WikiLeaks veröffentlicht die CIA-Spyware „Athena“

WikiLeaks veröffentlichte Dokumentationen zur Athena-Spyware, eine Malware, welche alle Arten von Windows-Systemen infizieren und kontrollieren könnte.

WikiLeaks veröffentlichte Dokumentationen zur Athena-Spyware, eine Malware, welche alle Arten von Windows-Systemen infizieren und kontrollieren könnte.

Letzten Freitag veröffentlichte WikiLeaks bereits eine Dokumentation zu den Plattformen AfterMidnight und Assassin-Malware. Nun veröffentlichte die Organisation eine neue Reihe von „CIA Vault 7 Dumps“, welche Dokumentationen zu einer Spyware namens Athena/Hera enthalten.

Diese Reihe von CIA-Dokumenten enthält eine Bedienungsanleitung zur Athena-Spyware, die sowohl einen Überblick über die Technik verschafft, als auch eine Demo, wie man die Malware genau verwendet.

Wie man aus den Dokumenten herauslesen kann ist es möglich, dass alle Arten von Windows-Systemen von den beiden Spywares infiziert werden können. Athena funktioniert von Windows XP bis Windows 10 und Hera funktioniert von Windows 8 bis Windows 10.

Die Athena-/Hera-Malware wurden von der CIA verwendet, um ferngesteuerten Zugriff auf infizierte Windows-Systemen zu erhalten.

„Das Athena-System erfüllt die Anforderungen für einen ferngesteuerten COG/NODs Beacon-Loader. Tabelle 2 zeigt die in Athenas/Heras v1.0 verfügbaren Systemkomponenten. Folgende Betriebssysteme sind im Visier der Spyware: Windows XP Pro SP3 32-Bit (lediglich Athena), Windows 7 32-Bit/64-Bit, Windows 8.1 32-Bit/64-Bit, Windows 2008 Enterprise Server, Windows 2012 Server und Windows 10“  steht im System-Überblick der Bedienungsanleitung. „Ubuntu v14.04 ist die validierte Linux-Version. Apache 2.4 ist der Webserver zuständig für die Listening-Posts“.

Die Athena-Spyware wurde in Python geschrieben. Es scheint, als ob die Spyware im August 2015 hergestellt wurde. Falls dies bestätigt werden kann ist es besorgniserregend, da Microsoft Windows 10 im Juli 2015 veröffentlicht hat.

Athena ist das Ergebnis einer Zusammenarbeit von CIA-Entwicklern und Kollegen der Firma Siege Technologies, die sich auf offensive Cyber-Security spezialisiert hat.

„Athena ist ein mit Siege Technologies entwickelter Beacon-Loader. Im Grunde genommen ist es eine sehr einfache Implantat-Anwendung. Es läuft in der Umgebung des Benutzers und sendet seine Signale via des srvhost-Prozesses. Folgendes Diagramm stellt das Konzept der Operation dar“ erklärt das Athena Technology Overview.

Die von Wikileaks veröffentlichten Dokumente offenbaren die Fähigkeit der Athena-Spyware seine Konfiguration in Echtzeit zu ändern um sich somit für ganz bestimmte Zwecke anzupassen.

„Sobald die Malware installiert ist stellt es eine Beaconing-Fähigkeit, inklusive Konfiguration und Aufgaben-Abwicklung bereit. Weiter enthalten sind das belasten / entlasten des Speichers von bösartigen Payloads spezifischer Aufgaben und die Zustellung und Rückholung von Dateien zu/von einem anvisierten System“ behauptet WikiLeaks.

WikiLeaks stellte allerdings keine Informationen wie, oder für welchen Zweck die Behörden die Spyware einsetzte bereit. Es ist aber sehr leicht vorstellbar, wie die Behörden diese Anwendung zum Ausspionieren Ihrer Ziele verwenden können.

Folgend die Liste der Mail-Dumps veröffentlicht von WikiLeaks:

  • Year Zero, welches CIA-Hacking-Exploits für Hardware und Software offenbarte
  • Weeping-Angel-Spion-Werkzeug, um Samsung smart TVs zu hacken
  • Dark-Matter-Dump beinhaltend iPhone und Mac Hacking-Exploits.
  • Das Marble-Batch basierend auf einem Framework verwendet von der CIA, um die Zuordnung von Cyber-Angriffen zu erschweren
  • Das Grasshopper-Batch, das ein Framework offenbarte, welches die Malware gestalten lässt, um in Microsoft Windows einzudringen und den Antivirus-Schutz zu umgehen
  • Das Scribbles-Projekt für das Verfolgen von Dokumenten
  • Archimedesman-in-the-middle (MitM) Angriffs-Werkzeug
  • Die AfterMidnight- und Assassin-Malware-Plattformen

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini