Grasshopper-Leak: CIA-Tools für Windows

WikiLeaks-Logo vor grünem Hintergrund

Was wurde veröffentlicht

Als Teil der Vault7-Reihe hat WikiLeaks eine neue Sammlung von 27 Dokumenten veröffentlicht, die angeblich von der US-Geheimdienstbehörde CIA stammen. Die Dokumente erscheinen wie eine interne Bedienungsanleitung für Agenten, die das Framework Grasshopper beschreiben.

Was ist Grasshopper?

Grasshopper ist laut den geleakten Dokumenten ein Kommandozeilen-Framework (CLI). Es soll es erlauben, “maßgeschneiderte Malware” für Microsoft Windows zu erzeugen. Ziel ist es, die Malware an das Zielsystem und dessen installierte Antiviren-Software anzupassen und so Erkennung zu vermeiden. Am Ende erzeugt Grasshopper einen Windows-Installer, den Agenten auf Zielsystemen ausführen können.

Kurzdefinition: Grasshopper ist ein CLI-Framework zur Generierung von Windows-Malware-Installern, die auf Persistenz und Vermeidung von Antivirus-Detektion ausgelegt sind.

“Eine Grasshopper-Executable enthält einen oder mehrere Installer. Ein Installer ist ein Stack aus einer oder mehreren Installer-Komponenten. Grasshopper ruft jede Komponente der Reihe nach auf, um an einer Payload zu arbeiten. Das endgültige Ziel eines Installers ist die Persistenz einer Payload.”

Wie funktioniert das Framework?

Die Dokumente beschreiben einen modularen Aufbau:

Ein Executable kann mehrere Installer enthalten.
Jeder Installer besteht aus Komponenten, die in Serie ausgeführt werden.
Komponenten können Verschlüsselung und andere Erweiterungen nutzen.
Persistenzmechanismen werden als Teil der Installer konfiguriert.

Das Framework wählt Komponenten abhängig vom Zielbetriebssystem und der installierten Antiviren-Software aus. Das Ergebnis ist ein Installer, den Agenten auf Zielmaschinen ausführen, um die Payload dauerhaft zu installieren.

“Grasshopper erlaubt, Tools mit verschiedenen Persistenzmechanismen zu installieren und mit Erweiterungen (wie Verschlüsselung) zu modifizieren.”

Stolen Goods und Carberp

Ein in den Dokumenten genanntes Persistenzverfahren heißt Stolen Goods. Es zeigt, wie die CIA offenbar Malware-Teile genutzt und angepasst hat, die ursprünglich von kriminellen Gruppen entwickelt wurden. Ein genanntes Beispiel ist Carberp, ein bekannter Banking-Trojaner, der russischen Ursprungs zugeschrieben wird.

“Die Persistenzmethode und Teile des Installers wurden übernommen und an unsere Bedürfnisse angepasst. Ein Großteil des ursprünglichen Carberp-Codes wurde stark modifiziert. Sehr wenige Teile des Originalcodes existieren unverändert.”

Zeitliche Einordnung und Unsicherheiten

WikiLeaks gibt an, dass die Werkzeuge zwischen 2012 und 2015 verwendet wurden. Es ist jedoch unklar, in welchem Umfang und unter welchen Umständen die Tools tatsächlich eingesetzt wurden. WikiLeaks hat zuvor andere Vault7-Batches veröffentlicht, darunter “Year Zero” (Allgemeine CIA-Exploits), “Dark Matter” (Angriffe auf Apple-Geräte) und “Marble” (Anti-Forensik-Framework).

Risiken für Organisationen

Wichtig: Die geleakten Unterlagen beschreiben Techniken zur Umgehung von Erkennung und zur Persistenz. Selbst wenn der konkrete Code veraltet ist, liefern die Dokumente wertvolle Einblicke in Taktiken und Vorgehensweisen, die weiterhin adaptierbar sind.

Hauptgefahren:

Maßgeschneiderte Installer können auf Zielumgebungen zugeschnitten werden.
Nutzung adaptierter krimineller Tools erhöht die Komplexität der Attribution.
Anti-Forensik-Maßnahmen erschweren die Erkennung und Analyse.

Konkrete Gegenmaßnahmen und Security Hardening

Für Administratoren und Sicherheitsverantwortliche:

Prinzip der minimalen Rechte strikt umsetzen. Benutzer müssen nur die minimal notwendigen Rechte erhalten.
Anwendungskontrolle einführen: Whitelisting von erlaubten Installern und ausführbaren Dateien.
Multi-Layered Defense: Endpunkt-Schutz, Netzwerk-Detektion, Sandboxing und EDR-Lösungen kombinieren.
Integritätsprüfungen: Signatur-basierte und verhaltensbasierte Checks für Installer.
Monitoring von Persistenzmechanismen: Dienste, Autostart-Keys, geplante Tasks und Treiberänderungen beobachten.
Forensik-Readiness: Logs zentralisieren, Aufbewahrung verlängern, frühzeitige Snapshot-Möglichkeiten.
Red-Team-Übungen: Tests gegen angepasste Installer, um Detektionslücken zu finden.

