Bundestrojaner angeblich mit eklatanten Sicherheitslücken
Bundestrojaner angeblich mit eklatanten Sicherheitslücken (Bild: Andreas Donath/Golem.de)

Schadsoftware

Mutmaßlicher Bundestrojaner in den Händen des CCC

Eine laut Chaos Computer Club von staatlicher Seite programmierte Schadsoftware ist in die Hände der Hacker gelangt. In einer Analyse entdeckten sie, dass der Trojaner zusätzlich gefährliche Sicherheitslücken in infizierte Systeme einschleust.

Anzeige

Dem Chaos Computer Club wurde eine Schadsoftware zugespielt, die laut den Hackern vom deutschen Staat entwickelt und in Umlauf gebracht wurde. Der Club lässt kaum Zweifel aufkommen, dass es sich um staatlich entwickelte Spionagesoftware handelt, auch wenn an einigen Stellen der Analyse vorsichtigere Formulierungen verwendet werden.

Laut den Hackern des CCCs ist das vorliegende Stück Software umfassend für die Überwachung entwickelt worden. So kann der Trojaner nicht nur die Kommunikation abhören. Er könne auch "weitere Programme nachladen und ferngesteuert zur Ausführung bringen". Der Trojaner ist zudem in der Lage, Dateien auf dem Rechner des Angegriffenen zu manipulieren. Gerade eine solche Funktion dürfe sich in einer Software für die Verfolgung von Kriminellen nicht befinden. Der CCC wirft den Entwicklern vor, Software entworfen zu haben, die in der Lage ist, gefälschte Beweismittel auf Rechnern zu hinterlegen. Zudem kann der Trojaner auf Mikrofon, Tastatur und Kamera zugreifen, um etwa den Raum des Betroffenen abzuhören.

Bekannte Software als Ziel

Skype, ICQ, MSN und Firefox sollen die Ziele der Schadsoftware sein. Die Informationen werden unter anderem per Screenshot abgefangen, aber auch Keylogger kommen zum Einsatz. Wie die Angegriffenen infiziert werden, konnte der CCC nicht herausfinden. Allerdings wissen die Hacker, wo Dateien abgelegt werden. In C:\windows\system32\ landen die DLL mfc42ul.dll und das Kernelmodul winsys32.sys. Auf modernen Rechnern funktioniert das Modul aber nicht, da die zugespielte Version nur auf 32-Bit-Systemen läuft.

Der CCC wirft den Entwicklern und Nutzern der Software vor, weit über das Erlaubte hinausgegangen zu sein: "Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner."

Während der Analyse haben die Hacker des CCCs für den mutmaßlichen Behördentrojaner selbst eine Fernsteuerungssoftware entwickelt. Diese ist aber nicht erforderlich, denn der Trojaner hat laut CCC selbst Sicherheitslücken. Die Sicherheitslücken sind so schwerwiegend, dass Dritte die Funktionen des Trojaners mitbenutzen können. Sie könnten ohne Autorisierung bereits angegriffene Rechner selbst nutzen, so die Hacker. "Die ausgeleiteten Bildschirmfotos und Audiodaten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüsselt."

Die Steuerung geschieht über den Port 443 über ein verschlüsseltes "Bastelprotokoll", so der CCC. Die Schlüssel sollen bei verschiedenen Varianten des Trojaners funktionieren und kryptographischen Ansprüchen nicht genügen. "Verschleiert", wie es die Hacker nennen, wird ohnehin nur der Netzwerkverkehr vom Trojaner aus. Firewalls oder Intrusion-Detection-Systeme könnten leicht derartigen Netzwerkverkehr blockieren. Der CCC stellt damit den Sinn der heimlichen Überwachung komplett infrage.

Trojaner hat sich möglicherweise selbst zerstört

Die Daten werden über zwei US-Server geleitet, was die Hacker ebenfalls als bedenklich einstufen, da sie über ein Drittland gelenkt und gesendet werden. Um laufende Ermittlungsverfahren nicht zu gefährden, wurde das Innenministerium rechtzeitig informiert. Dieses hatte Gelegenheit, den Trojaner zu entfernen, sofern das Ministerium tatsächlich der Urheber der Schadsoftware ist.

Virenscanner bieten fast keinen Schutz

Die beiden Dateien liefern bei Virustotal eine Null-Prozent-Trefferrate (sys-Report, dll-Report). Es ist aber zu erwarten, dass die Schadsoftware in Kürze von allen Virenscannern entdeckt werden kann.

F-Secure hat bereits reagiert und erkennt die Schadsoftware als Backdoor:W32/R2D2.A. Allerdings kann F-Secure bisher nicht bestätigen, dass es sich um eine Software von Regierungsseite handelt.

