Am 9. November veröffentlichte WikiLeaks den Quellcode für die amerikanische Cyberwaffe „Hive“, welche es CIA-Mitarbeitern ermöglichte, eine bestimmte Malware zu steuern, die sie in geknackten Computern installierten.
Laut dem sogenannten “Vault 8”-Bericht kann die CIA-Malware ihre Nutzer mit gefaketen Sicherheitszertifikaten ausstatten und sie so als fremde Unternehmen auftreten lassen, im gegebenen Beispiel als das russische Kaspersky Lab.
Rückblick 2015: Geheimdienste spionieren Anti-Viren-Hersteller aus
“’Hive’ lost ein großes Problem der Malware-Nutzer bei der CIA”, heißt es in einem WikiLeaks-Statement. „Mithilfe von ‚Hive‘ kann selbst ein auf dem Zielrechner entdecktes Hacking kaum noch bis zur CIA nachverfolgt werden, wenn man sich nur die Kommunikation der Malware mit anderen Servers im Internet anschaut.“
“Hive” kann demnach gleich mehrere unterschiedliche Operationen ausführen und nutzt dabei multiple fremdinstallierte Schadprogramme auf dem Zielrechner. Jede Operation wird durch mindestens eine Deck-Domain, wie zum Beispiel "perfectly-boring-looking-domain.com", anonymisiert.
Mindestens drei in dem neuen Code ablesbaren Beispiele zeigen, dass „Hive“ sich gerade als „Kaspersky Lab“ tarnen kann und diese Option bereits mehrmals genutzt habe, als die US-Regierung den russischen Staat der Einmischung in den US-Wahlkampf im vergangenen Jahr beschuldigte.
Im September dann forderte das U.S. Department of Homeland Security (DHS) sämtliche Staatliche Agenturen auf, jegliche Nutzung solcher Programme einzustellen und sie schleunigst von den Rechnern zu entfernen. Als Grund galten „Risiken für die Informationssicherheit, die Kaspersky-Produkte auf föderalen IT-Systemen“ bedeuteten.
Im Interview: Jewgeni Kasperski: „Wir wollen die digitale Welt retten“
Der Kaspersky-Gründer Ewgenij Kasperski twitterte derweil: „Wir haben die ‚Vault 8‘-Berichte gelesen und bestätigen, dass jene in unserem Namen verteilten Zertifikate Fakes sind. Unsere Kunden, ihre privaten Verschlüsselungen und Services sind sicher und nicht angegriffen worden.“
WikiLeaks hatte bereits im April dieses Jahres die ersten “Hive”-Dokumente veröffentlicht. Demnach nutze die CIA dieses Schadprogramm zum Hacken, Aufnehmen und Kontrollieren moderner Hightech-Anlagen überall in der Welt.
Das Kaspersky Lab hatte sich zuvor immer wieder geweigert, mit Staatsorganen zusammenzuarbeiten – auch nicht mit den russischen Behörden. die Kaspersky-Produkte seien auch gar nicht zur Spionage geeignet, so das Unternehmen, weil sie keinerlei Zusatzfunktionen dazu besäßen. Um diese Behauptungen zu untermauern machte Kaspersky noch im Oktober seinen Quellcode zu den Aktivitäten des vergangenen Monats öffentlich.