Wichtig: Antiviren-Produkte sind Teil der Verteidigung, aber allein nicht ausreichend gegen maßgeschneiderte Installer.

Wann diese Informationen nicht zutreffen

Counterexamples — Situationen, in denen die geleakten Methoden wenig Wirkung zeigen:

Systeme mit striktem Applikations-Whitelisting, wo kein unbekannter Installer ausgeführt werden kann.
Vollständig isolierte (air-gapped) Umgebungen ohne Möglichkeit, externe Installer einzuschleusen.
Systeme mit Hardware-basierten Integritätsprüfungen und gesicherter Boot-Kette.

Alternative Verteidigungsansätze

Anwendungssandboxing: Unsichere Installationsschritte in isolierte Umgebungen verlagern.
Zero-Trust-Netzwerkarchitektur: Vertrauenswürdigkeit von Geräten und Identitäten kontinuierlich prüfen.
Automatisierte IOC- und TTP-Sharing: Informationen über Indicators of Compromise und Taktiken mit vertrauenswürdigen Partnern austauschen.

Faktenbox

Anzahl geleakter Dokumente: 27
Zeitraum der mutmaßlichen Nutzung: 2012–2015
Relevante Vault7-Batches: Year Zero, Dark Matter, Marble
Beispiel für adaptierte Malware: Carberp (ursprünglich krimineller Banking-Trojaner)

Rolle-basierte Checkliste für Administratoren

Für IT-Administratoren:

Überprüfen Sie Whitelisting- und Applikationskontroll-Richtlinien.
Aktivieren und überwachen Sie EDR-Alerts auf Persistenzindikatoren.
Testen Sie Deployed-Backups und Wiederherstellungsprozesse.

Für Incident-Responder:

Sammeln Sie volatile Daten vor Systemneustart.
Isolieren Sie verdächtige Hosts vom Netzwerk.
Starten Sie eine forensische Analyse in einer sicheren Umgebung.

Für Führungskräfte:

Priorisieren Sie Budget für Detection- und Response-Fähigkeiten.
Stellen Sie sicher, dass CSP und Third-Party-Risk geprüft werden.

Glossar ein Satz pro Begriff

Persistenz: Methoden, mit denen Malware auf einem System dauerhaft verbleibt.
Installer: Programm, das Software auf einem Zielsystem installiert und konfiguriert.
EDR: Endpoint Detection and Response, zur Erkennung und Reaktion auf Bedrohungen.

Kurze Handlungsmethodik für eine Untersuchung

Initiale Triage: Logs, Prozesse, Netzwerkverbindungen prüfen.
Isolieren: Verdächtige Systeme offline nehmen.
Sammeln: Forensische Daten sichern (RAM, Dateisystem, Registry).
Analysieren: Persistenzmechanismen und Modifikationen identifizieren.
Bereinigen: Inkompatible Artefakte entfernen und Patches einspielen.
Lessons Learned und Prävention implementieren.

FAQ

Sind die geleakten Tools noch relevant für die heutige Sicherheitslage?

Ja. Selbst veralteter Code liefert Erkenntnisse zu Techniken, TTPs und Designmustern, die adaptiert werden können. Verteidiger sollten aus den Konzepten lernen, nicht nur aus dem konkreten Code.

Bedeutet die Erwähnung von Carberp, dass Staaten mit Kriminellen zusammenarbeiten?

Die Dokumente deuten eher darauf hin, dass bestehende kriminelle Tools genutzt und modifiziert wurden. Daraus lässt sich keine rechtssichere Aussage über Kooperationen ableiten.

Was ist die beste Sofortmaßnahme für KMU?

Implementieren Sie Anwendungskontrolle, sichern Sie Backups offsite und schulen Sie Benutzer im sicheren Umgang mit Anhängen und Installern.

Zusammenfassung

Die Grasshopper-Dokumente beschreiben ein CLI-Framework zur Erzeugung anpassbarer Windows-Installer.
Persistenzmechanismen und Anpassungen krimineller Malware erhöhen die Komplexität der Abwehr.
Organisationen sollten mehrschichtige Verteidigung, Monitoring und forensische Readiness priorisieren.

Wichtig: Informationen aus Leaks sollten genutzt werden, um Defensive Maßnahmen zu verbessern. Sie sind kein Ersatz für systematische Sicherheitsarbeit.

WikiLeaks: Neue 'Grasshopper'-Leaks zeigen CIA-Malware für Windows