Ob staatliche Spione, Cyberkriminelle oder auch aktivistische motivierte Hacker, allen ist ein Ziel gemein: Die Urheberschaft ihrer Angriffe möglichst gut zu verschleiern. Eine neuer Leak gibt nun Einblick, welcher Methoden sich die CIA für solche Aufgaben bedient.

Marble

Wikileaks hat den mittlerweile dritten Teil seines "Vault 7"-Leaks an internen CIA-Dokumenten veröffentlicht. Dieses Mal geht es ganz konkret um ein Tool mit dem Namen "Marble", dessen Source Code veröffentlicht wurde. Dieses habe im Jahr 2015 die Version 1.0 erreicht und sei bis zuletzt genutzt worden, heißt es.

Hintergrund

Marble ist ein Anti-Forensik-Framework, es zielt also darauf ab, die forensische Analyse der eigenen Angriffs-Tools möglichst gut zu verschleiern. Dazu gehört vor allem das Verschleiern von Textfragmenten, um etwaige Rückschlüsse aus verwendeten Begriffen und Formulierungen zu verhindern. Für die interne Nutzung gibt es dann natürlich auch ein Tool, dass diese Passagen wieder lesbar macht.

Spekulatives

Sonderlichen Neuigkeitswert hat der Leak insofern also nicht, immerhin sind solche Tools wohl bekannt. Wikileaks versucht die Veröffentlichung entsprechend mit eigenen Spekulationen anzureichern. Der Umstand, dass auch Testbeispiele in anderen Sprachen enthalten sind, veranlasst Wikileaks zu der Behauptung, dass damit ein bewusstes Irreführen von Forensikern möglich wäre – etwa durch absichtlich schlecht verschleierte Passagen in russisch. Dies ist zwar richtig, hat aber ursächlich mit dem Tool selbst recht wenig zu tun. (apo, 31.3.2017)