Abo
  • Services:
Anzeige
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten.
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten. (Bild: Thomas Galvez /Flickr.com, CC BY 2.0)

Attribution ist politisch

Zwischen Babar und Casper gibt es mehr Gemeinsamkeiten als nur den Comicnamen. Sie stecken im Code. Die Art, wie beide mit Antivirensoftware umgehen, ist zum Beispiel auffällig ähnlich. Es gibt sogar noch einen dritten, etwas älteren Trojaner, der so funktioniert. Marschalek hatte ihn Evilbunny getauft, weil das Wort "bunny" in einem Dateinamen auftauchte.

Evilbunny und Babar wiederum tragen eine ähnliche "Handschrift", bis hin zum gleichen Tippfehler im Code. Die vier Forscher schließen aus alldem, dass die drei Spionageprogramme vom selben Urheber stammen. Und weil Babar nach Ansicht des kanadischen Geheimdienstes CSEC von einer französischen Geheimdienstgruppe stammt, dürfte das auch für Evilbunny und Casper gelten.

Anzeige

Für einen staatlich unterstützten Akteur spricht zumindest die überdurchschnittliche Komplexität der drei Programme. Sie sind nicht darauf ausgerichtet, sich möglichst weit zu verbreiten, sondern möglichst gezielt. Mit einem Schwerpunkt im Mittleren Osten, einer geopolitisch also besonders brisanten Umgebung, an der westliche Geheimdienste großes Interesse haben. Evilbunny und Casper sind sogar so programmiert, dass sie sich eher selbst löschen, als sich entdecken zu lassen. Und Casper ist allein aufgrund der beiden verwendeten Zero-Days ein teures Stück Software, das nicht jeder dahergelaufene Kriminelle bezahlen könnte.

Verräterische Indizien oder falsche Fährten?

Trotzdem muss Geisterjäger Calvet einräumen: "Wir haben in Caspers Code keinen Beweis gefunden, der in Richtung eines bestimmten Landes weist. Insbesondere haben wir keine Anzeichen für einen französischen Ursprung entdeckt."

Die wenigen Indizien, die sie haben, können zudem Tricks der Entwickler darstellen. Vermeintliche Fehler oder sprachliche Eigenheiten im Code, die Nutzung von Servern in bestimmten Ländern - so etwas nutzen Trojaner-Entwickler gerne, um ihre Verfolger auf die falsche Fährte zu führen. Selbst der Infektionsherd, die syrische Website jpic.gov.sy, ist möglicherweise ein Versuch, den Verdacht auf die syrische Regierung zu lenken. Es spricht einiges dafür, dass die Website von außen gehackt wurde, um Casper zu verbreiten.

Morgan Marquis-Boire, der für das kanadischde Citizen Lab unter anderem den Einsatz von Überwachungssoftware gegen Oppositionelle in Bahrain und Syrien aufgedeckt hat, sagt: "Malware-Forscher sind seit dem Fall Aurora - als chinesische Hacker mit Verbindungen zum Militär Google und andere US-Unternehmen angriffen - definitiv besser darin geworden, staatliche Attacken zu identifizieren. Ich glaube trotzdem, dass die Angreifer weiter stark im Vorteil sind. Wir haben jetzt nur eine bessere Vorstellung davon, gegen wen wir antreten."

Die Vorsicht der Sicherheitsforscher ist also nachvollziehbar, zumal, wenn sie wissenschaftliche Ansprüche an ihre Arbeit stellen. Aber nicht alle sind so zurückhaltend. Claudio Guarnieri tickt anders. Der Italiener hat - zum Teil zusammen mit Marquis-Boire - mehrere kommerzielle Trojaner und ihre Einsätze in repressiven Staaten analysiert, er weiß, wovon er spricht, wenn er sagt: "Attribution ist schwierig und wird es immer sein. Aber manchmal werden diese Schwierigkeiten vorgeschoben, um Dinge nicht beim Namen zu nennen. Die Sicherheitsindustrie ist politisch befangen. Sie beschuldigt oft fremde Regierungen, vermeidet es aber, die eigenen bloßzustellen." Er findet, wenn so viele Indizien dafür sprechen, dass die Franzosen hinter Babar und Casper stecken, dann soll man auch sagen, dass es die Franzosen waren.

Journalistin Norton schreibt: "Attribution ist immer politisch." Deshalb sei es zum Beispiel auch so ungemein praktisch gewesen, Nordkorea für den Hack auf Sony Pictures verantwortlich zu machen. Die amerikanische Öffentlichkeit glaubt das nur zu gerne. Beweise gibt es bis heute nicht.

 Spionage: Auf der Jagd nach einem Gespenst

eye home zur Startseite
zufälliger_Benu... 09. Mär 2015

Warum ist noch niemand vorher darauf gekommen einfach mehrere Server eine Organisation...

zufälliger_Benu... 09. Mär 2015

Manchmal ist man doch froh dass nicht jeder Hinz und Kunz die Führung übernehmen kann.

Porterex 07. Mär 2015

Wundert mich nicht. Adobe Flash kann man doch bereits als schädliche Software bezeichen...

__destruct() 07. Mär 2015

Vielleicht hat man nur eine Raubmordkopie, weswegen er nicht richtig funktioniert. "Für...



Anzeige

Stellenmarkt
  1. Schwarz IT Infrastructure & Operations Services GmbH & Co. KG, Neckarsulm
  2. MEMMERT GmbH + Co. KG, Schwabach (Metropolregion Nürnberg)
  3. über Hanseatisches Personalkontor Rottweil, Gottmadingen (bei Singen am Htwl.)
  4. Syna GmbH, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. 13,98€ + 5,00€ Versand
  2. 16,99€ (ohne Prime bzw. unter 29€ Einkauf + 3€ Versand)
  3. (u. a. The Revenant, Batman v Superman, James Bond Spectre, Legend of Tarzan)

Folgen Sie uns
       


  1. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  2. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  3. Rockstar Games

    Waffenschiebereien in GTA 5

  4. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  5. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz

  6. GVFS

    Windows-Team nutzt fast vollständig Git

  7. Netzneutralität

    Verbraucherschützer wollen Verbot von Stream On der Telekom

  8. Wahlprogramm

    SPD fordert Anzeigepflicht für "relevante Inhalte" im Netz

  9. Funkfrequenzen

    Bundesnetzagentur und Alibaba wollen Produkte sperren

  10. Elektromobilität

    Qualcomm lädt E-Autos während der Fahrt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  2. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2
  3. UP2718Q Dell verkauft HDR10-Monitor ab Mai 2017

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

  1. Re: Wundert mich nicht, die löschen auch...

    ex-Amazoner | 21:18

  2. Re: Noch ein Argument

    ChMu | 21:16

  3. Re: Warum sind die Flügel nicht einklappbar?

    Apfelbrot | 21:16

  4. hatte erst an den Weltraum gedacht.

    John2k | 21:12

  5. Re: "Besser sei es, Tarife anzubieten, die ein...

    ChMu | 21:10


  1. 17:40

  2. 16:40

  3. 16:29

  4. 16:27

  5. 15:15

  6. 13:35

  7. 13:17

  8. 13:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel