Neue Schadsoftware Trojaner "Gauss" späht Bankdaten aus
Screenshot: Entschlüsselte "Gauss"-Konfiguration
Foto: Kaspersky LabBerlin - Die russische IT-Sicherheitsfirma Kaspersky hat eine Schadsoftware entdeckt, die offenbar in staatlichem Auftrag Bankdaten im Nahen Osten ausgespäht hat. Bei dem Trojaner handle es sich um eine spezielle Anpassung des riesigen Schadprogramms "Flame", sagte Kaspersky-Chefanalyst Magnus Kalkuhl am Donnerstag der Nachrichtenagentur dpa. "Flame" wurde im Mai von Kaspersky entdeckt und nach Informationen der "Washington Post" von den USA und Israel entwickelt.
"Offenbar haben wir eine neue Entwicklung der "Flame"-Autoren entdeckt", sagte Witalij Kamluk von Kaspersky am Donnerstag in einer Online-Pressekonferenz, "erstmals sehen wir, dass diese Angreifer ihr Interesse auf Finanzinformationen konzentrieren." Die Kontrollserver, von denen der Virus Befehle empfängt, seien jedoch seit Mitte Juli offline. Betroffen sind von dem Befall Windows-Rechner, vor allem solche, auf denen Windows 7 oder XP läuft.
Auf dem hauseigenen Blog Securelist beschreiben die russischen Experten ihre Entdeckung. Der Online-Banking-Trojaner namens "Gauss" leitet im Unterschied zu den bekannten Werkzeugen von kriminellen Internetbetrügern keine Bankgeschäfte zum Schaden der Nutzer ein, sondern späht aus, welche Banktransaktionen vorgenommen werden. Es sei aufgrund der zeitlichen Abfolge sogar möglich, dass "Gauss" den auf der gleichen Plattform wie "Flame" und "Stuxnet" entwickelten Spionagevirus "Duqu" haben ablösen sollen, sagte Kamluk, in jedemfall sei "Gauss" "auch mit 'Duqu' verwandt". Der Stuxnet-Virus zielte auf Uranzentrifugen in der iranischen Atomanlage Natans und gilt bis heute als ausgefeilteste je in freier Wildbahn entdeckte Cyberwaffe. Alle vier, Stuxnet, "Duqu", "Flame" und "Gauss" basieren Kaspersky zufolge auf derselben Plattform, die die dortigen Sicherheitsforscher "Tilded" getauft haben. Was den Urheber angeht, geben sich die Russen weiterhin bedeckt: "Die Informationen, die wir bis jetzt haben, verraten nicht den Schöpfer oder Lenker des Virus."
Der Virus ist, wie "Flame", modular aufgebaut und enthält eine Vielzahl von Funktionen: Er Überwacht das Surfverhalten, protokolliert Passwörter, Cookies und Browser-History, sammelt Informationen über diverse Merkmale des befallenen Rechners wie Netzwerkverbindungen, Hardware, Ordner und laufende Prozesse. Zudem ist er darauf eingerichtet, an den befallenen PC angeschlossene USB-Laufwerke mit einem Spionagemodul zu infizieren, um Informationen von weiteren Rechnern zu entwenden.
Verschlüsselte, geheime Ladung an Bord
Laut Kaspersky wurden die meisten "Gauss"-Infektionen im Libanon festgestellt - im Gegensatz zu "Flame", der sich hauptsächlich im Iran ausgebreitet hat. "Gauss" sei vermutlich etwa seit September 2011 aktiv, sagte er weiter. Im Mai sei er erstmals von einer Antivirensoftware entdeckt worden. Im Juni und Juli sind rund 2500 Infektionen von PC registriert worden, darunter mehr als 1600 im Libanon, 480 in Israel und 260 in den palästinensischen Gebieten, sagte Kamluk. In der Türkei und Syrien seien nur vereinzelt Rechner von "Gauss" befallen gewesen. "Der nahe Osten entwicklt sich zu einer zentralen Arena für Cyber-Kriegsführung", sagt Vitaly Kamluk, und: "Wir haben keine Banken in Westeuropa als Ziele ausgemacht."
Der Name des deutschen Mathematikers Carl Friedrich Gauß sei im Code der Hauptkomponente des Trojaners gefunden worden, erklärte Kalkuhl. Die Schadsoftware infiziert nach seinen Angaben Windows-Computer und USB-Sticks und überträgt die ausgespähten Daten zu einem nicht näher bezeichneten Server. Nach 30 Einsätzen zerstört sich "Gauss" selbst und ist dann nicht mehr sichtbar. Der Virus enthält Kamluk zufolge eine verschlüsselte, "geheime Ladung", die Kaspersky nicht habe entschlüsseln können. Sie werde vermutlich erst auf bestimmten Systemen mit bestimmten Umgebungsbedingungen entschlüsselt und aktiviert. Es bestehe kein Zweifel daran, "dass es sich hier um eine Cyberwaffe handelt".
