SPIEGEL ONLINE

SPIEGEL ONLINE

30. Mai 2012, 17:51 Uhr

Iran und Syrien

Anti-Zensur-Software spioniert Web-User aus

Von

Ist es ein Cyberkrieg gegen das eigene Volk? Ausgerechnet in einer Software, die Iraner und Syrer verwenden, um die Zensurmaßnahmen in ihren Ländern zu umgehen, haben Experten jetzt eine Trojanersoftware entdeckt, die staatlichen Ermittlern Zugang zu den PC der Nutzer ermöglichen kann.

Das Windows-Tool Simurgh soll Anwendern in Iran und anderen Ländern einen freien Zugang zum Internet, vorbei an staatlicher Zensur, ermöglichen. Jetzt haben Forscher der University of Toronto entdeckt, dass im Internet eine Version dieser Software kursiert, die genau das Gegenteil tut. Sie installiert einen Trojaner auf dem PC des Nutzers, der Angreifern eine Hintertür öffnet, Passwörter und Benutzernamen ausspäht.

Dabei soll Simurgh, das nach einem persischen Fabelwesen benannt wurde, welches man im Westen als Phönix kennt, eigentlich für mehr Sicherheit und Freiheit sorgen. Seit 2009 wird das Programm vor allem in Iran von Web-Usern verwendet, die anonym im Netz unterwegs sein wollen. In letzter Zeit wird es angeblich auch bevorzugt von Syrern eingesetzt, die der Bevormundung durch ihren Staat entgehen wollen.

Simurgh leitet die Web-Anfragen der Anwender über Server im Ausland um, so dass sie beispielsweise wie User aus den USA im Netz surfen können. Von großem Vorteil für die oft mit langsamen Leitungen ans Netz angebundenen Nutzer in diesen Ländern ist, dass die Software nur etwa ein Megabyte groß ist, sich auch auf einem USB-Stick ins Internetcafé mitnehmen lässt.

Nun aber sind die kanadischen Forscher darauf aufmerksam gemacht worden, dass offenbar eine modifizierte Version von Simurgh im Netz kursiert. Statt über die offizielle Website des Anonymisierungstools wird sie über andere Download-Seiten verteilt.

Jeder Tastaturklick wird protokolliert

Morgan Marquis-Boire, der als technischer Berater für das Citizen Lab an der University of Toronto und als Sicherheitsingenieur für Google arbeitet, hat untersucht, was es mit diesem neu entdeckten Schädling auf sich hat. Demnach wird bei der Installation der modifizierten Simurgh-Variante ein Programm namens Isass.exe auf den Rechner eingeschleust. Laut Marquis-Boire wird Dritten über diese Software ein dauerhafter Zugang zu dem Rechner eingerichtet sowie eine Möglichkeit geschaffen, Daten abzuschöpfen.

"Sollte [diese Schadsoftware] auf einem Computer installiert sein, muss man damit rechnen, dass alle Online-Accounts (E-Mail, Online-Banking und so weiter) kompromittiert worden sind", schreibt Marquis-Boire. Auch der Benutzername und das Passwort für den PC werden abgegriffen und Informationen über jedes geöffnete Fenster und jeden Tastaturanschlag protokolliert. Die so gesammelten Daten werden zu einer HTML-Datei zusammengefasst und an eine Web-Adresse übermittelt, die bei einem Internet-Provider in Saudi-Arabien registriert ist.

Simurgh warnt jetzt selbst

Marquis-Boire rät Betroffenen dazu, schleunigst ihre Passwörter zu ändern - natürlich erst nach Beseitigung des Schädlings. Ein Hinweis darauf, ob die Software auf einem System aktiv ist, könne sein, dass der PC beim Windows-Start keinen Startton mehr von sich gibt und einige Systemtöne nicht abgespielt werden, weil Isass.exe bei seiner Installation die Datei Windows XP Start.wav löscht. Überdies sollen verschiedene Antivirenprogramme, etwa von Sophos und Avira, in der Lage sein, den Schädling zu identifizieren und zu beseitigen.

Die Entwickler der Simurgh-Software haben sich ebenfalls des Problems angenommen, erklärt Sophos. Sie haben ihr System so verändert, dass es jetzt einen Warnhinweis ausgibt, wenn jemand versucht, mit der infizierten Version von Simurgh online zu gehen. Betroffenen wird empfohlen, in einem solchen Fall sofort die Netzverbindung zu kappen und die Schadsoftware zu entfernen.

Wie viele Menschen sind betroffen?

Weit gefährlicher könnte für Anwender derart infizierter PC aber sein, dass der Trojaner genau jenen staatlichen Verfolgern Daten und Beweise gegen sie liefern könnte, denen sie mit der Installation von Simurgh eigentlich entgehen wollten. Marquis-Boire und Sophos verweisen in ihren Artikeln zum Thema einmal mehr darauf, dass man Software nur aus vertrauenswürdigen, am besten aus bekannten Quellen herunterladen sollte.

Wie groß die Zahl der Betroffenen ist, wagen nicht mal die Experten zu schätzen. Sicherheitsberater Chester Wisniewski von Sophos orakelt nur grob, dass sich wohl Tausende auf die Funktionen von Simurgh verlassen haben.

URL:

Mehr auf SPIEGEL ONLINE:

Mehr im Internet


© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH