auf CDs/DVDs befällt, Infektoren für Wechselmedien wie USB-Sticks, Systeme um Daten in Bildern oder auf verborgenen Plattenbereichen zu verstecken (Brutal Kangaroo) und um den Malware-Befall am Laufen zu halten.

Viele dieser Infektionsbemühungen werden vom Automated Implant Branch (AIB) der CIA zusammengetragen, der mehrere Angriffssysteme für automatisierten Befall und Kontrolle von CIA-Malware entwickelt hat, wie „Assassin“ und „Medusa“.

Angriffe auf Internet-Infrastruktur und Webserver werden vom Network Devices Branch (NDB) der CIA entwickelt.

Die CIA hat automatische Multi-Plattform-Malware-Angriff-und-Kontrollsysteme entwickelt, die Windows, Mac OS X, Solaris, Linux und mehr abdecken, wie der „HIVE“ des EDB und die dazugehörigen „Cutthroat“- und „Swindle“-Tools, die im Beispielabschnitt unten beschrieben werden.


CIA „hortet“ Schwachstellen („Zero Days“)

Im Zuge von Edward Snowdens Leaks die NSA betreffend stellte die US-Technologie-Industrie eine Verpflichtung der Obama-Regierung sicher, dass die Exekutive auf einer laufenden Basis ernsthafte Schwachstellen, Exploits, Bugs oder „Zero Days“ für Apple, Google, Microsoft und andere US-amerikanische Hersteller aufzeigen würde — anstatt sie zu horten.

Extreme Schwachstellen, die den Herstellern nicht aufgezeigt werden, bringen riesige Bevölkerungsschichten und kritische Infrastruktur in Gefahr von ausländischen Geheimdiensten oder Cyber-Kriminellen, die unabhängig davon die Schwachstelle entdecken oder Gerüchte darüber mitbekommen. Wenn die CIA solche Schwachstellen entdecken kann, dann können das auch andere.

Das Engagement der US-Regierung beim Vulnerabilities Equities Process erfolgte nach einer signifikanten Lobby-Arbeit durch US-Technologie-Unternehmen, die riskieren, ihren Anteil am Weltmarkt wegen echter und eingebildeter verborgene Schwachstellten zu verlieren. Die Regierung erklärte, dass sie alle Schwachstellen laufend offenlegen werden, die sie nach 2010 entdeckt haben.

„Year Zero“ Dokumente zeigen, dass die CIA die Verbindlichkeiten der Obama-Regierung verletzt hat. Viele der Schwachstellen, die im Cyber-Arsenal der CIA verwendet werden, sind weit verbreitet und manche von ihnen wurden wahrscheinlich bereits von rivalisierenden Geheimdiensten oder von Cyberkriminellen gefunden.

Ein Beispiel: Bestimmte CIA-Malware, die von „Year Zero“ enthüllt wurde, ist in der Lage, sowohl die Android- und die iPhone-Software zu penetrieren, zu infizieren und zu kontrollieren, mit der auf das Twitter-Konto des Präsidenten zugegriffen wird oder wurde. Die CIA greift diese Software an, indem sie nicht öffentlich gemachte Sicherheitslücken („Zero Days“) im Besitz der CIA verwenden, doch wenn die CIA diese Telefone hacken kann, dann kann das auch jeder andere, der diese Sicherheitslücke von jemanden erhalten oder selbst entdeckt hat. Solange die CIA diese Sicherheitslücken vor Apple und Google (die die Telefone herstellen) verborgen hält, werden sie nicht repariert werden und die Telefone werden hackbar bleiben.

Die gleichen Schwachstellen bedeuten nicht nur für die Gesamtbevölkerung ein Risiko, sondern auch für das US-Kabinett, den Kongress, für Top-CEOs, für Systemadministratoren, Sicherheitsoffiziere und Ingenieure. Durch das Verstecken dieser Sicherheitsfehler vor den Herstellern wie Apple und Google stellt die CIA sicher, dass sie jeden hacken können; auf Kosten aller, die somit hackbar bleiben.


„Cyberwar“-Programme sind ein ernsthaftes Verbreitungsrisiko

Es ist nicht möglich, Cyber-„Waffen“ wirksam zu kontrollieren.

