Lade Daten...
27.02.2013
Schrift:
-
+

Neuer Computervirus

MiniDuke spioniert Europas Regierungen aus

Von Konrad Lischka
Kaspersky

Schadsoftware: Die entschlüsselten Komponenten der Malware MiniDuke

Virenforscher haben ein neues Spionageprogramm entdeckt - auf Computern von Regierungen überall in Europa. Die Software tarnt sich gut, ist winzig und in einer ungewöhnlichen Programmiersprache geschrieben. Es ist ein Präzisionswerkzeug mit Twitter-Anbindung.

Hamburg - Forscher der Universität Budapest und das russische Sicherheitsunternehmen Kaspersky haben eine ungewöhnliche Spionagesoftware auf Regierungsrechnern entdeckt. Unbekannte haben das Programm offenbar sehr zielgerichtet auf wenigen ausgewählten Rechnern eingeschleust. Kaspersky hat die Schadsoftware auf 50 Rechnern in 20 Staaten gefunden. Unter anderem in Regierungsnetzen in der Ukraine, Belgien, Portugal, Rumänien, der Tschechischen Republik und Irland, bei einer ungarischen Forschungsorganisation und wissenschaftlichen Instituten in den Vereinigten Staaten.

Der beobachtete Virus - von Kaspersky auf den Namen MiniDuke getauft - ist ein eigentümliches Präzionswerkzeug. Die Machart könnte ein Hinweis auf nicht-staatliche Akteure in der Computerspionage sein.

Für diese Theorie gibt es einige Anhaltspunkte, die Verschlüsselung des Schadprogramms, die gezielten Angriffe und die Steuerung über spezielle Kommandostrukturen. Die Indizien im Überblick:

1. Zero-Day-Lücken und gezielte Angriffe: Die Täter wussten von einer gravierenden Sicherheitslücke in Adobes PDF-Software, bevor diese Lücke Mitte Februar allgemein bekannt und geschlossen wurde. Solches Wissen über sogenannte Zero-Day-Schwachstellen ist in der Regel viel Geld wert. Kaspersky kann derzeit nicht nachvollziehen, wie lange die Täter von der Lücke wussten. Vielleicht war das Wissen in bestimmten Kreisen schon verbreitet, vielleicht haben sie dafür bezahlt.

Die Angreifer schickten ihren Opfern glaubwürdig formulierte E-Mails mit manipulierten PDF-Dokumenten im Anhang. Um ein Seminar über Menschenrechtspolitik, die Außenpolitik der Ukraine oder Nato-Pläne gehe es in den Dokumenten, versprachen die E-Mails. Die Artikel waren echt, aber nach dem Öffnen der Dateien waren die Rechner infiziert.

2. Winziges Schadprogramm, alte Sprache: Auf den infizierten Rechnern installierte das Schadprogramm einen winziges Brückenkopfprogramm, um auf Kommando weitere Software nachzuladen oder Daten zu übertragen. Diese Brückenkopf-Software ist gerade mal 20 Kilobyte groß und in Assembler geschrieben. Das ist ungewöhnlich, weil in dieser Sprache geschriebene Software sehr fehleranfällig ist, wenn man nicht sehr exakt arbeitet und sehr genau testet. In den neunziger Jahren haben Virenautoren wie die Gruppe 29A diese Sprache genutzt - vielleicht arbeitet ein erfahrener, älterer Entwickler nun für neue Auftraggeber.

3. Gute Tarnung: MiniDuke tarnt sich gut: Das Schadprogramm prüft nach der Infektion beispielsweise, ob es auf einer virtuellen Maschine gelandet ist, also einem simulierten Computer im Computer gewissermaßen. Dieses Werkzeug nutzen Virenexperten oft zum Analysieren von Schadprogrammen. Auf solchen Systemen entschlüsselt das Programm seine Funktionen nicht weiter, es bleibt untätig und schlecht analysierbar. Ansonsten errechnet MiniDuke bei der Installation eine eindeutige Kennung für den infizierten Rechner. So können die Angreifer ihre Ziele wiedererkennen, außerdem wird die Kommunikation der infizierten Computer mit den Kommandorechnern mit einem einmaligen, aus der Rechnerkennung bestimmtem Schlüssel codiert.

4. Kommandos per Twitter: Wenn die infizierten Computer keinen Kontakt mehr zu den Kommandorechnern haben, nutzen sie als Rückfallmechanismus Twitter. MiniDuke sucht über Google nach Tweets mit bestimmten verschlüsselten Kommandos, die zum Beispiel Hinweise auf neue Steuerrechner geben. Die Angreifer nutzen offenbar für jeden infizierten Rechner mindestens ein eigenes Twitter-Konto, über einige wurden Kommandos verschickt wie "The weather is good today. Sunny! uri;wpo7VkkxYt3Mne5uiDks4Il/Iw48Ge/EWg==".

