Neuer Computervirus: MiniDuke spioniert Europas Regierungen aus

Von

Virenforscher haben ein neues Spionageprogramm entdeckt - auf Computern von Regierungen überall in Europa. Die Software tarnt sich gut, ist winzig und in einer ungewöhnlichen Programmiersprache geschrieben. Es ist ein Präzisionswerkzeug mit Twitter-Anbindung.

Schadsoftware: Die entschlüsselten Komponenten der Malware MiniDuke Zur Großansicht
Kaspersky

Schadsoftware: Die entschlüsselten Komponenten der Malware MiniDuke

Hamburg - Forscher der Universität Budapest und das russische Sicherheitsunternehmen Kaspersky haben eine ungewöhnliche Spionagesoftware auf Regierungsrechnern entdeckt. Unbekannte haben das Programm offenbar sehr zielgerichtet auf wenigen ausgewählten Rechnern eingeschleust. Kaspersky hat die Schadsoftware auf 50 Rechnern in 20 Staaten gefunden. Unter anderem in Regierungsnetzen in der Ukraine, Belgien, Portugal, Rumänien, der Tschechischen Republik und Irland, bei einer ungarischen Forschungsorganisation und wissenschaftlichen Instituten in den Vereinigten Staaten.

Der beobachtete Virus - von Kaspersky auf den Namen MiniDuke getauft - ist ein eigentümliches Präzionswerkzeug. Die Machart könnte ein Hinweis auf nicht-staatliche Akteure in der Computerspionage sein.

Für diese Theorie gibt es einige Anhaltspunkte, die Verschlüsselung des Schadprogramms, die gezielten Angriffe und die Steuerung über spezielle Kommandostrukturen. Die Indizien im Überblick:

1. Zero-Day-Lücken und gezielte Angriffe: Die Täter wussten von einer gravierenden Sicherheitslücke in Adobes PDF-Software, bevor diese Lücke Mitte Februar allgemein bekannt und geschlossen wurde. Solches Wissen über sogenannte Zero-Day-Schwachstellen ist in der Regel viel Geld wert. Kaspersky kann derzeit nicht nachvollziehen, wie lange die Täter von der Lücke wussten. Vielleicht war das Wissen in bestimmten Kreisen schon verbreitet, vielleicht haben sie dafür bezahlt.

Die Angreifer schickten ihren Opfern glaubwürdig formulierte E-Mails mit manipulierten PDF-Dokumenten im Anhang. Um ein Seminar über Menschenrechtspolitik, die Außenpolitik der Ukraine oder Nato-Pläne gehe es in den Dokumenten, versprachen die E-Mails. Die Artikel waren echt, aber nach dem Öffnen der Dateien waren die Rechner infiziert.

2. Winziges Schadprogramm, alte Sprache: Auf den infizierten Rechnern installierte das Schadprogramm einen winziges Brückenkopfprogramm, um auf Kommando weitere Software nachzuladen oder Daten zu übertragen. Diese Brückenkopf-Software ist gerade mal 20 Kilobyte groß und in Assembler geschrieben. Das ist ungewöhnlich, weil in dieser Sprache geschriebene Software sehr fehleranfällig ist, wenn man nicht sehr exakt arbeitet und sehr genau testet. In den neunziger Jahren haben Virenautoren wie die Gruppe 29A diese Sprache genutzt - vielleicht arbeitet ein erfahrener, älterer Entwickler nun für neue Auftraggeber.

3. Gute Tarnung: MiniDuke tarnt sich gut: Das Schadprogramm prüft nach der Infektion beispielsweise, ob es auf einer virtuellen Maschine gelandet ist, also einem simulierten Computer im Computer gewissermaßen. Dieses Werkzeug nutzen Virenexperten oft zum Analysieren von Schadprogrammen. Auf solchen Systemen entschlüsselt das Programm seine Funktionen nicht weiter, es bleibt untätig und schlecht analysierbar. Ansonsten errechnet MiniDuke bei der Installation eine eindeutige Kennung für den infizierten Rechner. So können die Angreifer ihre Ziele wiedererkennen, außerdem wird die Kommunikation der infizierten Computer mit den Kommandorechnern mit einem einmaligen, aus der Rechnerkennung bestimmtem Schlüssel codiert.

