Hamburg - Eli Lake hatte nicht damit gerechnet, an einer globalen Cyberattacke beteiligt zu sein - und doch ist sein Name damit verbunden. Lake ist Journalist und schreibt für das US-Nachrichten- und Meinungsmagazin "The Daily Beast." Am Dienstagmorgen überraschte ihn die Nachricht von einem Trojaner namens Mahdi, der 800 Rechner im Nahen Osten infiltriert haben soll, hauptsächlich in Iran, aber auch in Israel, den Vereinigten Arabischen Emiraten, Afghanistan und Saudi-Arabien. Mahdi steht nach dem traditionellen islamischen Glauben für den von Gott gesandten Messias, der das Unrecht der Welt beseitigen wird und den reinen Ur-Islam wieder herstellen wird.

Der Computervirus sei per E-Mail verschickt worden, hieß es weiter in den Nachrichten. In manchen Fällen zusammen mit einem Artikel, in dem es um angebliche Pläne Israels ging, Iran mit elektronischer Kriegsführung anzugreifen. Diesen Beitrag hatte Eli Lake selbst geschrieben, er wurde im November im "Daily Beast" veröffentlicht.

Nach Angaben der Sicherheitsfirmen Seculert aus Israel und Kaspersky aus Russland treibt der Trojaner wenigstens seit Ende 2011 sein Unwesen und spioniert Rechner aus. Die Experten von Seculert haben ihn laut eigenen Angaben zuerst entdeckt, als sie eine verdächtige E-Mail untersuchten, mit einer gefakten Word-Datei im Anhang. Seculert wandte sich an Kaspersky, die Firma hatte im Mai den Flame-Virus gefundenund analysiert.

In ihrem Blog schreiben die Kaspersky-Experten, dass manche Betroffene eine Powerpoint-Präsentation mit Landschaftsbildern und religiösen Texten geschickt bekamen. In manchen Fällen öffnete sich dann als Ablenkung der Lake-Text unter dem Dateinamen "mahdi.txt", manchmal auch ein Jesus-Bild. Beim Öffnen des Anhangs wurde außerdem ein sogenannter Malware Dropper aktiviert, eine Programmdatei, die der Freisetzung des Virus dient.

Allem Anschein nach waren es keine Zufallsopfer, die jene Trojaner-Mail in ihren Postfächern fanden: Laut Kaspersky handelte es sich um Mitarbeiter von Botschaften, Behörden, Finanzdienstleistern, Versorgungsunternehmen sowie Maschinenbau-Studenten. War Mahdi einmal auf dem Rechner, konnten die Angreifer wohl E-Mails und Textnachrichten mitlesen, Dateien kopieren, Audio-Mitschnitte und Screenshots anfertigen.

So simpel, dass er unentdeckt blieb

Die Angriffsweise ist simpel, aber effektiv. Mahdi sei nicht vergleichbar mit so ausgeklügelten und hochentwickelten Viren wie Flame oder Stuxnet, sagen die Experten. Der Stuxnet-Virus, der eine Anlage des iranischen Atomprogramms manipuliert hat, stammt offenbar aus einer geheimen Operation von Geheimdiensten und Militär der USA und Israel. So haben es mit der Sache vertraute Personen berichtet.

Mahdi ging gröber zur Sache: "Vielleicht hat der amateurhafte und rudimentäre Ansatz dem Projekt dazu verholfen, unter dem Radar zu bleiben", sagt Nicolas Brulez, Senior Malware Researcher bei Kaspersky, in einer offiziellen Mitteilung der Firma. Auch wenn die Schadsoftware sehr schlicht sei im Vergleich zu ähnlichen Projekten, so sei es den Mahdi-Angreifern gelungen, ihre Opfer dauerhaft zu beobachten.