Doch wer steckt dahinter?

Das ist schwierig zu beurteilen. Die Experten haben die Malware nicht beim Übertragen von Dateien beobachtet. Bekannt ist nur, dass die Täter bestimmte Rechner in bestimmten Organisationen infiziert haben, nicht aber, wonach genau sie auf diesen Rechnern suchten.

Klar ist, dass die Täter nicht mit klassischen Malware-Methoden Geld verdienen (Spam, Erpressung, Vermietung übernommener Rechner), sondern gezielt nach bestimmten Informationen suchen und großen Aufwand betreiben. Ihre Methode ist ungewöhnlich, die Machart unterscheidet sich klar von Cyber-Waffen wie Flame, Stuxnet oder Duqu.

Kasperskys Malware-Experte Witalij Kamluk beurteilt die Entdeckung so: "MiniDuke ist keine Cyber-Waffe. Die Täter könnten Kriminelle sein. Sie sind wie staatliche Akteure an spezifischen Informationen interessiert. Aber sie verkaufen diese vielleicht später an Kunden, statt sie selbst zu nutzen."

Der Autor auf Facebook

Forum

Diskutieren Sie über diesen Artikel
insgesamt 193 Beiträge
1. Spitze des Eisberges.
megamekerer 27.02.2013
Wenn die Leute wussten was alles mit Windows und Linux geliefert wird.
Wenn die Leute wussten was alles mit Windows und Linux geliefert wird.
2. nix Titel
AverageXY 27.02.2013
Nur weil die meisten heutigen Programmierer kein Assembler mehr können, macht es Assembler noch lange nicht zu einer alten Programmiersprache. Passend währe eher "nicht weit verbreitet" oder etwas ähnliches.
Nur weil die meisten heutigen Programmierer kein Assembler mehr können, macht es Assembler noch lange nicht zu einer alten Programmiersprache. Passend währe eher "nicht weit verbreitet" oder etwas ähnliches.
3.
KoelleAlaaf 27.02.2013
Ich finde es schon merkwürdig, dass man in letzter Zeit häufiger den Namen Kaspersky in Verbindung mit der Entdeckung von neuer Schadsoftware auf den Computern von Unternehmen, Regierungen etc. liest.
Ich finde es schon merkwürdig, dass man in letzter Zeit häufiger den Namen Kaspersky in Verbindung mit der Entdeckung von neuer Schadsoftware auf den Computern von Unternehmen, Regierungen etc. liest.
4.
soldev 27.02.2013
Assembler ist doch keine ungewöhnliche Sprache - das ist maschinennahe Entwicklung und vollkommen normales Tagesgeschäft im Mikrocontrollerbereich. Jeder normale Softwarewareentwickler sollte sich da reinfuchsen können - dazu [...]
Assembler ist doch keine ungewöhnliche Sprache - das ist maschinennahe Entwicklung und vollkommen normales Tagesgeschäft im Mikrocontrollerbereich. Jeder normale Softwarewareentwickler sollte sich da reinfuchsen können - dazu braucht man keine älteren Virenentwickler.
5. Öffentliche Netzwerke..
dr.mopped 27.02.2013
..sind irgendwann noch der Untergang des Abendlandes. Nicht nur das dösige User mit Ihren Smartphone "blind" durch die Gegend und mir vor's Auto laufen. Auch die Anbindung von allen möglichen Internetseiten, [...]
Zitat von sysopVirenforscher haben ein neues Spionageprogramm entdeckt - auf Computern von Regierungen überall in Europa. Die Software tarnt sich gut, ist winzig und in einer ungewöhnlichen Programmiersprache geschrieben. Es ist ein Präzisionswerkzeug mit Twitter-Anbindung. MiniDuke: Spionage-Programm horcht Regierungen aus - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/netzpolitik/miniduke-spionage-programm-horcht-regierungen-aus-a-885888.html)
..sind irgendwann noch der Untergang des Abendlandes. Nicht nur das dösige User mit Ihren Smartphone "blind" durch die Gegend und mir vor's Auto laufen. Auch die Anbindung von allen möglichen Internetseiten, insbesondere die von Regierungsseiten an private!! Dienste, über die man keine Kontrolle hat, ist unverantwortlich. Igendwann schaltet uns eine uns nicht wohlgesonnene Macht einfach das Licht aus.

Empfehlen

MEHR AUF SPIEGEL ONLINE

MEHR IM INTERNET

Verwandte Themen

Mehr Cyberwar

Mehr Flame

Artikel

News verfolgen

Lassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter RSS
alles zum Thema Cebit
RSS

© SPIEGEL ONLINE 2014 Alle Rechte vorbehalten