Lade Daten...
21.02.2012
Schrift:
-
+

Syrische Spyware

Staatstrojaner Marke Eigenbau

Von
AFP

Syrische Widerstandskämpfer: Helfer des Assad-Regimes überwachen das Web

Unbekannte versuchen offenbar, die syrische Opposition mit einem Trojaner zu unterwandern. IT-Experten und Hacker haben eine entsprechende Spyware entdeckt. Eine Spur führt direkt in das Assad-Reich nach Damaskus.

Die Nachrichten aus Syrien sind schlecht: Assad klammert sich an die Macht, schickt immer mehr Soldaten in die Rebellenhochburg Homs und lässt die Bevölkerung beschießen.

Zeugen sind dabei unerwünscht, es bleibt das Internet, über das Berichte, Videos und Bilder übertragen werden. Doch der Krieg findet längst auch hier statt. Im Herbst wurde das Regime dabei ertappt, wie es den Internetverkehr überwachte, mit Technik einer US-Firma aufzeichnete, von welchen Computern auf welche Websites zugegriffen wurde.

Doch damit nicht genug: Die Opposition muss sich neuerdings auch noch mit Computerviren herumplagen. Genauer gesagt mit Trojanern, die sich auf den Rechnern der Widerstandskämpfer einnisten. Dort sammeln sie Informationen, die verschlüsselt auf einen Webserver übertragen werden. Was genau abgefangen wird, ist unklar, ebenso die Anzahl der infizierten Computer.

Die IP-Adresse, an die der Trojaner seine Daten überträgt, wird vom staatlich kontrollierten Syrian Telecommunications Establishment in Damaskus verwaltet. Dilshad Othman, nach einem Bericht des Fernsehsenders CNN ein IT-Spezialist der Opposition, will von Dutzenden Fällen gehört haben, in denen Computer ausgespäht wurden.

Remote Access Tool

CNN berichtet von einer Hilfsarbeiterin, die Kontakt zur syrischen Opposition aufgenommen hatte. Als sie zum wiederholten Male mit einem syrischen Kontakt vor Ort über das Internet kommunizierte, habe die Person ihr eine Datei geschickt. Mit dieser schien etwas nicht zu stimmen, sie habe sich nicht öffnen lassen. Später erfuhr die Frau von anderen Oppositionellen, dass ihr tatsächlicher Kontakt längst verhaftet sei.

Jemand hatte sich offenbar als Oppositioneller ausgegeben und ihr einen Trojaner untergeschoben. Den Trojaner stellten Experten im Auftrag von CNN auf dem Rechner der Hilfsarbeiterin sicher. Die Sicherheitsfirma Norman meldete sich draufhin zu Wort: Man habe schon mehrere dieser Trojaner gesehen. Norman veröffentlichte die IP-Adresse des Servers von dem aus die Schadsoftware kontrolliert wurde.

Aktivisten der Gruppe Telecomix wiederum nahmen den Kontrollserver genauer unter die Lupe - und fanden dort den Trojaner. Er besteht aus zwei Programmen, das erste installiert heimlich eine Hintertür auf dem Zielrechner, beim nächsten Neustart nimmt diese ihre Arbeit auf. Dabei soll es sich um eine frei verfügbare Software namens DarkComet handeln - eine in Frankreich programmiertes Software zur Fernbedienung von Computern.

Eigentlich eine praktische Sache: Mit so einem Remote Access Tool können Administratoren in Firmennetzwerken Updates aufspielen, ohne von Stockwerk zu Stockwerk zu rennen - aber auch Kriminelle die Computer ihrer Opfer zu einem Botnetz zusammenschließen. Hunderte Funktionen habe die Software, heißt es auf der Website stolz, inklusive Live-Übertragung von Tastatureingaben und Webcam-Bildern. In den falschen Händen wird daraus eine Waffe.

"Syrian Electronic Army"

Hacker-Kenntnisse seien für den Einsatz dieses Tools nicht erforderlich, erklärten die Experten gegenüber CNN. Dafür wird der syrische Trojaner, den sie Backdoor.breut genannt haben, mittlerweile von Anti-Viren-Programmen erkannt - was im Fall der Hilfsarbeiterin aber noch nicht der Fall gewesen sein soll.

Wer nun dahintersteckt - ob nun ganz offiziell Behörden oder die Hackergruppe "Syrian Electronic Army", die schonmal als Treuebeweis für Assad die Website von Al-Dschasira verunstaltet - wissen die Telecomix-Aktivisten nicht. Ihr Verdacht, nach Chats mit syrischen Oppositionellen: Es könnte sich um einen Staatstrojaner Marke Eigenbau handeln.

Zeitweilig soll der Kontrollserver des Trojaners sogar offen gestanden haben. Die Hacker konnten sich nach eigenen Angaben als "Gast" ohne Passwort anmelden und hilflos zusehen, wie infizierte Rechner Kontakt aufnahmen.

Der Autor auf Facebook

Forum

Diskutieren Sie über diesen Artikel
Sagen Sie Ihre Meinung!

MEHR AUF SPIEGEL ONLINE

MEHR IM INTERNET

Verwandte Themen

Fotostrecke

Assads langer Atem

Fotostrecke

Artikel

News verfolgen

Lassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter RSS
alles zum Thema Syrien
RSS

© SPIEGEL ONLINE 2014 Alle Rechte vorbehalten