Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Equation Group: Sicherheitsforscher analysieren mutmaßliches NSA-Werkzeug

Im Februar kam heraus, dass Hunderte Rechner weltweit mit hochentwickelter Software infiziert wurden. Die Sicherheitsfirma Kaspersky hat sich nun genauer mit einem Schadprogramm der sogenannten Equation Group beschäftigt.

Konkret haben die Sicherheitsforscher von Kaspersky Lab ein Spionagewerkzeug analysiert, das sie EquationDrug nennen. Der Name spielt auf den Software-Urheber an, die sogenannte Equation Group, bei der es sich mutmaßlich um eine Abteilung eines westlichen Geheimdienstes wie der NSA handelt. Dafür spricht zumindest die Komplexität der Schadprogramme, die die Gruppe einsetzt.

Kaspersky-Chefanalyst Costin Raiu sagte im Februar im SPIEGEL-ONLINE-Interview, die Gruppe sei "wirklich gut darin, ihre Spuren zu verwischen". Außerdem sei die operative Sicherheit "hervorragend". Die Gruppe soll seit mindestens 2001 aktiv sein, eventuell sogar seit 1996.

Das Werkzeug EquationDrug soll sie seit 2003 einsetzen. Das Programm war eins der ersten und zeitweise das wichtigste Programm der Gruppe, mittlerweile setzt sie auf fortschrittlichere Systeme wie GrayFish.

Zeitleiste der Equation-Group-Werkzeuge: EquationDrug ist seit 2003 im Einsatz Zur Großansicht
Kaspersky

Zeitleiste der Equation-Group-Werkzeuge: EquationDrug ist seit 2003 im Einsatz

Ähnlich wie bei anderen Spionage-Werkzeugen existieren für EquationDrug zahlreiche Plug-in-Module. Die Software lässt sich also anpassen oder um Funktionen erweitern, abhängig davon, welchen Rechner man angreifen will und wie viel über das Ziel bekannt ist. Gefunden wurden unter anderem Zusätze, die überwachen, was auf der Tastatur getippt wird, und was in Browsern wie Firefox geschieht.

Das Kaspersky-Team geht davon aus, dass es für EquationDrug 116 verschiedene Plug-ins gibt. Das Unternehmen betont, dass es sich nicht nur um einen Trojaner, sondern um eine ganze Plattform handelt. Ihr Aufbau wurde im Bericht grafisch aufbereitet.

Vermutlich ein Geheimdienst-Werkzeug

Kaspersky-Chefanalyst Costin Raiu legt wie schon im Februar die Deutung nahe, dass ein westlicher Geheimdienst hinter der Software steckt. "Nationalstaatliche Angreifer versuchen ihre Spionagewerkzeuge noch stabiler, unsichtbarer, zuverlässiger und universeller zu gestalten", schreibt er.

Anders als traditionelle Cyberkriminelle würden sich staatliche Angreifer darauf konzentrieren, ein ausgereiftes Programmiergerüst zu erstellen, dessen Code so verpackt ist, dass er sich auf Live-Systemen anpassen lässt. "Zudem wird eine Möglichkeit geschaffen, alle Komponenten und Daten verschlüsselt und für normale Nutzer unzugänglich zu speichern", so Raiu.

Dem Kaspersky-Team zufolge gibt es weitere Unterschiede zwischen den Attacken mit EquationDrug und den Methoden gewöhnlicher Cyberkrimineller. Mit EquationDrug wurden beispielsweise gezielte und keine breit gefächerten Attacken durchgeführt. Das Ziel sei es, die Systeme weniger ausgewählter Nutzer zu infizieren, mit individualisierten Angriffen.

Beim Erstellen ihrer Software würden es staatliche Akteure zudem bewusst vermeiden, öffentlich zugänglichen Quellcode wiederzuverwenden. "Wir gehen davon aus, dass sich in Zukunft ein modularer Aufbau sowie eine individuelle Anpassung als Markenzeichen nationalstaatlicher Angriffe etablieren werden", schreibt Raiu.

Den vollständigen Kaspersky-Bericht zu EquationDrug finden Sie hier.

mbö

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 21 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Und nu?
buntesmeinung 11.03.2015
Wie kann ich mich als IT-Inkompetenz in Person dagegen wehren? Ich habe dem Artikel entnommen, dass sich das Programm nur gegen ausgewählte Ziele richtet, aber das muss ja nicht so bleiben. Deshalb wüsste ich gern,wie ich mich schützen kann.
2.
nevr_mnd 11.03.2015
"Beim Erstellen ihrer Software würden es staatliche Akteure zudem bewusst vermeiden, den öffentlich zugänglichen Quellcode wiederzuverwenden." Ich verstehe die Aussage dieses Satzes nicht. Kann den jemand für mich erklären? Danke.
3. @nevr_mnd
hahny 11.03.2015
Mit einer Programmiersprache lässt sich ein Problem auf unterschiedliche weisen lösen. Daher ist der Quellcode unterschiedlich, aber das programm macht das gleiche. So wird denk ich eine Zuordnung schwieriger sowie Schwachstellen aussortiert.
4. @hahny
nevr_mnd 11.03.2015
Es ist von "öffentlich zugänglichem Quellcode" die Rede. Wieso sollte der Quellcode öffentlich zugänglich sein? Liefern die Angreifer ihre Spionagesoftware im Bundle zusammen mit dem Quellcode aus? Das halte ich für ein recht unwahrscheinliches Szenario.
5. IT - inkompetent
ü60 11.03.2015
gut formuliert - bin ich auch. Dagegen können sich, nach allem was zu erfahren war, Normalos nicht schützen.Die merken es nicht mal.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH




Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: