Abo
  • Services:

Schadsoftware

Mutmaßlicher Bundestrojaner in den Händen des CCC

Eine laut Chaos Computer Club von staatlicher Seite programmierte Schadsoftware ist in die Hände der Hacker gelangt. In einer Analyse entdeckten sie, dass der Trojaner zusätzlich gefährliche Sicherheitslücken in infizierte Systeme einschleust.

Artikel veröffentlicht am ,
Bundestrojaner angeblich mit eklatanten Sicherheitslücken
Bundestrojaner angeblich mit eklatanten Sicherheitslücken (Bild: Andreas Donath/Golem.de)

Dem Chaos Computer Club wurde eine Schadsoftware zugespielt, die laut den Hackern vom deutschen Staat entwickelt und in Umlauf gebracht wurde. Der Club lässt kaum Zweifel aufkommen, dass es sich um staatlich entwickelte Spionagesoftware handelt, auch wenn an einigen Stellen der Analyse vorsichtigere Formulierungen verwendet werden.

Stellenmarkt
  1. Fresenius Netcare GmbH, Bad Homburg
  2. Alfred Kärcher GmbH & Co. KG, Winnenden bei Stuttgart

Laut den Hackern des CCCs ist das vorliegende Stück Software umfassend für die Überwachung entwickelt worden. So kann der Trojaner nicht nur die Kommunikation abhören. Er könne auch "weitere Programme nachladen und ferngesteuert zur Ausführung bringen". Der Trojaner ist zudem in der Lage, Dateien auf dem Rechner des Angegriffenen zu manipulieren. Gerade eine solche Funktion dürfe sich in einer Software für die Verfolgung von Kriminellen nicht befinden. Der CCC wirft den Entwicklern vor, Software entworfen zu haben, die in der Lage ist, gefälschte Beweismittel auf Rechnern zu hinterlegen. Zudem kann der Trojaner auf Mikrofon, Tastatur und Kamera zugreifen, um etwa den Raum des Betroffenen abzuhören.

Bekannte Software als Ziel

Skype, ICQ, MSN und Firefox sollen die Ziele der Schadsoftware sein. Die Informationen werden unter anderem per Screenshot abgefangen, aber auch Keylogger kommen zum Einsatz. Wie die Angegriffenen infiziert werden, konnte der CCC nicht herausfinden. Allerdings wissen die Hacker, wo Dateien abgelegt werden. In C:\windows\system32\ landen die DLL mfc42ul.dll und das Kernelmodul winsys32.sys. Auf modernen Rechnern funktioniert das Modul aber nicht, da die zugespielte Version nur auf 32-Bit-Systemen läuft.

Der CCC wirft den Entwicklern und Nutzern der Software vor, weit über das Erlaubte hinausgegangen zu sein: "Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner."

Während der Analyse haben die Hacker des CCCs für den mutmaßlichen Behördentrojaner selbst eine Fernsteuerungssoftware entwickelt. Diese ist aber nicht erforderlich, denn der Trojaner hat laut CCC selbst Sicherheitslücken. Die Sicherheitslücken sind so schwerwiegend, dass Dritte die Funktionen des Trojaners mitbenutzen können. Sie könnten ohne Autorisierung bereits angegriffene Rechner selbst nutzen, so die Hacker. "Die ausgeleiteten Bildschirmfotos und Audiodaten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüsselt."

Die Steuerung geschieht über den Port 443 über ein verschlüsseltes "Bastelprotokoll", so der CCC. Die Schlüssel sollen bei verschiedenen Varianten des Trojaners funktionieren und kryptographischen Ansprüchen nicht genügen. "Verschleiert", wie es die Hacker nennen, wird ohnehin nur der Netzwerkverkehr vom Trojaner aus. Firewalls oder Intrusion-Detection-Systeme könnten leicht derartigen Netzwerkverkehr blockieren. Der CCC stellt damit den Sinn der heimlichen Überwachung komplett infrage.

Trojaner hat sich möglicherweise selbst zerstört

Die Daten werden über zwei US-Server geleitet, was die Hacker ebenfalls als bedenklich einstufen, da sie über ein Drittland gelenkt und gesendet werden. Um laufende Ermittlungsverfahren nicht zu gefährden, wurde das Innenministerium rechtzeitig informiert. Dieses hatte Gelegenheit, den Trojaner zu entfernen, sofern das Ministerium tatsächlich der Urheber der Schadsoftware ist.

