zurück zur Übersicht

Wikileaks publiziert Vault7: Year Zero

Mit dem 7. März 2017 sollte nun endlich allgemein bewusst sein, welches Ausmaß die Bedrohung für elektronische (IT) Geräte hat und welche Möglichkeiten einer staatlich gesponserten Einheit zur Verfügung stehen. Wikileaks hat einen ersten „Dump“ namens „Year Zero“ aus einer geplanten Reihe von „Leaks“ (Vault 7) über die CIA veröffentlicht.

Dieser „Dump“ beinhaltet Daten und Dokumente des „Center for Cyber Intelligence“ (CCI) in Langley,Virginia, einer Einheit der „Central Intelligence Agency“ (CIA), unter anderem zuständig für das Finden von Schwachstellen und deren Ausnutzung durch (Zero Day) Exploits.

Das perfide dabei ist, dass die genutzten Werkzeuge theoretisch jedermann zur Verfügung stehen:

“The CIA made these systems unclassified.
Why the CIA chose to make its cyberarsenal unclassified reveals how concepts developed for military use do not easily crossover to the ‚battlefield‘ of cyber ‚war‘.
[…]
If CIA implants, Command & Control and Listening Post software were classified, then CIA officers could be prosecuted or dismissed for violating rules that prohibit placing classified information onto the Internet. Consequently the CIA has secretly made most of its cyber spying/war code unclassified. The U.S. government is not able to assert copyright either, due to restrictions in the U.S. Constitution. This means that cyber ‚arms‘ manufactures and computer hackers can freely „pirate“ these ‚weapons‘ if they are obtained. The CIA has primarily had to rely on obfuscation to protect its malware secrets.”
Quelle [1]

Zwielichtige Behörde ans Licht gezerrt

Abbildung 1: Organisation Chart (https://wikileaks.org/ciav7p1/files/org-chart.png)

Das “CCI” besteht aus mehreren Untereinheiten.

Besonders interessant sind hier die „Engineering Development Group“ (EDG) und ihre Untergruppen, die für unterschiedliche Bereiche bei der Entwicklung von Malware und/oder Exploits zuständig sind.

Anhand der Namen lässt sich das Tätigkeitsfeld eindeutig zuordnen:

EDG Engineering Development Group

  • Embedded Development Branch (EDB)
    • To be the premiere development shop for customized hardware and software solutions for Information Operations: utilizing operating system knowledge, hardware design, software craftsmanship, and network expertise to support the IOC Mission.
  • Remote Development Branch (RDB)
  • Mobile Development Branch (MDB)
  • Network Devices Branch (NDB)
  • CCI Europe Engineering
    • CCI Europe Engineering provides ad hoc engineering support for deployment of EDG tools in both unilateral and liaison operations.
  • Automated Implant Branch (AIB)
    • Develop and sustain a world class automated implant program.
  • Operational Support Branch (OSB)
    • Your mission, should you choose to accept it, is to Trojan everything with anything on all OSes and evade detection by all PSPs all the time.

Vulnerabilities powered by US-Government

Die Dokumente sind der erste öffentliche Beweis dafür, dass die US-Regierung mit Absicht Software unsicher hält, um Schwachstellen später ausnutzen zu können.

„Serious vulnerabilities not disclosed to the manufacturers places huge swathes of the population and critical infrastructure at risk to foreign intelligence or cyber criminals who independently discover or hear rumors of the vulnerability. If the CIA can discover such vulnerabilities so can others.
The U.S. government’s commitment to the Vulnerabilities Equities Process came after significant lobbying by US technology companies, who risk losing their share of the global market over real and perceived hidden vulnerabilities. The government stated that it would disclose all pervasive vulnerabilities discovered after 2010 on an ongoing basis.
„Year Zero“ documents show that the CIA breached the Obama administration’s commitments. Many of the vulnerabilities used in the CIA’s cyber arsenal are pervasive and some may already have been found by rival intelligence agencies or cyber criminals. “
Quelle: https://wikileaks.org/ciav7p1/, Quelle [2]

Aus dem Management System der “Engineering Development Group” geht hervor, dass sie circa an 500 Projekten im Zeitraum von 2013 – 2016 gearbeitet hat. Aus einer Vielzahl dieser Projekte sind entsprechende Werkzeuge und Software hervorgegangen.

Interessante Intrigen

Nachfolgend eine Auswahl „spannender“ Projekte. Eine vollständige Übersicht der „Year Zero“ Projekte findet sich unter https://wikileaks.org/ciav7p1/cms/index.html.

UMBRAGE

Quelle: https://wikileaks.org/ciav7p1/cms/page_2621751.html

Aufgrund dessen, dass die CIA sehr spezielle Techniken einsetzt, lassen sich diese auch einfach zurückverfolgen, da sie einen eindeutigen “Fingerabdruck” hinterlassen. Durch den Fingerabdruck können z.B. forensische Analysten ihn derselben Quelle zuordnen.

Die “Remote Development Branch” Gruppe [3] ist hingegen dafür da, gezielt falsche Spuren zu legen. Sie sammelt und betreibt eine große Datenbank von Angriffstechniken, die sie entweder aus Malware aus anderen Ländern (z.B. Russland) extrahiert oder gestohlen hat [4].

