![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Die Plattform WikiLeaks hat den Quellcode der vom US-Geheimdienst CIA verwendeten Software Hive ver\u00f6ffentlicht. Hive ist die zentrale Komponente der CIA-Infrastruktur, um die eigene Malware zu kontrollieren.<\/p>\nDie Plattform WikiLeaks hat den Quellcode der vom US-Geheimdienst CIA verwendeten Software Hive ver\u00f6ffentlicht. Hive ist die zentrale Komponente der CIA-Infrastruktur, um die eigene Malware zu kontrollieren.<\/p>\n
<\/p>\n
Hive l\u00f6st ein kritisches Problem f\u00fcr die Malware-Operatoren der CIA. Selbst ein recht\u00a0 ausgekl\u00fcgeltes Malware-Implantat auf einem Zielrechner ist nutzlos, wenn es keine M\u00f6glichkeit gibt, mit seinen Bedienern auf sichere und unauff\u00e4llige Weise zu kommunizieren. Hive stellt daher eine verdeckte Kommunikationsplattform f\u00fcr eine ganze Reihe von CIA-Malware bereit, um auf den Zielsystemen gesammelte Informationen an CIA-Server zu senden und neue Anweisungen von den Betreibern der CIA zu erhalten.<\/p>\n Hive kann mehrere Operationen mit mehreren Implantaten auf Zielcomputern durchf\u00fchren. Jede Operation registriert anonym mindestens eine Cover-Domain (z. B.\"perfect-boring-looking-domain. com\") f\u00fcr den eigenen Gebrauch. Der Server, auf dem die Domain-Website l\u00e4uft, wird von kommerziellen Hosting-Providern als VPS (Virtual Private Server) gemietet und die Software wird entsprechend den CIA-Spezifikationen angepasst. Diese Server sind die \u00f6ffentlich zug\u00e4ngliche Seite der CIA Back-End-Infrastruktur und fungieren als Relay f\u00fcr den HTTP (S)-Verkehr \u00fcber eine VPN-Verbindung zu einem \"versteckten\" CIA-Server namens \"Blot<\/a>\".<\/p>\n Die Cover-Domain liefert zuf\u00e4lligen Besuchern unverf\u00e4ngliche Inhalte. Jemand der diese Domain besucht, wird nicht vermuten, dass es sich um etwas anderes als eine normale Website handelt. Die einzige Besonderheit ist f\u00fcr nicht-technische Benutzer nicht sichtbar – eine HTTPS-Server-Option, die nicht weit verbreitet ist: Optionale Client-Authentifizierung. Hive verwendet jedoch die ungew\u00f6hnliche Optionale Client-Authentifizierung, so dass der Benutzer, der auf der Website surft, nicht zur Authentifizierung ben\u00f6tigt wird – sie ist optional.<\/p>\n Implantate, die mit Hive kommunizieren, authentifizieren sich jedoch selbst und k\u00f6nnen daher vom Blot-Server erkannt werden. Der Datenverkehr von Implantaten wird an ein Portal f\u00fcr das Management von Implantatbetreibern mit dem Namen Honeycomb (siehe Grafik oben) weitergeleitet, w\u00e4hrend der gesamte andere Datenverkehr an einen Coverserver weitergeleitet wird, der die unauff\u00e4lligen Inhalte f\u00fcr alle anderen Benutzer bereitstellt.<\/p>\n Digitale Zertifikate f\u00fcr die Authentifizierung von Implantaten werden von der CIA erzeugt, die sich als bestehende Entit\u00e4ten ausgibt. Die drei im Quellcode enthaltenen Beispiele erstellen ein gef\u00e4lschtes Zertifikat f\u00fcr die Antiviren-Firma Kaspersky Laboratory. Das Zertifikat gibt vor, von Thawte Premium Server CA, Kapstadt, signiert worden zu sein. Falls die IT der Zielorganisation den Netzwerkverkehr, der aus dem eigenen Netzwerk abflie\u00dft, analysiert, ist es wahrscheinlich, dass die abflie\u00dfenden Daten als unproblematisch und genehmigt fehlinterpretiert werden.<\/p>\n Die Hive-Dokumentation ist als Teil der WikiLeaks Vault7 Serie<\/a> seit April 2017 verf\u00fcgbar<\/a>. (via<\/a>, via)<\/p>\nDie CIA (und die NSA) infizieren die Computer und IT-System von Angriffszielen mit selbst entwickelter Malware. Die Enth\u00fcllungsplattform WikiLeaks hat in den letzten Jahren immer wieder Teile der geheimen Tools der CIA und NSA ver\u00f6ffentlicht. Viele Ver\u00f6ffentlichungen solcher Tools liefen im Rahmen des Vault 7 Projekts<\/a>. Jetzt hat man das Projekt Vault 8<\/a> aufgesetzt, dessen erste Ver\u00f6ffentlichung den Quellcode der Hive-Software beinhaltet. Ziel ist es, Sicherheitsforschern und investigativen Journalisten Einblick in die Software zu gew\u00e4hren.<\/p>\n
Die Funktion von Hive<\/h2>\n
![\"Kommunikation](\"https:\/\/wikileaks.org\/hive.png\" "\\"Kommunikation")
\n(Quelle: WikiLeaks)<\/p>\n