https://www.faz.net/-gy9-728uw

Trojaner : Spione beherrschen den Cyberkrieg

  • -Aktualisiert am

Bild: Damm

Computerviren mit Spionagefunktionen - wie zum Beispiel der Trojaner Madi - haben Hochkonjunktur. Schon mit recht einfachen Mitteln können äußerst hochwertige und sensible Informationen beschafft werden.

          3 Min.

          Computerviren mit Spionagefunktionen haben im Augenblick Hochkonjunktur. Dabei zeigt sich, dass schon mit recht einfachen Mitteln äußerst hochwertige und sensible Informationen beschafft werden können. Der Mitte Juli gefundene Spionagevirus Madi ist ein gutes Beispiel. „Das ist das Werk von Amateuren“, urteilt Sicherheitsspezialist Costin Raiu vom russischen Antivirenhersteller Kaspersky über den Madi-Trojaner. Er sei schlampig programmiert, nutze keinerlei ausgeklügelte Angriffstechniken, und die Steuerung des Trojaners sei sehr nachlässig gewesen. Auf der anderen Seite berichten unterschiedliche Nachrichtendienste, Madi habe mehreren hundert hochrangigen Regierungsbeamten und Militärs - unter anderem in Israel und den Vereinigten Staaten - sensible Informationen abgegriffen. Allerdings urteilen auch die Cyber-Schlapphüte der Geheimdienste, dass Madi simpel gestrickt und im wesentlichen Spionagefunktionen aus fertigen Virenbaukästen genutzt habe.

          “Genau darin liegt die Gefahr“, meint Michael Scheffler vom kalifornischen Sicherheitsanbieter Proofpoint. Damit Madi erfolgreich geheime Informationen erbeuten konnte, mussten zwei Bedingungen erfüllt sein: Der Trojaner muss möglichst viele unterschiedliche Spionagefunktionen erfüllen. Dazu zählen die zielgerichtete Durchsuchung von Festplatten der infizierten Computer, das Anfertigen von Bildschirmfotos und das Einschalten der eingebauten Mikrofone, um den PC als Wanze nutzen zu können. „Zweitens ist Madi direkt an die persönlichen Mail-Adressen hochrangiger Geheimnisträger geschickt worden“, berichtet Analyst Costin Raiu.

          „Spear Phishing“ nennt sich diese Angriffsform

          Die Absender von Madi hatten sich ihre Opfer genau ausgesucht. Militärs, Techniker und Regierungsbeamte beider Länder, die vermutlich in etwaige Planungen eines militärischen Angriffs auf den Iran einbezogen gewesen wären. „Spear Phishing“ nennt sich diese Angriffsform, dabei handelt es sich um Spionageangriffe auf ausgesuchte Adressaten, bei denen die gängigen Sicherheitsmechanismen wie Antivirensoftware oder Firewalls versagen. Madi wurde in eine Powerpoint-Datei integriert, die als Anhang einer Mail mit persönlicher Anrede und dem Hinweis auf ein Meeting versehen war, an dem die Zielperson tatsächlich entweder kürzlich teilgenommen hatte oder das unmittelbar bevorstand. In der Mail stand dann zum Beispiel, der Empfänger finde im angehängten Dokument auch Daten zu einem kürzlich in Iran durchgeführter Versuch mit nuklearen Waffen samt Fotobeleg und ersten Reaktionen der vorgesetzten Dienststelle des Empfängers. Der lud die Powerpoint-Datei mit dem integrierten Virus herunter, öffnete sie und hatte auf seinem PC fortan den Spionagevirus. In mindestens 250 Fällen waren davon amerikanische und israelische Regierungsrechner betroffen.

          Dabei schien es, als richte sich der Madi-Einsatz gegen iranische Regierungsstellen. Denn der Computervirus tauchte zunächst auf zahlreichen iranischen Rechnern auf. Ein besonderer Infektionsschwerpunkt war Teheran. Dort stand auch ein Kontrollserver, der den Vireneinsatz steuerte und an die einzelnen Spionagetrojaner konkrete Suchbefehle sandte. Ein zweiter Kontrollserver wurde später im kanadischen Montreal ausgemacht. Die Virenanalysten fanden im Programmcode einzelne persische Worte. Madi war in der Programmiersprache Delphi geschrieben, die für derartige Zwecke als zweite Wahl gilt. Ende Juli tauchte dann eine zweite Madi-Version auf, die ausschließlich von einem Kontrollserver in Montreal gesteuert wurde. Diese Version fand sich bevorzugt auf israelischen und amerikanischen Servern.

          Iranische Oppositionsgruppen in Paris berichteten zudem, dass Madi von iranischen Maschinenbaustudenten als Gegenwaffe zu Flame, einem Spionagevirus aus amerikanisch-israelischer Produktion, entwickelt worden sei. Die vermehrte Infektion von PCs mit Madi im Großraum Teheran wurde von iranischen Oppositionellen und mindestens zwei westlichen Nachrichtendiensten mit einer Testphase erklärt. Madi-Sample sind schon im September 2011 gefunden worden und weisen in der Kommunikation mit dem Kontrollserver noch Fehler auf. Das legt nach Meinung des amerikanischen technischen Nachrichtendienstes NSA den Verdacht nahe, dass mit dem Spionagevirus im Herbst 2011 im Iran experimentiert wurde und sich die Verbreitung mit einer verbesserten Schadsoftware dann vom Frühjahr 2012 an zunehmend auf Israel und die Vereinigten Staaten verlagerte.

          Die iranische Regierung hat den Verdacht, Madi sei von iranischen Behörden oder Forschungsstellen entwickelt worden, sofort empört zurückgewiesen. Würde es sich bei Madi um eine Cyberwaffe des Iran handeln, „wäre der Virus mindestens so kompliziert und fortschrittlich wie Duqu, Stuxnet und Flame“, heißt es in einer Mitteilung des iranischen Informationsministeriums. Ob tatsächlich die iranische Regierung Auftraggeber der Madi-Entwicklung ist oder ob Madi von regierungsnahen Aktivisten oder vielleicht doch von Studenten entwickelt wurde, lässt sich schwer sagen. Bei der Spear-Phishing-Attacke müssen die Angreifer nicht nur die persönliche Mail-Adresse ihrer Zielperson kennen, sondern auch Details aus ihrem beruflichen Umfeld, damit sie den Empfänger mit persönlicher Ansprache und vorgeblich internen beruflichen Informationen veranlassen können, den Mail-Anhang zu öffnen. Entscheidend ist also der gute Informationshintergrund, den die Angreifer wohl hatten.

          Weitere Themen

          Topmeldungen

          Wada-Ermittler Younger: „Uns ging es nicht darum, Russland zu diffamieren, sondern die Wahrheit herauszufinden.“

          Wada-Chefermittler Younger : „Die Russen löschten im großen Stil“

          Günter Younger, Doping-Ermittler der Wada, hat mit seinem Team Manipulationen durch russische Behörden bewiesen. Im Interview spricht er über Ermittlungsmethoden und russische Athleten, Trainer und Offizielle, die Doping „satt hatten“.
          Die Kulisse steht: Der Saal der Semperoper in Dresden.

          Umstrittene Ehrung für El-Sisi : Ärger um den Semperopernball

          Der Chef des Semperopernballs hat dem ägyptischen Staatschef El-Sisi einen Preis verliehen. Das trug ihm heftige Kritik ein. Nun könnte der Ball platzen, die Moderatoren Judith Rakers und Roland Kaiser drohen mit Absage. Was wird jetzt?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.