Während die nukleare Verbreitung durch die enormen Kosten und die involvierte sichtbare Infrastruktur, die mit der Zusammenstellung von genügend spaltbarem Material zur Herstellung einer kritischen Kernmasse einhergeht, zurückgehalten wird, sind Cyber-„Waffen“, die einmal entwickelt sind, sehr schwer zurückzuhalten.

Cyber-„Waffen“ sind tatsächlich nur Computer-Programme, die wie alle anderen auch raubkopiert werden können. Da sie vollständig aus Informationen bestehen, können sie schnell ohne zusätzliche Kosten kopiert werden.

Die Sicherung solcher „Waffen“ ist besonders schwierig, da die gleichen Leute, die sie entwickeln und benutzen, auch die Fähigkeiten besitzen, Kopien anzufertigen ohne dabei Spuren zu hinterlassen — manchmal durch die Verwendung der gleichen „Waffen“ gegen die Organisation, die sie enthalten. Es gibt erhebliche monetäre Anreize für Regierungshacker und -berater, sich Kopien anzufertigen, da es einen globalen „Schwachstellenmarkt“ dafür gibt, der Hunderte von Tausenden bis Millionen Dollar für Kopien solcher „Waffen“ bezahlt. In ähnlicher Weise nutzen Auftragnehmer und Unternehmen, die sich solche „Waffen“ besorgen, diese für ihre eigenen Zwecke und sichern sich einen Vorteil gegenüber ihren Mitbewerbern beim Verkauf von „Hacking“-Dienstleistungen.

In den letzten drei Jahren wurde der US-Geheimdienstsektor, der sich aus Regierungsstellen wie die CIA und NSA und ihre Auftragnehmer wie Booze Allan Hamilton zusammensetzt, von ihren eigenen Arbeitnehmern einer noch nie dagewesenen Reihe von Datenexfiltrationen ausgesetzt.

Eine Reihe von Geheimdienstmitgliedern, die noch nicht öffentlich genannt wurden, wurden in nicht zusammenhängenden Vorfällen verhaftet oder strafrechtlich untersucht.

Am deutlichsten zeigt sich das, als am 8. Februar 2017 eine US-Bundes-Grand Jury Harold T. Martin III. wegen 20 Fälle von falscher Handhabe von vertraulichen Informationen beschuldigt. Das Justizministerium behauptete, dass es etwa 50.000 Gigabyte Informationen von Harold T. Marin III. sichergestellt hat, die er aus geheimen Programmen der NSA und CIA erhalten hat, darunter auch der Quellcode für unzählige Hacking-Tools.

Wenn einmal eine einzige Cyber-„Waffe“ lose ist, kann sie sich in Sekunden um die ganze Welt verbreiten, um von Feindstaaten, der Cybermafia und Teenager-Hackern gleichermaßen verwendet zu werden.


US-Konsulat in Frankfurt ist eine verdeckte CIA-Hacker-Basis

Zusätzlich zu den Operationen in Langley, Virginia, benutzt die CIA auch das US-Konsulat in Frankfurt als verdeckte Basis für ihre Hacker in Europa, dem Nahen Osten und Afrika.

CIA-Hacker, die aus dem Frankfurter Konsulat („Center for Cyber Intelligence Europe“, oder CCIE) heraus operieren, werden diplomatische („schwarze“) Pässe sowie ein Tarnidentität des Außenministeriums gegeben. Die Instruktionen für ankommende CIA-Hacker lassen Deutschlands Bemühungen zur Gegenspionage inkonsequent erscheinen: „Rausche durch den deutschen Zoll, weil du deine Tarngeschichte parat hast, und alles, was sie taten, war deinen Pass zu stempeln“.

Deine Cover-Story (für diese Reise)
Frage: Warum sind sie hier?
Antwort: Ich unterstütze die technischen Konsultationen beim Konsulat.

Zwei frühere Wikileaks-Publikationen geben weitere Details zu CIA-Ansätzen für Zoll und Zweituntersuchungen am Flughafen.

Wenn sie einmal in Frankfurt sind, können CIA-Hacker ohne weitere Grenzkontrollen in die 25 europäischen Länder reisen, die Teil des Schengenraums sind — darunter Frankreich, Italien und die Schweiz.

Eine Reihe der elektronischen Angriffsmethoden sind für die direkte physische Nähe konzipiert. Diese Angriffsmethoden sind in der Lage, Hochsicherheitsnetzwerke zu penetrieren, die nicht am Internet angeschlossen sind, wie die Polizei-Datenbank. In solchen Fällen infiltriert ein CIA-Offizier, ein Agent oder ein verbündeter Geheimdienst-Offizier, der nach Anweisungen handelt, physisch den Ziel-Arbeitsplatz. Dem Angreifer wird ein USB-Stick gegeben mit Malware, die von der CIA für diesen Zweck entwickelt wurde, der in den Zielcomputer eingeführt wird. Der Angreifer infiziert dann das System und exfiltriert Daten auf Wechselmedien. Das CIA-Angriffssystem Fine Dining zum Beispiel bietet 24 Köder-Anwendungen für CIA-Spione. Für Zeugen sieht es so aus, als würde der Spion ein Programm aufrufen, welches Videos abspielt (z.B. VLC), als würde er Folien präsentieren (Prezi), ein Computerspiel spielen (Breakout2, 2048) oder sogar einen Fake-Virenscanner (Kaspersky, McAfee, Sophos) laufen lassen. Doch während die Köder-Anwendung auf dem Bildschirm angezeigt wird, wird zeitgleich das dahinterliegende System automatisch infiziert und durchwühlt.

Wie die CIA das Verbreitungsrisiko dramatisch erhöhte

Bei etwas, was sicherlich eines der höchsten Ziele der Geheimdienste ist, seitdem sie existieren, hat die CIA ihre Geheimhaltungsmaxime so strukturiert, dass die CIA für den wertvollsten Teil von „Vault7“ — die militarisierte Malware der CIA (Implantate + Zero Days), Listening Posts (LP) und Command and Control (C2) Systeme — nicht einmal einen ordentlichen Rechtsbehelf hat.

Die CIA hat diese Systeme der Öffentlichkeit enthüllt.

Warum sich die CIA dazu entschlossen hat, ihre Cyberarsenal offenzulegen, zeigt, wie Konzepte, die für militärische Zwecke entwickelt wurden, sich nicht unbedingt leicht auf das „Schlachtfeld“ des Cyberwars anwenden lassen.

Um die Ziele anzugreifen benötigt die CIA normalerweise, dass die Implantate mit ihrer Kontrollsoftware über das Internet kommunizieren. Wenn CIA-Implantate, Command & Control- und Listening Post-Sofware geheim wären, dann könnten CIA-Offiziere verfolgt oder entlassen werden, weil sie Regeln verletzt haben, die verbieten, dass geheime Informationen ins Internet gesetzt werden. Infolgedessen hat die CIA heimlich die meisten ihrer Cyberspione/-Kriegscode öffentlich gemacht. Die US-Regierung ist auch nicht in der Lage, das Urheberrecht aufgrund von Beschränkungen in der US-Verfassung einzufordern. Das bedeutet, dass Hersteller von Cyber-„Waffen“ und Computerhacker diese Waffen frei raubkopieren können, wenn sie diese in die Finger bekommen. Die CIA musste sich vor allem auf Verschleierung verlassen, um ihre Malware-Geheimnisse zu schützen.

Konventionelle Waffen wie Raketen könnten auf den Feind abgefeuert werden (z.B. in einem ungesicherten Gebiet).  Die Nähe zum oder der Einschlag im Ziel detoniert den Sprengkopf mitsamt seiner geheimen Teile. Daher verstößt das Militärpersonal nicht gegen Geheimhaltungsklauseln, indem sie den Sprengkopf mit geheimen Teilen abfeuern. Der Sprengkopf wird höchstwahrscheinlich explodieren. Wenn er das nicht tut, dann ist das nicht im Sinne des Erfinders.

Im Laufe des letzten Jahrzehnts wurden US-Hacking-Operationen immer stärker in Militärjargon gekleidet, um Finanzierung vom Verteidigungsministerium zu erhalten. Zum Beispiel werden versuchte „Malware-Injektionen“ (kommerzieller Jargon) oder „Implant-Drops“ (NSA-Jargon) „Feuer“ genannt, wie wenn eine Waffe abgefeuert wird. Diese Analogie ist allerdings fragwürdig.

