• IT-Karriere:
  • Services:

Attribution ist politisch

Zwischen Babar und Casper gibt es mehr Gemeinsamkeiten als nur den Comicnamen. Sie stecken im Code. Die Art, wie beide mit Antivirensoftware umgehen, ist zum Beispiel auffällig ähnlich. Es gibt sogar noch einen dritten, etwas älteren Trojaner, der so funktioniert. Marschalek hatte ihn Evilbunny getauft, weil das Wort "bunny" in einem Dateinamen auftauchte.

Stellenmarkt
  1. SodaStream GmbH, Frankfurt am Main
  2. Radeberger Gruppe KG, Frankfurt am Main

Evilbunny und Babar wiederum tragen eine ähnliche "Handschrift", bis hin zum gleichen Tippfehler im Code. Die vier Forscher schließen aus alldem, dass die drei Spionageprogramme vom selben Urheber stammen. Und weil Babar nach Ansicht des kanadischen Geheimdienstes CSEC von einer französischen Geheimdienstgruppe stammt, dürfte das auch für Evilbunny und Casper gelten.

Für einen staatlich unterstützten Akteur spricht zumindest die überdurchschnittliche Komplexität der drei Programme. Sie sind nicht darauf ausgerichtet, sich möglichst weit zu verbreiten, sondern möglichst gezielt. Mit einem Schwerpunkt im Mittleren Osten, einer geopolitisch also besonders brisanten Umgebung, an der westliche Geheimdienste großes Interesse haben. Evilbunny und Casper sind sogar so programmiert, dass sie sich eher selbst löschen, als sich entdecken zu lassen. Und Casper ist allein aufgrund der beiden verwendeten Zero-Days ein teures Stück Software, das nicht jeder dahergelaufene Kriminelle bezahlen könnte.

Verräterische Indizien oder falsche Fährten?

Trotzdem muss Geisterjäger Calvet einräumen: "Wir haben in Caspers Code keinen Beweis gefunden, der in Richtung eines bestimmten Landes weist. Insbesondere haben wir keine Anzeichen für einen französischen Ursprung entdeckt."

Die wenigen Indizien, die sie haben, können zudem Tricks der Entwickler darstellen. Vermeintliche Fehler oder sprachliche Eigenheiten im Code, die Nutzung von Servern in bestimmten Ländern - so etwas nutzen Trojaner-Entwickler gerne, um ihre Verfolger auf die falsche Fährte zu führen. Selbst der Infektionsherd, die syrische Website jpic.gov.sy, ist möglicherweise ein Versuch, den Verdacht auf die syrische Regierung zu lenken. Es spricht einiges dafür, dass die Website von außen gehackt wurde, um Casper zu verbreiten.

Morgan Marquis-Boire, der für das kanadischde Citizen Lab unter anderem den Einsatz von Überwachungssoftware gegen Oppositionelle in Bahrain und Syrien aufgedeckt hat, sagt: "Malware-Forscher sind seit dem Fall Aurora - als chinesische Hacker mit Verbindungen zum Militär Google und andere US-Unternehmen angriffen - definitiv besser darin geworden, staatliche Attacken zu identifizieren. Ich glaube trotzdem, dass die Angreifer weiter stark im Vorteil sind. Wir haben jetzt nur eine bessere Vorstellung davon, gegen wen wir antreten."

Die Vorsicht der Sicherheitsforscher ist also nachvollziehbar, zumal, wenn sie wissenschaftliche Ansprüche an ihre Arbeit stellen. Aber nicht alle sind so zurückhaltend. Claudio Guarnieri tickt anders. Der Italiener hat - zum Teil zusammen mit Marquis-Boire - mehrere kommerzielle Trojaner und ihre Einsätze in repressiven Staaten analysiert, er weiß, wovon er spricht, wenn er sagt: "Attribution ist schwierig und wird es immer sein. Aber manchmal werden diese Schwierigkeiten vorgeschoben, um Dinge nicht beim Namen zu nennen. Die Sicherheitsindustrie ist politisch befangen. Sie beschuldigt oft fremde Regierungen, vermeidet es aber, die eigenen bloßzustellen." Er findet, wenn so viele Indizien dafür sprechen, dass die Franzosen hinter Babar und Casper stecken, dann soll man auch sagen, dass es die Franzosen waren.

Journalistin Norton schreibt: "Attribution ist immer politisch." Deshalb sei es zum Beispiel auch so ungemein praktisch gewesen, Nordkorea für den Hack auf Sony Pictures verantwortlich zu machen. Die amerikanische Öffentlichkeit glaubt das nur zu gerne. Beweise gibt es bis heute nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Spionage: Auf der Jagd nach einem Gespenst
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. ab 49,90€ neuer Bestpreis auf Geizhals
  2. (u. a. Red Dead Redemption 2 (PC) für 34,99€, Fallout 76 für 10,99€, FIFA 21 (PC) für 40...
  3. 479€ (Bestpreis!)
  4. 97,47€ (Bestpreis!)

zufälliger_Benu... 09. Mär 2015

Warum ist noch niemand vorher darauf gekommen einfach mehrere Server eine Organisation...

zufälliger_Benu... 09. Mär 2015

Manchmal ist man doch froh dass nicht jeder Hinz und Kunz die Führung übernehmen kann.

Porterex 07. Mär 2015

Wundert mich nicht. Adobe Flash kann man doch bereits als schädliche Software bezeichen...

__destruct() 07. Mär 2015

Vielleicht hat man nur eine Raubmordkopie, weswegen er nicht richtig funktioniert. "Für...


Folgen Sie uns
       


LG Gram 14 (14Z90N) im Test

Das LG Gram 14 ist weniger als 1 kg leicht und kann trotzdem durch lange Akkulaufzeit überzeugen. Das Deutschlanddebüt des Geräts ist gelungen.

LG Gram 14 (14Z90N) im Test Video aufrufen
Mobilfunk: UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet
Mobilfunk
UMTS-Versteigerungstaktik wird mit Nobelpreis ausgezeichnet

Sie haben Deutschland zum Mobilfunk-Entwicklungsland gemacht und wurden heute mit dem Nobelpreis ausgezeichnet: die Auktionstheorien von Paul R. Milgrom und Robert B. Wilson.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Coronakrise Deutsche Urlaubsregionen verzeichnen starke Mobilfunknutzung
  2. LTE Telekom benennt weitere Gewinner von "Wir jagen Funklöcher"
  3. Mobilfunk Rufnummernportierung darf maximal 7 Euro kosten

Apple: iPhone 12 bekommt Magnetrücken und kleinen Bruder
Apple
iPhone 12 bekommt Magnetrücken und kleinen Bruder

Das iPhone 12 ist mit einem 6,1-Zoll- und das iPhone 12 Mini mit einem 5,4-Zoll-Display ausgerüstet. Ladegerät und Kopfhörer fallen aus Gründen des Umweltschutzes weg.

  1. Apple iPhone 12 Pro und iPhone 12 Pro Max werden größer
  2. Apple iPhone 12 verspätet sich
  3. Back Tap iOS 14 erkennt Trommeln auf der iPhone-Rückseite

Artemis Accords: Mondverträge mit bitterem Beigeschmack
Artemis Accords
Mondverträge mit bitterem Beigeschmack

"Sicherheitszonen" zum Rohstoffabbau auf dem Mond, das Militär darf tun, was es will, Machtfragen werden nicht geklärt, der Weltraumvertrag wird gebrochen.
Von Frank Wunderlich-Pfeiffer

  1. Artemis Nasa engagiert Nokia für LTE-Netz auf dem Mond

    •  /