Abo
  • Services:
Anzeige
Bundestrojaner angeblich mit eklatanten Sicherheitslücken
Bundestrojaner angeblich mit eklatanten Sicherheitslücken (Bild: Andreas Donath/Golem.de)

Schadsoftware

Mutmaßlicher Bundestrojaner in den Händen des CCC

Bundestrojaner angeblich mit eklatanten Sicherheitslücken
Bundestrojaner angeblich mit eklatanten Sicherheitslücken (Bild: Andreas Donath/Golem.de)

Eine laut Chaos Computer Club von staatlicher Seite programmierte Schadsoftware ist in die Hände der Hacker gelangt. In einer Analyse entdeckten sie, dass der Trojaner zusätzlich gefährliche Sicherheitslücken in infizierte Systeme einschleust.

Dem Chaos Computer Club wurde eine Schadsoftware zugespielt, die laut den Hackern vom deutschen Staat entwickelt und in Umlauf gebracht wurde. Der Club lässt kaum Zweifel aufkommen, dass es sich um staatlich entwickelte Spionagesoftware handelt, auch wenn an einigen Stellen der Analyse vorsichtigere Formulierungen verwendet werden.

Anzeige

Laut den Hackern des CCCs ist das vorliegende Stück Software umfassend für die Überwachung entwickelt worden. So kann der Trojaner nicht nur die Kommunikation abhören. Er könne auch "weitere Programme nachladen und ferngesteuert zur Ausführung bringen". Der Trojaner ist zudem in der Lage, Dateien auf dem Rechner des Angegriffenen zu manipulieren. Gerade eine solche Funktion dürfe sich in einer Software für die Verfolgung von Kriminellen nicht befinden. Der CCC wirft den Entwicklern vor, Software entworfen zu haben, die in der Lage ist, gefälschte Beweismittel auf Rechnern zu hinterlegen. Zudem kann der Trojaner auf Mikrofon, Tastatur und Kamera zugreifen, um etwa den Raum des Betroffenen abzuhören.

Bekannte Software als Ziel

Skype, ICQ, MSN und Firefox sollen die Ziele der Schadsoftware sein. Die Informationen werden unter anderem per Screenshot abgefangen, aber auch Keylogger kommen zum Einsatz. Wie die Angegriffenen infiziert werden, konnte der CCC nicht herausfinden. Allerdings wissen die Hacker, wo Dateien abgelegt werden. In C:\windows\system32\ landen die DLL mfc42ul.dll und das Kernelmodul winsys32.sys. Auf modernen Rechnern funktioniert das Modul aber nicht, da die zugespielte Version nur auf 32-Bit-Systemen läuft.

Der CCC wirft den Entwicklern und Nutzern der Software vor, weit über das Erlaubte hinausgegangen zu sein: "Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner."

Während der Analyse haben die Hacker des CCCs für den mutmaßlichen Behördentrojaner selbst eine Fernsteuerungssoftware entwickelt. Diese ist aber nicht erforderlich, denn der Trojaner hat laut CCC selbst Sicherheitslücken. Die Sicherheitslücken sind so schwerwiegend, dass Dritte die Funktionen des Trojaners mitbenutzen können. Sie könnten ohne Autorisierung bereits angegriffene Rechner selbst nutzen, so die Hacker. "Die ausgeleiteten Bildschirmfotos und Audiodaten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüsselt."

Die Steuerung geschieht über den Port 443 über ein verschlüsseltes "Bastelprotokoll", so der CCC. Die Schlüssel sollen bei verschiedenen Varianten des Trojaners funktionieren und kryptographischen Ansprüchen nicht genügen. "Verschleiert", wie es die Hacker nennen, wird ohnehin nur der Netzwerkverkehr vom Trojaner aus. Firewalls oder Intrusion-Detection-Systeme könnten leicht derartigen Netzwerkverkehr blockieren. Der CCC stellt damit den Sinn der heimlichen Überwachung komplett infrage.

Trojaner hat sich möglicherweise selbst zerstört

Die Daten werden über zwei US-Server geleitet, was die Hacker ebenfalls als bedenklich einstufen, da sie über ein Drittland gelenkt und gesendet werden. Um laufende Ermittlungsverfahren nicht zu gefährden, wurde das Innenministerium rechtzeitig informiert. Dieses hatte Gelegenheit, den Trojaner zu entfernen, sofern das Ministerium tatsächlich der Urheber der Schadsoftware ist.

Virenscanner bieten fast keinen Schutz

Die beiden Dateien liefern bei Virustotal eine Null-Prozent-Trefferrate (sys-Report, dll-Report). Es ist aber zu erwarten, dass die Schadsoftware in Kürze von allen Virenscannern entdeckt werden kann.

F-Secure hat bereits reagiert und erkennt die Schadsoftware als Backdoor:W32/R2D2.A. Allerdings kann F-Secure bisher nicht bestätigen, dass es sich um eine Software von Regierungsseite handelt.

Sollte es sich bei der Schadsoftware tatsächlich um eine staatlich entwickelte Software handeln, dürfte ihr Einsatz ab sofort unmöglich sein. Aufgrund der Dateinamen könnten einige Fehlalarme ausgelöst werden. Winsys32.dll ist ein Dateiname, der nicht nur von älterer Schadsoftware genutzt wurde.

Weitere Informationen gibt es in der Erklärung des CCC. Außerdem gibt es eine umfangreiche Analyse des Trojaners im PDF-Format. Die Analyse ist 20 Seiten stark, deckt aber noch nicht alle Teile der Schadsoftware ab. So merken die Autoren am Ende des Dokuments an, dass sie noch nicht die Komponenten zur Überwachung verschlüsselter Protokolle analysieren konnten. Die Möglichkeit, etwa Skype zu überwachen, sei offensichtlich, so die Hacker, und bitten um Mithilfe bei der Analyse der Quellen-TKÜ.


eye home zur Startseite
Der Kaiser! 20. Okt 2011

Wenns mal so wäre.. Die Beziehungen der Menschen untereinander ist total abgefuckt. Ganz...

Threat-Anzeiger 11. Okt 2011

naja, vielleicht hat man die da "vergessen" als man in die wohnung ist, um den trojaner...

S-Talker 10. Okt 2011

Hast du den denn Report nicht gelesen? Die Beweislage ist also eindeutig. :D

S-Talker 10. Okt 2011

Als ich das las, bin ich auch vor Lachen fast vom Stuhl gefallen.

TmoWizard 10. Okt 2011

Das glaub ich aber kaum! Aber wie sieht es mit Kapitänen zur See und Autounfällen aus? Mike


Antary / 10. Okt 2011

Bundestrojaner entfernen

Jannewap / 10. Okt 2011

Antary / 10. Okt 2011

Bundestrojaner erkennen



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Ditzingen, Stuttgart-Weilimdorf
  2. operational services GmbH & Co. KG, Frankfurt
  3. über berg-it projektdienstleistungen GmbH, Nürnberg
  4. Anklam Extrakt GmbH, Anklam


Anzeige
Top-Angebote
  1. 319,00€ inkl. Versand
  2. (u. a. ROG Strix GTX1080-8G-Gaming, ROG Strix GTX1070-8G-Gaming u. ROG Strix Radeon RX 460 OC)

Folgen Sie uns
       


  1. Großbatterien

    Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern

  2. Traditionsbruch

    Apple will KI-Forschungsergebnisse veröffentlichen

  3. Cloudspeicher

    Dropbox plant Offline-Modus für Mobilanwender

  4. Apple

    Akkuprobleme des iPhone 6S betreffen mehr Geräte als gedacht

  5. Zero G

    Schwerelos im Quadrocopter

  6. Streaming

    Youtube hat 1 Milliarde US-Dollar an Musikindustrie gezahlt

  7. US-Wahl 2016

    Nein, Big Data erklärt Donald Trumps Wahlsieg nicht

  8. Online-Hundefutter

    150.000 Euro Strafe wegen unerlaubter Telefonwerbung

  9. Huawei

    Vectoring mit 300 MBit/s wird in Deutschland angewandt

  10. The Dash

    Bragi bekommt Bluetooth-Probleme nicht in den Griff



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
HPE: Was The Machine ist und was nicht
HPE
Was The Machine ist und was nicht
  1. IaaS und PaaS Suse bekommt Cloudtechnik von HPE und wird Lieblings-Linux
  2. Memory-Driven Computing HPE zeigt Prototyp von The Machine
  3. Micro Focus HP Enterprise verkauft Software für 2,5 Milliarden Dollar

Breath of the Wild: Spekulationen über spielbare Zelda
Breath of the Wild
Spekulationen über spielbare Zelda
  1. Konsole Nintendo gibt Produktionsende der Wii U bekannt
  2. Hybridkonsole Nintendo will im ersten Monat 2 Millionen Switch verkaufen
  3. Switch Nintendo erwartet breite Unterstützung durch Entwickler

Seoul-Incheon Ecobee ausprobiert: Eine sanfte Magnetbahnfahrt im Nirgendwo
Seoul-Incheon Ecobee ausprobiert
Eine sanfte Magnetbahnfahrt im Nirgendwo
  1. Transport Hyperloop One plant Trasse in Dubai

  1. Re: Digitale Zähler und "Nachtarif" würden das...

    My1 | 09:37

  2. Re: Propaganda und Lügen

    Kondratieff | 09:36

  3. Re: Dem Inginöör ist nichts zu schwöör!

    theonlyone | 09:34

  4. Re: doppelt gemoppelt hält besser

    M.P. | 09:33

  5. Re: Selbst schuld, wer das benutzt (kt)

    Mithrandir | 09:32


  1. 09:05

  2. 07:34

  3. 07:22

  4. 07:14

  5. 18:49

  6. 17:38

  7. 17:20

  8. 16:42


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel