Bundestrojaner angeblich mit eklatanten Sicherheitslücken
Bundestrojaner angeblich mit eklatanten Sicherheitslücken (Bild: Andreas Donath/Golem.de)

Schadsoftware

Mutmaßlicher Bundestrojaner in den Händen des CCC

Eine laut Chaos Computer Club von staatlicher Seite programmierte Schadsoftware ist in die Hände der Hacker gelangt. In einer Analyse entdeckten sie, dass der Trojaner zusätzlich gefährliche Sicherheitslücken in infizierte Systeme einschleust.

Anzeige

Dem Chaos Computer Club wurde eine Schadsoftware zugespielt, die laut den Hackern vom deutschen Staat entwickelt und in Umlauf gebracht wurde. Der Club lässt kaum Zweifel aufkommen, dass es sich um staatlich entwickelte Spionagesoftware handelt, auch wenn an einigen Stellen der Analyse vorsichtigere Formulierungen verwendet werden.

Laut den Hackern des CCCs ist das vorliegende Stück Software umfassend für die Überwachung entwickelt worden. So kann der Trojaner nicht nur die Kommunikation abhören. Er könne auch "weitere Programme nachladen und ferngesteuert zur Ausführung bringen". Der Trojaner ist zudem in der Lage, Dateien auf dem Rechner des Angegriffenen zu manipulieren. Gerade eine solche Funktion dürfe sich in einer Software für die Verfolgung von Kriminellen nicht befinden. Der CCC wirft den Entwicklern vor, Software entworfen zu haben, die in der Lage ist, gefälschte Beweismittel auf Rechnern zu hinterlegen. Zudem kann der Trojaner auf Mikrofon, Tastatur und Kamera zugreifen, um etwa den Raum des Betroffenen abzuhören.

Bekannte Software als Ziel

Skype, ICQ, MSN und Firefox sollen die Ziele der Schadsoftware sein. Die Informationen werden unter anderem per Screenshot abgefangen, aber auch Keylogger kommen zum Einsatz. Wie die Angegriffenen infiziert werden, konnte der CCC nicht herausfinden. Allerdings wissen die Hacker, wo Dateien abgelegt werden. In C:\windows\system32\ landen die DLL mfc42ul.dll und das Kernelmodul winsys32.sys. Auf modernen Rechnern funktioniert das Modul aber nicht, da die zugespielte Version nur auf 32-Bit-Systemen läuft.

Der CCC wirft den Entwicklern und Nutzern der Software vor, weit über das Erlaubte hinausgegangen zu sein: "Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner."

Während der Analyse haben die Hacker des CCCs für den mutmaßlichen Behördentrojaner selbst eine Fernsteuerungssoftware entwickelt. Diese ist aber nicht erforderlich, denn der Trojaner hat laut CCC selbst Sicherheitslücken. Die Sicherheitslücken sind so schwerwiegend, dass Dritte die Funktionen des Trojaners mitbenutzen können. Sie könnten ohne Autorisierung bereits angegriffene Rechner selbst nutzen, so die Hacker. "Die ausgeleiteten Bildschirmfotos und Audiodaten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüsselt."

Die Steuerung geschieht über den Port 443 über ein verschlüsseltes "Bastelprotokoll", so der CCC. Die Schlüssel sollen bei verschiedenen Varianten des Trojaners funktionieren und kryptographischen Ansprüchen nicht genügen. "Verschleiert", wie es die Hacker nennen, wird ohnehin nur der Netzwerkverkehr vom Trojaner aus. Firewalls oder Intrusion-Detection-Systeme könnten leicht derartigen Netzwerkverkehr blockieren. Der CCC stellt damit den Sinn der heimlichen Überwachung komplett infrage.

Trojaner hat sich möglicherweise selbst zerstört

Die Daten werden über zwei US-Server geleitet, was die Hacker ebenfalls als bedenklich einstufen, da sie über ein Drittland gelenkt und gesendet werden. Um laufende Ermittlungsverfahren nicht zu gefährden, wurde das Innenministerium rechtzeitig informiert. Dieses hatte Gelegenheit, den Trojaner zu entfernen, sofern das Ministerium tatsächlich der Urheber der Schadsoftware ist.

Virenscanner bieten fast keinen Schutz

Die beiden Dateien liefern bei Virustotal eine Null-Prozent-Trefferrate (sys-Report, dll-Report). Es ist aber zu erwarten, dass die Schadsoftware in Kürze von allen Virenscannern entdeckt werden kann.

F-Secure hat bereits reagiert und erkennt die Schadsoftware als Backdoor:W32/R2D2.A. Allerdings kann F-Secure bisher nicht bestätigen, dass es sich um eine Software von Regierungsseite handelt.

Sollte es sich bei der Schadsoftware tatsächlich um eine staatlich entwickelte Software handeln, dürfte ihr Einsatz ab sofort unmöglich sein. Aufgrund der Dateinamen könnten einige Fehlalarme ausgelöst werden. Winsys32.dll ist ein Dateiname, der nicht nur von älterer Schadsoftware genutzt wurde.

Weitere Informationen gibt es in der Erklärung des CCC. Außerdem gibt es eine umfangreiche Analyse des Trojaners im PDF-Format. Die Analyse ist 20 Seiten stark, deckt aber noch nicht alle Teile der Schadsoftware ab. So merken die Autoren am Ende des Dokuments an, dass sie noch nicht die Komponenten zur Überwachung verschlüsselter Protokolle analysieren konnten. Die Möglichkeit, etwa Skype zu überwachen, sei offensichtlich, so die Hacker, und bitten um Mithilfe bei der Analyse der Quellen-TKÜ.


Der Kaiser! 20. Okt 2011

Wenns mal so wäre.. Die Beziehungen der Menschen untereinander ist total abgefuckt. Ganz...

Threat-Anzeiger 11. Okt 2011

naja, vielleicht hat man die da "vergessen" als man in die wohnung ist, um den trojaner...

S-Talker 10. Okt 2011

Hast du den denn Report nicht gelesen? Die Beweislage ist also eindeutig. :D

S-Talker 10. Okt 2011

Als ich das las, bin ich auch vor Lachen fast vom Stuhl gefallen.

TmoWizard 10. Okt 2011

Das glaub ich aber kaum! Aber wie sieht es mit Kapitänen zur See und Autounfällen aus? Mike

Kommentieren


Antary / 10. Okt 2011

Bundestrojaner entfernen

Antary / 10. Okt 2011

Bundestrojaner erkennen

Pottblog / 09. Okt 2011

Links anne Ruhr (09.10.2011)



Anzeige

  1. (Senior) Consultant SAP BI IP (m/w)
    Media-Saturn-Holding GmbH, Ingolstadt
  2. Datenbankentwickler (m/w)
    über Jobware Personalberatung, Braunschweig
  3. System Administrator Helpdesk (m/w)
    Schwäbische Hüttenwerke Automotive GmbH, Bad Schussenried
  4. SAP-FI/CO-Inhouse-Berater (m/w)
    Zott SE & Co. KG, Mertingen Raum Augsburg

 

Detailsuche


Spiele-Angebote
  1. PS4 + The Witcher 3 + Comic
    399,00€
  2. God of War 3 Remastered - [PlayStation 4]
    49,00€ (Release 15. Juli)
  3. VORBESTELLAKTION: Tom Clancy's Rainbow Six Siege
    ab 59,95€ (Vorbesteller-Preisgarantie) - Vorbesteller erhalten Beta-Zugang - Release 13.10.

 

Weitere Angebote


Folgen Sie uns
       


  1. Sensor ausgetrickst

    So klaut man eine Apple Watch

  2. CD Projekt Red

    The Witcher 3 hat Speicherproblem auf Xbox One

  3. Microsoft

    OneClip soll eine Cloud-Zwischenablage werden

  4. VR-Headset

    Klage gegen Oculus-Rift-Erfinder Palmer Luckey

  5. Salesforce

    55 Milliarden US-Dollar von Microsoft waren zu wenig

  6. Freedom Act

    US-Senat lehnt Gesetz zur NSA-Reform ab

  7. Die Woche im Video

    Pappe von Google, Fragen zur Überwachung und SSD im Test

  8. One Earth Message

    Bilder und Töne für Außerirdische

  9. Tropico 5

    Espionage mit El Presidente

  10. Tessel

    Offenes Entwicklerboard soll wie Io.js verwaltet werden



Haben wir etwas übersehen?

E-Mail an news@golem.de



FBI-Untersuchung: Hacker soll Zugriff auf Flugzeugtriebwerke gehabt haben
FBI-Untersuchung
Hacker soll Zugriff auf Flugzeugtriebwerke gehabt haben
  1. Identitätsdiebstahl Gesetz zu Datenhehlerei könnte Leaking-Plattformen gefährden
  2. NetUSB Schwachstelle gefährdet zahlreiche Routermodelle
  3. MSpy Daten von Überwachungssoftware veröffentlicht

Windows 10 IoT Core angetestet: Windows auf dem Raspberry Pi 2
Windows 10 IoT Core angetestet
Windows auf dem Raspberry Pi 2
  1. Kleinstrechner Preise für das Raspberry Pi B+ gesenkt
  2. Artik Samsung stellt Bastelcomputer-Serie vor
  3. Hummingboard angetestet Heiß und anschlussfreudig

Yubikey: Nie mehr schlechte Passwörter
Yubikey
Nie mehr schlechte Passwörter
  1. Cyberangriff im Bundestag Ausländischer Geheimdienst soll Angriff gestartet haben
  2. Torrent-Tracker Eztv-Macher geben wegen feindlicher Übernahme auf
  3. Arrows NX F-04G Neues Fujitsu-Smartphone scannt die Iris

  1. Re: Versteh ich nicht

    Tzven | 04:34

  2. Re: und ich Idiot ...

    regiedie1. | 04:11

  3. Re: Wortwitz? Punchlines?

    Atzeonacid | 04:08

  4. Re: Bester Rapper?

    Atzeonacid | 04:05

  5. Re: Sollen wir wirklich auf uns aufmerksam machen?

    LinuxMcBook | 03:55


  1. 15:05

  2. 14:35

  3. 14:14

  4. 13:52

  5. 12:42

  6. 11:46

  7. 09:01

  8. 18:43


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel