Spionage-Trojaner in Iran Mahdi kam per E-Mail

Bild aus der Powerpoint-Präsentation (Screenshot von Securelist): Religiöse Botschaften
Hamburg - Eli Lake hatte nicht damit gerechnet, an einer globalen Cyberattacke beteiligt zu sein - und doch ist sein Name damit verbunden. Lake ist Journalist und schreibt für das US-Nachrichten- und Meinungsmagazin "The Daily Beast." Am Dienstagmorgen überraschte ihn die Nachricht von einem Trojaner namens Mahdi, der 800 Rechner im Nahen Osten infiltriert haben soll, hauptsächlich in Iran, aber auch in Israel, den Vereinigten Arabischen Emiraten, Afghanistan und Saudi-Arabien. Mahdi steht nach dem traditionellen islamischen Glauben für den von Gott gesandten Messias, der das Unrecht der Welt beseitigen wird und den reinen Ur-Islam wieder herstellen wird.
Der Computervirus sei per E-Mail verschickt worden, hieß es weiter in den Nachrichten. In manchen Fällen zusammen mit einem Artikel, in dem es um angebliche Pläne Israels ging, Iran mit elektronischer Kriegsführung anzugreifen. Diesen Beitrag hatte Eli Lake selbst geschrieben, er wurde im November im "Daily Beast" veröffentlicht.
Nach Angaben der Sicherheitsfirmen Seculert aus Israel und Kaspersky aus Russland treibt der Trojaner wenigstens seit Ende 2011 sein Unwesen und spioniert Rechner aus. Die Experten von Seculert haben ihn laut eigenen Angaben zuerst entdeckt, als sie eine verdächtige E-Mail untersuchten, mit einer gefakten Word-Datei im Anhang. Seculert wandte sich an Kaspersky, die Firma hatte im Mai den Flame-Virus gefundenund analysiert.
In ihrem Blog schreiben die Kaspersky-Experten, dass manche Betroffene eine Powerpoint-Präsentation mit Landschaftsbildern und religiösen Texten geschickt bekamen. In manchen Fällen öffnete sich dann als Ablenkung der Lake-Text unter dem Dateinamen "mahdi.txt", manchmal auch ein Jesus-Bild. Beim Öffnen des Anhangs wurde außerdem ein sogenannter Malware Dropper aktiviert, eine Programmdatei, die der Freisetzung des Virus dient.
Allem Anschein nach waren es keine Zufallsopfer, die jene Trojaner-Mail in ihren Postfächern fanden: Laut Kaspersky handelte es sich um Mitarbeiter von Botschaften, Behörden, Finanzdienstleistern, Versorgungsunternehmen sowie Maschinenbau-Studenten. War Mahdi einmal auf dem Rechner, konnten die Angreifer wohl E-Mails und Textnachrichten mitlesen, Dateien kopieren, Audio-Mitschnitte und Screenshots anfertigen.
So simpel, dass er unentdeckt blieb
Die Angriffsweise ist simpel, aber effektiv. Mahdi sei nicht vergleichbar mit so ausgeklügelten und hochentwickelten Viren wie Flame oder Stuxnet, sagen die Experten. Der Stuxnet-Virus, der eine Anlage des iranischen Atomprogramms manipuliert hat, stammt offenbar aus einer geheimen Operation von Geheimdiensten und Militär der USA und Israel. So haben es mit der Sache vertraute Personen berichtet.
Mahdi ging gröber zur Sache: "Vielleicht hat der amateurhafte und rudimentäre Ansatz dem Projekt dazu verholfen, unter dem Radar zu bleiben", sagt Nicolas Brulez, Senior Malware Researcher bei Kaspersky, in einer offiziellen Mitteilung der Firma. Auch wenn die Schadsoftware sehr schlicht sei im Vergleich zu ähnlichen Projekten, so sei es den Mahdi-Angreifern gelungen, ihre Opfer dauerhaft zu beobachten.
Wer hinter Mahdi steckt, vermögen die Sicherheitsexperten noch nicht zu sagen. "Es ist unklar, ob es sich hierbei um einen staatlichen Angriff handelt oder nicht", heißt es auf dem Blog von Seculert. Das von ihnen untersuchte Exemplar kommunizierte mit einem Server in Kanada. Die Nachforschungen der Sicherheitsexperten ergaben, dass es Varianten der gleichen Schadsoftware schon im Dezember 2011 gab; zu der Zeit kommunizierte die Schadsoftware mit dem gleichen Domain-Namen, allerdings mit einem Server im iranischen Teheran.
Man habe, so Kaspersky, ungewöhnlicherweise persische Zeichenketten im Code gefunden. Dabei könnte es sich zwar um ein Ablenkungsmanöver handeln - die Virenforscher gehen aber davon aus, dass die Urheber fließend Persisch sprechen.
Wer jedenfalls mit dem Angriff keinesfalls etwas zu tun haben will, ist Lake. "Entschuldigung Iran, ich wollte dich nicht überfallen", schreibt der Journalist jetzt. Zwar habe er als Journalist immer gewollt, dass seine Artikel die Welt verändern, aber nicht auf diese Weise. Nicht mit digitalen Sprengsätzen.