Im Gegensatz zu Kugeln, Bomben oder Raketen wurde die meiste CIA-Malware entworfen, um Tage oder sogar Jahre im Einsatz zu sein, nachdem sie ihr „Ziel“ erreicht hat. CIA-Malware „explodiert nicht beim Einschlag“ sondern infiziert eher permanent ihr Ziel. Um ein Zielgerät zu infizieren müssen Kopien der Malware darauf abgelegt werden, wobei der Malware der physische Besitz über das Zielgerät übergeben wird. Um Daten zurück zur CIA zu exfiltrieren oder um weitere Instruktionen abzuwarten muss die Malware mit den Command & Control (C2) Systemen der CIA kommunizieren, die auf mit dem Internet verbundenen Servern gespeichert sind. Doch auf solchen Servern ist es in der Regel nicht erlaubt, geheime Informationen abzulegen, also werden Command & Control System der CIA ebenfalls öffentlich gemacht.

Ein erfolgreicher „Angriff“ auf ein Zielcomputersystem ist eher wie eine Reihe von komplexen Aktien-manöver in einem feindlichen Übernahmeangebot oder wie die sorgfältige Verbreitung von Gerüchten um die Kontrolle über die Führung einer Organisation zu erlangen, anstatt ein Waffensystem abzufeuern. Wenn eine militärische Analogie gemacht werden kann, dann ist die Infizierung eines Ziels vielleicht ähnlich der Ausführung einer ganzen Reihe von militärischen Manövern gegen das Zielgebiet einschließlich Observation, Infiltration, Besetzung und Ausbeutung.

Forensik und Anti-Virus umgehen

Eine Reihe von Standards zeigen Muster für CIA-Malware-Befall, die wahrscheinlich forensischen Tatort-Ermittlern genauso zur Hand gehen wie sie Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens und Anti-Viren-Unternehmen helfen, sie zuzuschreiben und gegen Angriffe zu verteidigen.

Die „DO’s and DON’Ts des Handwerks“ beinhalten CIA-Regeln dafür, wie die Malware geschrieben sein soll um Fingerabdrücke zu vermeiden, die bei der „forensischen Überprüfung“ die „CIA, die US-Regierung oder ihre Partnerunternehmen belasten könnten“. Zu ähnlichen Geheimstandards gehört auch die Verwendung von Verschlüsselung, um CIA-Hacker und Malware-Kommunikation (pdf) zu verbergen, Ziele & exfiltrierte Daten zu beschreiben (pdf), genauso wie Payloads auszuführen (pdf) und um in den Zielmaschinen im Lauf der Zeit auszuharren (pdf).

CIA-Hacker entwickelten erfolgreiche Angriffe gegen die bekanntesten Anti-Viren-Programme. Diese sind in AV-Niederlagen, Personal Security Products, Erkennung und Beseitigung von PSPs und in PSP/Debugger/RE Avoidance dokumentiert. Comodo wurde zum Beispiel dadurch besiegt, indem sich eine CIA-Malware selbst in den „Mistkübel“ abgelegt hat. Während Comodo 6.x ein „klaffendes Loch des Verderbens“ aufweist.

CIA-Hacker diskutierten, was die „Equation Group“ der NSA falsch gemacht haben und wie die Hersteller der CIA-Malware eine ähnliche Bloßstellung vermeiden könnten.

Beispiele

Das Managementsystem der Engineering Development Group (EDG) der CIA umfasst rund 500 verschiedene Projekte (von denen nur einige von „Year Zero“ dokumentiert sind) mit jeweils ihren Unterprojekten, ihrer Malware und ihren Hacker-Tools.

Die Mehrheit dieser Projekte beziehen sich auf Tools, die zur Penetration, die Infizierung („Implantation“), die Steuerung und Exfiltration verwendet werden.

Ein weiterer Entwicklungszweig konzentriert sich auf die Entwicklung und den Betrieb von Listening Posts (LP) und Command & Control (C2) Systemen, die dazu verwendet werden, um mit CIA-Implantaten zu kommunizieren und diese zu steuern. Spezialprojekte werden verwendet, um auf bestimmte Hardware von Routern und SmartTVs abzuzielen.

Einige Beispielprojekte werden unten beschrieben, doch das Inhaltsverzeichnis enthält die vollständige Liste aller von WikiLeaks „Year Zero“ beschriebenen Projekte.

UMBRAGE

Die handgefertigten Hacking-Techniken der CIA stellen für die Agentur ein Problem dar. Jede Technik, die sie erstellt hat, bildet einen „Fingerabdruck“, der von forensischen Ermittlern verwendet werden kann, um mehrere verschiedene Angriffe der gleichen Entität zuzuschreiben.

Dies ist analog dazu, das gleiche unverwechselbare Messer in mehreren voneinander unabhängigen Mordopfern zu finden. Der einzigartige Stil der Verwundung schafft Verdacht, dass ein einzelner Mörder dafür verantwortlich ist. Wenn einmal ein Mord davon aufgeklärt ist, dann werden die anderen Morde wahrscheinlich auch zugeordnet.

Die UMBRAGE-Gruppe, die zum Remote Devices Branch der CIA gehört, sammelt und unterhält eine umfangreiche Bibliothek von Angriffstechniken, die von Malware „gestohlen“ wurde, die in anderen Ländern einschließlich der Russischen Föderation hergestellt wurden.

Mit UMBRAGE und verwandten Projekten kann die CIA nicht nur ihre Gesamtzahl an Angriffstechniken erhöhen, sondern auch Zusammenhänge falsch darstellen, indem sie die „Fingerabdrücke“ der Gruppen zurücklassen, von denen die Angriffstechniken gestohlen wurden.

Zu UMBRAGE-Komponenten gehören Keylogger, Passwort-Sammlungen, Webcam-Aufnahmen, Datenvernichtung, Persistenz, Privileg-Eskalation, Stealth, Anti-Virus (PSP) Vermeidung und Umfrage-Techniken.

Fine Dining

Fine Dining kommt mit einem standardisierten Fragebogen bzw. einer Speisekarte, die von CIA-Offizieren ausgefüllt wird. Der Fragebogen wird vom Operational Support Branch (OSB) der Agentur verwendet, um all die Anfragen der Fallbeauftragten in technische Anforderungen für Hackerangriffe (normalerweise Informationen von Computer-Systemen „exfiltrieren“) für bestimmte Operationen umzuwandeln. Der Fragebogen erlaubt es dem OSB zu identifzieren, wie sie bestimmte Tools für die Operation adaptieren sollen und kommunziert dies an die Malware-Konfigurations-Mitarbeiter.

Unter der Liste der möglichen Ziele der Sammlung sind „Asset“, „Liason Asset“, „Systemadministrator“, „Foreign Information Operations“, „Foreign Intelligence Agencies“ (Ausländische Geheimdienste) und „Foreign Government Entities“. Bemerkenswert abwesend ist jeder Hinweis auf Extremisten oder transnationale Kriminelle. Der „Case Officer“ wird außerdem aufgefordert, die Umgebung des Ziels zu spezifizieren, wie die Art des Computers, das verwendete Betriebssystem, die Internetverbindung und installierte Anti-Viren-Tools (PnPs), sowie eine Liste mit Dateitypen, die exfiltriert werden sollen, wie Office-Dokumente, Audio, Video, Bilder oder andere Dateitypen. Die „Speisekarte“ fragt auch nach Informationen, ob wiederkehrender Zugriff auf das Ziel möglich ist und wie lange ein unbeobachteter Zugriff auf die Maschine möglich ist. Die Informationen werden von der „JQJIMPROVISE“ Software (siehe unten) der CIA dazu verwendet, um eine Reihe CIA-Malware zu konfigurieren, die für die spezifischen Bedürfnisse eines Vorgangs geeignet sind.

Improvise (JQJIMPROVISE)

„Improvise“ ist ein Toolset für die Konfiguration, die Nachbearbeitung, das Payload Setup und die Ausführungsvektorauswahl für Umfrage-/Exfiltrationstools, die alle wichtigen Betriebssysteme unterstützen wie Windows (Bartender), MacOS (JukeBox) und Linux (DanceFloor). Die dazugehörigen Konfigurationsdienstprogramme wie Margarita erlauben es dem NOC (Network Operation Center) ihre Tools anzupassen, basierend auf den Anforderungen von „Fine Dining“.

HIVE

HIVE ist eine Multi-Plattform CIA Malware-Suite mit der dazu gehörigen Steuerungssoftware. Das Projekt bietet anpassbare Implantate für Windows, Solaris, MikroTik (das in Internet-Routern verwendet wird) und Linux-Plattformen, sowie einer Listening Post (LP)/Command & Control (C2) Infrastruktur, um mit diesen Implantaten zu kommunizieren.

