Schadsoftware

Mutmaßlicher Bundestrojaner in den Händen des CCC

Eine laut Chaos Computer Club von staatlicher Seite programmierte Schadsoftware ist in die Hände der Hacker gelangt. In einer Analyse entdeckten sie, dass der Trojaner zusätzlich gefährliche Sicherheitslücken in infizierte Systeme einschleust.

Artikel veröffentlicht am ,
Bundestrojaner angeblich mit eklatanten Sicherheitslücken
Bundestrojaner angeblich mit eklatanten Sicherheitslücken (Bild: Andreas Donath/Golem.de)

Dem Chaos Computer Club wurde eine Schadsoftware zugespielt, die laut den Hackern vom deutschen Staat entwickelt und in Umlauf gebracht wurde. Der Club lässt kaum Zweifel aufkommen, dass es sich um staatlich entwickelte Spionagesoftware handelt, auch wenn an einigen Stellen der Analyse vorsichtigere Formulierungen verwendet werden.

Stellenmarkt
  1. IT Process Manager (m/w/d)
    Soluvia IT-Services GmbH, Kiel, Mannheim, Offenbach am Main (Home-Office möglich)
  2. Senior Projektleiter - IT Betrieb (m/w/d)
    Radeberger Gruppe KG, Frankfurt am Main
Detailsuche

Laut den Hackern des CCCs ist das vorliegende Stück Software umfassend für die Überwachung entwickelt worden. So kann der Trojaner nicht nur die Kommunikation abhören. Er könne auch "weitere Programme nachladen und ferngesteuert zur Ausführung bringen". Der Trojaner ist zudem in der Lage, Dateien auf dem Rechner des Angegriffenen zu manipulieren. Gerade eine solche Funktion dürfe sich in einer Software für die Verfolgung von Kriminellen nicht befinden. Der CCC wirft den Entwicklern vor, Software entworfen zu haben, die in der Lage ist, gefälschte Beweismittel auf Rechnern zu hinterlegen. Zudem kann der Trojaner auf Mikrofon, Tastatur und Kamera zugreifen, um etwa den Raum des Betroffenen abzuhören.

Bekannte Software als Ziel

Skype, ICQ, MSN und Firefox sollen die Ziele der Schadsoftware sein. Die Informationen werden unter anderem per Screenshot abgefangen, aber auch Keylogger kommen zum Einsatz. Wie die Angegriffenen infiziert werden, konnte der CCC nicht herausfinden. Allerdings wissen die Hacker, wo Dateien abgelegt werden. In C:\windows\system32\ landen die DLL mfc42ul.dll und das Kernelmodul winsys32.sys. Auf modernen Rechnern funktioniert das Modul aber nicht, da die zugespielte Version nur auf 32-Bit-Systemen läuft.

Der CCC wirft den Entwicklern und Nutzern der Software vor, weit über das Erlaubte hinausgegangen zu sein: "Unsere Untersuchung offenbart wieder einmal, dass die Ermittlungsbehörden nicht vor einer eklatanten Überschreitung des rechtlichen Rahmens zurückschrecken, wenn ihnen niemand auf die Finger schaut. Hier wurden heimlich Funktionen eingebaut, die einen klaren Rechtsbruch bedeuten: das Nachladen von beliebigem Programmcode durch den Trojaner."

Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    01./02.12.2022, Virtuell
  2. Deep-Dive Kubernetes – Production Grade Deployments: virtueller Ein-Tages-Workshop
    08.11.2022, Virtuell
Weitere IT-Trainings

Während der Analyse haben die Hacker des CCCs für den mutmaßlichen Behördentrojaner selbst eine Fernsteuerungssoftware entwickelt. Diese ist aber nicht erforderlich, denn der Trojaner hat laut CCC selbst Sicherheitslücken. Die Sicherheitslücken sind so schwerwiegend, dass Dritte die Funktionen des Trojaners mitbenutzen können. Sie könnten ohne Autorisierung bereits angegriffene Rechner selbst nutzen, so die Hacker. "Die ausgeleiteten Bildschirmfotos und Audiodaten sind auf inkompetente Art und Weise verschlüsselt, die Kommandos von der Steuersoftware an den Trojaner sind gar vollständig unverschlüsselt."

Die Steuerung geschieht über den Port 443 über ein verschlüsseltes "Bastelprotokoll", so der CCC. Die Schlüssel sollen bei verschiedenen Varianten des Trojaners funktionieren und kryptographischen Ansprüchen nicht genügen. "Verschleiert", wie es die Hacker nennen, wird ohnehin nur der Netzwerkverkehr vom Trojaner aus. Firewalls oder Intrusion-Detection-Systeme könnten leicht derartigen Netzwerkverkehr blockieren. Der CCC stellt damit den Sinn der heimlichen Überwachung komplett infrage.