Sollte es sich bei der Schadsoftware tatsächlich um eine staatlich entwickelte Software handeln, dürfte ihr Einsatz ab sofort unmöglich sein. Aufgrund der Dateinamen könnten einige Fehlalarme ausgelöst werden. Winsys32.dll ist ein Dateiname, der nicht nur von älterer Schadsoftware genutzt wurde.

Weitere Informationen gibt es in der Erklärung des CCC. Außerdem gibt es eine umfangreiche Analyse des Trojaners im PDF-Format. Die Analyse ist 20 Seiten stark, deckt aber noch nicht alle Teile der Schadsoftware ab. So merken die Autoren am Ende des Dokuments an, dass sie noch nicht die Komponenten zur Überwachung verschlüsselter Protokolle analysieren konnten. Die Möglichkeit, etwa Skype zu überwachen, sei offensichtlich, so die Hacker, und bitten um Mithilfe bei der Analyse der Quellen-TKÜ.


Der Kaiser! 20. Okt 2011

Wenns mal so wäre.. Die Beziehungen der Menschen untereinander ist total abgefuckt. Ganz...

Threat-Anzeiger 11. Okt 2011

naja, vielleicht hat man die da "vergessen" als man in die wohnung ist, um den trojaner...

S-Talker 10. Okt 2011

Hast du den denn Report nicht gelesen? Die Beweislage ist also eindeutig. :D

S-Talker 10. Okt 2011

Als ich das las, bin ich auch vor Lachen fast vom Stuhl gefallen.

TmoWizard 10. Okt 2011

Das glaub ich aber kaum! Aber wie sieht es mit Kapitänen zur See und Autounfällen aus? Mike

Kommentieren


Antary / 10. Okt 2011

Bundestrojaner entfernen

Antary / 10. Okt 2011

Bundestrojaner erkennen

Phrixos-IT SEO Hard- Software PC-Probleme Internet / 09. Okt 2011

Der CCC hat den Bundestrojaner bzw. staatliche Spionagesoftware

Pottblog / 09. Okt 2011

Links anne Ruhr (09.10.2011)



Anzeige

  1. Informatiker / innen Schwerpunkt SAP Entwicklung
    Lechwerke AG, Augsburg
  2. Junior / Trainee IT-Produktmanager Personalmanagement (m/w)
    GIP Gesellschaft für innovative Personalwirtschaftssysteme, Offenbach am Main
  3. IT-Spezialist/-in
    Dataport, Hamburg
  4. Softwareentwickler (m/w)
    FVA GmbH über generic.de software technologies AG, München

 

Detailsuche


Spiele-Angebote
  1. NUR NOCH HEUTE: Assassins Creed Unity PC Download
    29,97€
  2. GRATIS: Theme Hospital
  3. Grim Fandango Remastered
    11,89€

 

Weitere Angebote


Folgen Sie uns
       


  1. Breitbandausbau

    "Wer Bauland will, fragt heute erst nach schnellem Internet"

  2. Dying Light

    Performance-Patch reduziert Sichtweite

  3. Project Tango

    Googles 3D-Sensor-Konzept verlässt Experimentierstatus

  4. Messenger

    Telefoniefunktion für Whatsapp erreicht erste Nutzer

  5. iTunes Connect

    Hallo, fremdes Benutzerkonto

  6. Sprachassistent

    Google Now bindet externe Apps ein

  7. Kartensoftware

    Google Earth Pro jetzt kostenlos

  8. Versicherung

    Feuer, Wasser, Cybercrime

  9. Die Woche im Video

    Autonome Autos, Spionageprogramme und Werbelügen

  10. Spionagesoftware

    NSA-Programm Regin zwei Jahre im Kanzleramt aktiv



Haben wir etwas übersehen?

E-Mail an news@golem.de



The Witcher 3: Hinter den Kulissen der Konsolenoptimierer
The Witcher 3
Hinter den Kulissen der Konsolenoptimierer
  1. The Witcher 3 angespielt Geralt und die "Mission Bratpfanne"
  2. CD Projekt The Witcher 3 hätte gerne eine 350-Euro-Grafikkarte
  3. The Witcher 3 Geralt von Riva hext erst im Mai 2015

Sentry Eye Tracker ausprobiert: Nur Anfänger starren auf die Mini-Map
Sentry Eye Tracker ausprobiert
Nur Anfänger starren auf die Mini-Map
  1. Mad Catz Mobiler Alleskönner-Controller Lynx 9 vorgestellt
  2. Smartpen Livescribe 3 lernt Android
  3. Eingabegerät Apple erhält Patent für funkenden Stift

Präsenz ist die neue Immersion: Die Zukunft von Virtual und Augmented Reality
Präsenz ist die neue Immersion
Die Zukunft von Virtual und Augmented Reality
  1. WebVR Oculus-Support im Firefox Nightly
  2. Virtual Reality Facebook sucht Oculus-Experten
  3. Magic-Leap-Patente AR-Brille lässt Herzen in OP-Sälen schweben

    •  / 
    Zum Artikel