Die Implantate sind so konfiguriert, dass sie über HTTPS mit dem Webserver einer Cover-Domain kommunizieren; jede Operation, die diese Implantate verwendet, verfügt über eine eigenen Cover-Domain und die Infrastruktur kann eine beliebige Anzahl von Cover-Domains verwalten.

Jede Cover-Domain löst auf eine IP-Adresse auf, die sich bei einem öffentlichen VPS (Virtual Private Server) Provider befindet. Der öffentlich sichtbare Server leitet den gesamten eingehenden Datenverkehr  über ein VPN an einen „Blot“-Server weiter, der sich um die tatsächlichen Verbindungs-Requests von Clients kümmert. Er ist für optionale SSL-Client-Authentifizierung aufgesetzt: Wenn ein Client ein gültiges Client-Zertifikat sendet (nur Implantate können das tun), dann wird die Verbindung an den „Honeycomb“-Toolserver weitergeleitet, der mit dem Implantat kommuniziert; wenn ein gültiges Zertifikat fehlt (was der Fall ist, wenn jemand durch Zufall die Cover-Domain-Webseite öffnen will), dann wird der Traffic an einen Cover-Server weitergeleitet, der eine unverdächtig aussehende Webseite liefert.

Der Honeycomb-Toolserver empfängt exfiltrierte Informationen vom Implantat; ein Bediener kann das Implantat auch dazu auffordern, Befehle auf einem Zielcomputer auszuführen, damit der Toolserver als C2 (Command & Control) Server für das Implantat fungiert.

Eine ähnliche Funktionalität (wenn auch auf Windows beschränkt) liefert das RickBobby Projekt.

Siehe die geheimen Benutzer– und Entwicklerhandbücher für HIVE.

HÄUFIG GESTELLTE FRAGEN (FAQ)

Warum jetzt?
WikiLeaks hat veröffentlicht, sobald die Überprüfung und Analyse abgeschlossen war.

Im Februar hatte die Trump-Regierung eine Executive Order erlassen, die eine „Cyberwar“-Überprüfung innerhalb der nächsten 30 Tage vorbereiten soll.

Während diese Überprüfung die Aktualität und Relevanz der Publikation erhöht, spielte sie bei der Festlegung des Veröffentlichungsdatums keine Rolle.

Änderungen?
Namen, E-Mail-Adressen und externe IP-Adressen wurden in den veröffentlichten Seiten editiert (70.875 Editierungen insgesamt) bis weitere Analysen abgeschlossen sind.

  1. Über-Editierung: Einige Dinge wurden editiert, wobei es sich nicht um Mitarbeiter, Auftragnehmer, Ziele oder anderweitig mit der Agentur in Zusammenhang stehende Personen handelt, sondern zum Beispiel um Autoren von Dokumentation für andere öffentliche Projekte, die von der Agentur genutzt werden.
  2. Identität vs. Person: Die editierten Namen werden durch Benutzer-IDs (Zahlen) ersetzt, um es dem Leser zu ermöglichen, mehrere Seiten einem einzigen Autor zuzuschreiben. Angesichts des verwendeten Editierungsprozesses kann eine einzelne Person durch mehr als eine zugeordnete Kennung repäsentiert werden, aber keine Kennung bezieht sich auf mehr als eine reale Person.
  3. Archiv-Anhänge (zip, tar.gz, …) werden mit einem PDF ersetzt, welches alle Dateinamen in diesem Archiv auflistet. Wenn der Archivinhalt beurteilt wird, kann es zur Verfügung gestellt werden; bis dahin bleibt das Archiv nicht zugänglich.
  4. Anhänge mit anderen binären Inhalten werden mit einem Hex-Dump des Inhalts ersetzt, um einen versehentlichen Aufruf von Binärdateien zu verhindern, die möglicherweise mit militarisierter CIA-Malware infiziert sind. Wenn der Inhalt beurteilt wird, könnte es öffentlich gemacht werden; bis dahin bleibt der Inhalt editiert.
  5. Die Zehntausenden routbaren IP-Adressen-Referenzen (darunter mehr als 22.000 innerhalb der USA), die möglichen Zielen, verdeckten CIA-Listening-Post-Servern, Vermittler- und Testsystemen entsprechen, werden für weitere exklusive Untersuchungen redaktionell geändert.
  6. Binäre Dateien von nicht-öffentlichem Ursprung sind nur als Dumps verfügbar, um einen versehentlichen Aufruf von mit CIA-Malware infizierten Dateien zu verhindern.

Organigramm

Das Organigramm entspricht dem bisher von WikiLeaks veröffentlichtem Material.

Da die Organisationsstruktur der CIA unter der Ebene der Direktionen nicht öffentlich ist, wird die Platzierung der EDG und ihrer Zweigstellen innerhalb des Organigramms der Agentur aus Informationen rekonstruiert, die in den bisher veröffentlichten Dokumenten enthalten waren. Es soll als grobe Skizze der internen Organisation verwendet werden; Bitte beachten Sie, dass das rekonstruierte Organigramm unvollständig ist und dass interne Reorganisationen häufig auftreten können.

Wiki-Seiten
„Year Zero“ enthält 7818 Webseiten mit 943 Anhängen aus der internen Entwicklungs-Groupware. Die Software, die für diesen Zweck verwendet wird, heißt Confluence, eine proprietäre Software von Atlassian. Webseiten in diesem System (wie bei Wikipedia) verfügen über eine Versionsgeschichte, die interessante Einblicke darauf liefern kann, wie sich ein Dokument im Lauf der Zeit entwickelt hat; Die 7818 Dokumente enthalten diese Versionierung für 1136 neueste Versionen.

Die Reihenfolge der Seiten auf jeder Ebene wird durch das Datum (das Älteste zuerst) bestimmt. Der Seiteninhalt ist nicht vorhanden, wenn die Seite ursprünglich dynamisch von der Confluence-Software erzeugt wurde (wie auf der neu erstellten Seite angegeben).

Welcher Zeitraum wird behandelt?
Die Jahre 2013 bis 2016. Die Sortierreihenfolge der Seiten innerhalb jeder Ebene wird durch das Datum (das Älteste zuerst) bestimmt.

WikiLeaks hat das Erstellungsdatum / Datum der letzten Änderung durch die CIA für jede Seite erhalten, doch diese scheinen aus technischen Gründen noch nicht auf. Normalerweise kann das Datum aus dem Inhalt oder der Seitennummerierung erkannt werden. Wenn es wichtig ist, das genaue Datum zu kennen, dann wenden Sie sich an WikiLeaks.

Was ist „Vault7“?
„Vault7“ ist eine umfangreiche Sammlung von Material über CIA-Aktivitäten, die WikiLeaks zugespielt wurde.

Wann wurde jeder Teil von „Vault7“ erhalten?
Teil 1 wurde vor kurzem erhalten und der Inhalt erstreckt sich bis 2016. Details zu den anderen Teilen werden zum Zeitpunkt der Veröffentlichung zur Verfügung stehen.

Ist jeder Teil von „Vault7“ aus einer anderen Quelle?
Details über die anderen Teile werden zum Zeitpunkt ihrer Veröffentlichung verfügbar sein.

Was ist die Größe von „Vault7“?
Die Serie ist die größte Geheimdienst-Publikation in der Geschichte.

Wie hat Wikileaks jeden Teil von „Vault7“ erhalten?
Die Quellen vertrauen WikiLeaks, um keinerlei Informationen zu enthüllen, die dazu beitragen könnten, sie zu identifzieren.

Ist WikiLeaks nicht besorgt, dass die CIA etwas gegen seine Mitarbeiter unternehmen wird, um die Serie zu stoppen?
Nein. Das wäre sicherlich kontraproduktiv.

Hat WikiLeaks schon alle darin enthaltenen guten Geschichten entdeckt?
Nein. WikiLeaks hat absichtlich nicht hunderte von beeindruckenden Geschichten geschrieben, um andere dazu zu ermutigen, sie zu finden um so Kompetenz im Bereich für nachfolgende Teile der Serie zu erzeugen. Sie sind da. Schaut. Diejenigen, die sich ganz besonders hervortun, werden für einen früheren Zugang in der Zukunft berücksichtigt werden.

Werden andere Journalisten nicht die besten Geschichten vor mir finden?
Unwahrscheinlich. Es gibt sehr viel mehr Geschichten als es Journalisten oder Akademiker gibt, die sich in der Position wiederfinden, diese zu schreiben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*