4. Kommandos per Twitter: Wenn die infizierten Computer keinen Kontakt mehr zu den Kommandorechnern haben, nutzen sie als Rückfallmechanismus Twitter. MiniDuke sucht über Google nach Tweets mit bestimmten verschlüsselten Kommandos, die zum Beispiel Hinweise auf neue Steuerrechner geben. Die Angreifer nutzen offenbar für jeden infizierten Rechner mindestens ein eigenes Twitter-Konto, über einige wurden Kommandos verschickt wie "The weather is good today. Sunny! uri;wpo7VkkxYt3Mne5uiDks4Il/Iw48Ge/EWg==".

Doch wer steckt dahinter?

Das ist schwierig zu beurteilen. Die Experten haben die Malware nicht beim Übertragen von Dateien beobachtet. Bekannt ist nur, dass die Täter bestimmte Rechner in bestimmten Organisationen infiziert haben, nicht aber, wonach genau sie auf diesen Rechnern suchten.

Klar ist, dass die Täter nicht mit klassischen Malware-Methoden Geld verdienen (Spam, Erpressung, Vermietung übernommener Rechner), sondern gezielt nach bestimmten Informationen suchen und großen Aufwand betreiben. Ihre Methode ist ungewöhnlich, die Machart unterscheidet sich klar von Cyber-Waffen wie Flame, Stuxnet oder Duqu.

Kasperskys Malware-Experte Witalij Kamluk beurteilt die Entdeckung so: "MiniDuke ist keine Cyber-Waffe. Die Täter könnten Kriminelle sein. Sie sind wie staatliche Akteure an spezifischen Informationen interessiert. Aber sie verkaufen diese vielleicht später an Kunden, statt sie selbst zu nutzen."

Der Autor auf Facebook

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 193 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Spitze des Eisberges.
megamekerer 27.02.2013
Wenn die Leute wussten was alles mit Windows und Linux geliefert wird.
2. nix Titel
AverageXY 27.02.2013
Nur weil die meisten heutigen Programmierer kein Assembler mehr können, macht es Assembler noch lange nicht zu einer alten Programmiersprache. Passend währe eher "nicht weit verbreitet" oder etwas ähnliches.
3.
KoelleAlaaf 27.02.2013
Ich finde es schon merkwürdig, dass man in letzter Zeit häufiger den Namen Kaspersky in Verbindung mit der Entdeckung von neuer Schadsoftware auf den Computern von Unternehmen, Regierungen etc. liest.
4.
soldev 27.02.2013
Assembler ist doch keine ungewöhnliche Sprache - das ist maschinennahe Entwicklung und vollkommen normales Tagesgeschäft im Mikrocontrollerbereich. Jeder normale Softwarewareentwickler sollte sich da reinfuchsen können - dazu braucht man keine älteren Virenentwickler.
5. Öffentliche Netzwerke..
dr.mopped 27.02.2013
Zitat von sysopVirenforscher haben ein neues Spionageprogramm entdeckt - auf Computern von Regierungen überall in Europa. Die Software tarnt sich gut, ist winzig und in einer ungewöhnlichen Programmiersprache geschrieben. Es ist ein Präzisionswerkzeug mit Twitter-Anbindung. MiniDuke: Spionage-Programm horcht Regierungen aus - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/netzpolitik/miniduke-spionage-programm-horcht-regierungen-aus-a-885888.html)
..sind irgendwann noch der Untergang des Abendlandes. Nicht nur das dösige User mit Ihren Smartphone "blind" durch die Gegend und mir vor's Auto laufen. Auch die Anbindung von allen möglichen Internetseiten, insbesondere die von Regierungsseiten an private!! Dienste, über die man keine Kontrolle hat, ist unverantwortlich. Igendwann schaltet uns eine uns nicht wohlgesonnene Macht einfach das Licht aus.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Netzpolitik
RSS
alles zum Thema Cebit
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 193 Kommentare


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.