Trojaner hat sich möglicherweise selbst zerstört

Die Daten werden über zwei US-Server geleitet, was die Hacker ebenfalls als bedenklich einstufen, da sie über ein Drittland gelenkt und gesendet werden. Um laufende Ermittlungsverfahren nicht zu gefährden, wurde das Innenministerium rechtzeitig informiert. Dieses hatte Gelegenheit, den Trojaner zu entfernen, sofern das Ministerium tatsächlich der Urheber der Schadsoftware ist.

Virenscanner bieten fast keinen Schutz

Die beiden Dateien liefern bei Virustotal eine Null-Prozent-Trefferrate (sys-Report, dll-Report). Es ist aber zu erwarten, dass die Schadsoftware in Kürze von allen Virenscannern entdeckt werden kann.

F-Secure hat bereits reagiert und erkennt die Schadsoftware als Backdoor:W32/R2D2.A. Allerdings kann F-Secure bisher nicht bestätigen, dass es sich um eine Software von Regierungsseite handelt.

Sollte es sich bei der Schadsoftware tatsächlich um eine staatlich entwickelte Software handeln, dürfte ihr Einsatz ab sofort unmöglich sein. Aufgrund der Dateinamen könnten einige Fehlalarme ausgelöst werden. Winsys32.dll ist ein Dateiname, der nicht nur von älterer Schadsoftware genutzt wurde.

Weitere Informationen gibt es in der Erklärung des CCC. Außerdem gibt es eine umfangreiche Analyse des Trojaners im PDF-Format. Die Analyse ist 20 Seiten stark, deckt aber noch nicht alle Teile der Schadsoftware ab. So merken die Autoren am Ende des Dokuments an, dass sie noch nicht die Komponenten zur Überwachung verschlüsselter Protokolle analysieren konnten. Die Möglichkeit, etwa Skype zu überwachen, sei offensichtlich, so die Hacker, und bitten um Mithilfe bei der Analyse der Quellen-TKÜ.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Der Kaiser! 20. Okt 2011

Wenns mal so wäre.. Die Beziehungen der Menschen untereinander ist total abgefuckt. Ganz...

Threat-Anzeiger 11. Okt 2011

naja, vielleicht hat man die da "vergessen" als man in die wohnung ist, um den trojaner...

S-Talker 10. Okt 2011

Hast du den denn Report nicht gelesen? Die Beweislage ist also eindeutig. :D

S-Talker 10. Okt 2011

Als ich das las, bin ich auch vor Lachen fast vom Stuhl gefallen.



Aktuell auf der Startseite von Golem.de
Smartwatch
Öffnen der Apple Watch Ultra trotz Schrauben riskant

Die Apple Watch Ultra verfügt über vier Schrauben auf der Unterseite. Nutzer sollten sie nicht lösen, um die Uhr nicht zu zerstören.

Smartwatch: Öffnen der Apple Watch Ultra trotz Schrauben riskant
Artikel
  1. Gegen Amazon und Co.: Frankreich führt Mindestgebühren für Buchbestellungen ein
    Gegen Amazon und Co.
    Frankreich führt Mindestgebühren für Buchbestellungen ein

    Mit einer Mindestliefergebühr will Frankreich kleinere Geschäfte vor großen Onlinehändlern wie Amazon schützen.

  2. Gen.Travel: Volkswagen zeigt autonomes Elektroauto mit Betten
    Gen.Travel
    Volkswagen zeigt autonomes Elektroauto mit Betten

    VW hat eine Autostudie vorgestellt, in der niemand mehr fahren muss. Stattdessen kann gearbeitet, geschlafen oder gefreizeitet werden.

  3. E-Commerce und Open Banking: Big-Tech-Konzerne drängen in den Finanzsektor
    E-Commerce und Open Banking
    Big-Tech-Konzerne drängen in den Finanzsektor

    Open Banking sollte Innovationen fördern. Stattdessen nutzen Amazon, Apple und Google es dazu, ihre Marktmacht auszubauen.
    Eine Analyse von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: Gaming-Hardware uvm. • Crucial P2 1 TB 67,90€ • ViewSonic VX2719-PC FHD/240 Hz 179,90€ • MindStar (u. a. MSI MAG Z690 Tomahawk 219€ + $20 Steam) • Apple AirPods 2. Gen 105€ • Alternate (u. a. Chieftec GDP-750C-RGB 71,89€) • Logitech G Pro Gaming Keyboard 77,90€ [Werbung]
    •  /