Mit Hilfe von UMBRAGE kann die CIA nicht nur ihre Anzahl von Angriffstypen erhöhen, sondern auch den Angriff verschleiern und Hinweise hinterlassen, um die Angriffe den Gruppen zuzuordnen, von denen die Techniken gestohlen worden sind.

UMBRAGE Komponenten decken “Keylogger”, “Password Collection”, “Webcam Capture”, “data destruction”, “persistence”, “privilege escalation”, “stealth”, “anti-virus (PSP) avoidance” und Überwachnungstechniken ab.

Fine Dining

Quelle: https://wikileaks.org/ciav7p1/cms/page_20251096.html

Fine Dining ist eine Art „Speisekarte“ mit Anforderungen, die ein CIA Verantwortlicher ausfüllt.

Der Fragebogen wird von dem „Operational Support Branch“ (OSB) [5] dazu verwendet, um die Angriffe zu planen und die entsprechenden Tools zusammenzustellen. Dazu werden die Anforderungen des Antragstellers (z.B. Daten Exfiltration) gesammelt. Die gelieferten Daten erlauben es dem OSB, mögliche Werkzeuge für den Einsatz zu identifizieren und anzupassen. Der OSB fungiert als Schnittstelle zwischen dem Auftraggeber und dem technischen Team ( das für die Entwicklung und Modifikation der eingesetzten Werkzeuge verantwortlich ist).

Mögliche Zielangaben (in Fine Dining) umfassen unter anderem „Asset“, „Liaison Asset“, „System Administrator“, „Foreign Information Operations“, „Foreign Intelligence Agencies“ und „Foreign Government“. Der Antragsteller muss zusätzliche Details des Ziels angeben, wie das genutzte Betriebssystem, den Typ Computer, die Internetverbindung, eingesetzte AV Lösungen und eine Liste der Datentypen der für die Exfiltration gewünschten Daten (Audio, Video, Office Dokumente, Custom). Diese Information wird im Anschluss von Improvise verwendet, um Malware den Anforderungen entsprechend zu konfigurieren.

Improvise (JQJIMPROVISE)

Quelle: https://wikileaks.org/ciav7p1/cms/space_9076739.html

Improvise ist eine Sammlung von Werkzeugen zur Konfiguration, „post-processing“, Aufsetzen des Payloads und Selektion des (Angriffs)Vektors der Überwachungs- und Exfiltrationswerkzeuge. Unterstützt werden alle gängigen Betriebssysteme wie Windows (Bartender), MacOS (JukeBox) und Linux (DanceFloor).

Das „Network Operations Center“ (NOC) kann durch die Konfigurationsmöglichkeiten (wie Margarita [6]) die benötigten Tools so anpassen, wie es der „Fine Dining“ Fragebogen als Anforderung vorgibt.

Weeping Angel

Quelle: https://wikileaks.org/ciav7p1/cms/page_12353643.html

George Orwell lässt grüßen:  Hier werden die Mikrofone und eventuell vorhandene Kameras des Fernsehers für eine Überwachung genutzt. Es sind primär bestimmte Smart-TVs des Herstellers Samsung betroffen (Samung F8000).

Spottsroide

Quelle: https://wikileaks.org/ciav7p1/cms/page_30474252.html

Spottsroide nutzt ein Entwickler-Feature des Broadcom Modems („Monitor Mode“), das in vielen mobilen Endgeräten verbaut ist (z.B. Galaxy S2). Hier ist es möglich, sämtlichen WiFi Verkehr im Umfeld des betroffenen Gerätes mitzuschneiden und einzusammeln. Die Daten können dann anschliessend im Nachgang entsprechend analysiert werden.

Die Überwachungs-Applikation (verantwortlich für die Datensammlung) wird initial über eine andere App gestartet, den Music Player “Apollo”. [7]

Vermutlich nur die Spitze des Eisbergs

Es bleibt abzuwarten, wie Regierungen, sowie betroffene Soft- und Hardwarehersteller auf diese Veröffentlichungen reagieren.

Ebenso gibt die Aussage von Wikileaks zu Bedenken, dass sie weniger als 1% des vorhandenen Materials dazu bis jetzt veröffentlicht haben [8].

Weitere Informationen gibt es dazu auf https://wikileaks.org/ciav7p1/ und https://wikileaks.org/ciav7p1/cms/index.html

BONUS: Capture the Flag (https://wikileaks.org/ciav7p1/cms/page_16385438.html)

 


 

Quellen:

[1] https://wikileaks.org/ciav7p1/

[2] https://twitter.com/Snowden/status/839159736977227777

[3] https://wikileaks.org/ciav7p1/cms/space_753668.html

[4] https://wikileaks.org/ciav7p1/cms/page_2621753.html

[5] https://wikileaks.org/ciav7p1/cms/space_9076739.html

[6] https://wikileaks.org/ciav7p1/cms/page_2064603.html

[7] https://www.reddit.com/r/td_uncensored/comments/5y32yv/cia_method_of_snooping_wifi_data_through_mobile/

[8] https://twitter.com/wikileaks/status/839475557721116672

 

IOS Exploits: https://wikileaks.org/ciav7p1/cms/files/iOS%20Exploits%20-%20iOS%20-%20EDG%20Confluence.pdf
Bild: ©iT-CUBE SYSTEMS AG 2016

 

Schreibe einen Kommentar