Virenscanner bieten fast keinen Schutz

Die beiden Dateien liefern bei Virustotal eine Null-Prozent-Trefferrate (sys-Report, dll-Report). Es ist aber zu erwarten, dass die Schadsoftware in Kürze von allen Virenscannern entdeckt werden kann.

F-Secure hat bereits reagiert und erkennt die Schadsoftware als Backdoor:W32/R2D2.A. Allerdings kann F-Secure bisher nicht bestätigen, dass es sich um eine Software von Regierungsseite handelt.

Sollte es sich bei der Schadsoftware tatsächlich um eine staatlich entwickelte Software handeln, dürfte ihr Einsatz ab sofort unmöglich sein. Aufgrund der Dateinamen könnten einige Fehlalarme ausgelöst werden. Winsys32.dll ist ein Dateiname, der nicht nur von älterer Schadsoftware genutzt wurde.

Weitere Informationen gibt es in der Erklärung des CCC. Außerdem gibt es eine umfangreiche Analyse des Trojaners im PDF-Format. Die Analyse ist 20 Seiten stark, deckt aber noch nicht alle Teile der Schadsoftware ab. So merken die Autoren am Ende des Dokuments an, dass sie noch nicht die Komponenten zur Überwachung verschlüsselter Protokolle analysieren konnten. Die Möglichkeit, etwa Skype zu überwachen, sei offensichtlich, so die Hacker, und bitten um Mithilfe bei der Analyse der Quellen-TKÜ.



Anzeige
Top-Angebote
  1. 41,97€
  2. 444€
  3. (u. a. ELEX für 15,49€)

Der Kaiser! 20. Okt 2011

Wenns mal so wäre.. Die Beziehungen der Menschen untereinander ist total abgefuckt. Ganz...

Threat-Anzeiger 11. Okt 2011

naja, vielleicht hat man die da "vergessen" als man in die wohnung ist, um den trojaner...

S-Talker 10. Okt 2011

Hast du den denn Report nicht gelesen? Die Beweislage ist also eindeutig. :D

S-Talker 10. Okt 2011

Als ich das las, bin ich auch vor Lachen fast vom Stuhl gefallen.

TmoWizard 10. Okt 2011

Das glaub ich aber kaum! Aber wie sieht es mit Kapitänen zur See und Autounfällen aus? Mike


Folgen Sie uns
       


Sony E3 2018 Pressekonferenz - Live (techn. Probleme)

Sony hatte während der Übertragung der Pressekonferenz der E3 2018 massive technische Probleme. Abseits davon waren die gezeigten Spiele aber sehr gut. Trotzdem empfehlen wir, den Abschnitt nach The Last of Us bis zu Ghost of Tsushima zu überspringen. (Minute 40-50)

Sony E3 2018 Pressekonferenz - Live (techn. Probleme) Video aufrufen
3D-Druck on Demand: Wenn der Baumarkt Actionfiguren aus Stahl druckt
3D-Druck on Demand
Wenn der Baumarkt Actionfiguren aus Stahl druckt

Es gibt viele Anbieter für 3D-Druck on Demand und die Preise fallen. Golem.de hat die 3D-Druckdienste von Toom, Conrad Electronic, Sculpteo und Media Markt getestet, um neue Figuren der Big-Jim-Reihe zu erschaffen.
Ein Praxistest von Achim Sawall


    Nasa: Wieder kein Leben auf dem Mars
    Nasa
    Wieder kein Leben auf dem Mars

    Analysen von Kohlenwasserstoffen durch den Marsrover Curiosity zeigten keine Hinweise auf Leben. Dennoch versucht die Nasa mit allen Mitteln, den gegenteiligen Eindruck zu vermitteln.
    Von Frank Wunderlich-Pfeiffer


      Github-Übernahme: Ein super Deal - für Microsoft und den Rest
      Github-Übernahme
      Ein super Deal - für Microsoft und den Rest

      Mit der Übernahme von Github manövriert sich Microsoft geschickt aus einer Abhängigkeit und stärkt dabei noch sein Cloud-Geschäft. Das setzt wohl vor allem Atlassian unter Druck. Was der Kauf für das Open-Source-Engagement Githubs bedeutet, ist damit eigentlich auch völlig klar.
      Eine Analyse von Sebastian Grüner

      1. Code-Hosting Microsoft übernimmt Github für 7,5 Milliarden US-Dollar
      2. Entwicklerplattform Microsoft will Github kaufen
      3. Verschlüsselung Github testet Abschaltung alter Krypto

        •  /