Abo
  • Services:
Anzeige
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten.
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten. (Bild: Thomas Galvez /Flickr.com, CC BY 2.0)

Attribution ist politisch

Zwischen Babar und Casper gibt es mehr Gemeinsamkeiten als nur den Comicnamen. Sie stecken im Code. Die Art, wie beide mit Antivirensoftware umgehen, ist zum Beispiel auffällig ähnlich. Es gibt sogar noch einen dritten, etwas älteren Trojaner, der so funktioniert. Marschalek hatte ihn Evilbunny getauft, weil das Wort "bunny" in einem Dateinamen auftauchte.

Evilbunny und Babar wiederum tragen eine ähnliche "Handschrift", bis hin zum gleichen Tippfehler im Code. Die vier Forscher schließen aus alldem, dass die drei Spionageprogramme vom selben Urheber stammen. Und weil Babar nach Ansicht des kanadischen Geheimdienstes CSEC von einer französischen Geheimdienstgruppe stammt, dürfte das auch für Evilbunny und Casper gelten.

Anzeige

Für einen staatlich unterstützten Akteur spricht zumindest die überdurchschnittliche Komplexität der drei Programme. Sie sind nicht darauf ausgerichtet, sich möglichst weit zu verbreiten, sondern möglichst gezielt. Mit einem Schwerpunkt im Mittleren Osten, einer geopolitisch also besonders brisanten Umgebung, an der westliche Geheimdienste großes Interesse haben. Evilbunny und Casper sind sogar so programmiert, dass sie sich eher selbst löschen, als sich entdecken zu lassen. Und Casper ist allein aufgrund der beiden verwendeten Zero-Days ein teures Stück Software, das nicht jeder dahergelaufene Kriminelle bezahlen könnte.

Verräterische Indizien oder falsche Fährten?

Trotzdem muss Geisterjäger Calvet einräumen: "Wir haben in Caspers Code keinen Beweis gefunden, der in Richtung eines bestimmten Landes weist. Insbesondere haben wir keine Anzeichen für einen französischen Ursprung entdeckt."

Die wenigen Indizien, die sie haben, können zudem Tricks der Entwickler darstellen. Vermeintliche Fehler oder sprachliche Eigenheiten im Code, die Nutzung von Servern in bestimmten Ländern - so etwas nutzen Trojaner-Entwickler gerne, um ihre Verfolger auf die falsche Fährte zu führen. Selbst der Infektionsherd, die syrische Website jpic.gov.sy, ist möglicherweise ein Versuch, den Verdacht auf die syrische Regierung zu lenken. Es spricht einiges dafür, dass die Website von außen gehackt wurde, um Casper zu verbreiten.

Morgan Marquis-Boire, der für das kanadischde Citizen Lab unter anderem den Einsatz von Überwachungssoftware gegen Oppositionelle in Bahrain und Syrien aufgedeckt hat, sagt: "Malware-Forscher sind seit dem Fall Aurora - als chinesische Hacker mit Verbindungen zum Militär Google und andere US-Unternehmen angriffen - definitiv besser darin geworden, staatliche Attacken zu identifizieren. Ich glaube trotzdem, dass die Angreifer weiter stark im Vorteil sind. Wir haben jetzt nur eine bessere Vorstellung davon, gegen wen wir antreten."

Die Vorsicht der Sicherheitsforscher ist also nachvollziehbar, zumal, wenn sie wissenschaftliche Ansprüche an ihre Arbeit stellen. Aber nicht alle sind so zurückhaltend. Claudio Guarnieri tickt anders. Der Italiener hat - zum Teil zusammen mit Marquis-Boire - mehrere kommerzielle Trojaner und ihre Einsätze in repressiven Staaten analysiert, er weiß, wovon er spricht, wenn er sagt: "Attribution ist schwierig und wird es immer sein. Aber manchmal werden diese Schwierigkeiten vorgeschoben, um Dinge nicht beim Namen zu nennen. Die Sicherheitsindustrie ist politisch befangen. Sie beschuldigt oft fremde Regierungen, vermeidet es aber, die eigenen bloßzustellen." Er findet, wenn so viele Indizien dafür sprechen, dass die Franzosen hinter Babar und Casper stecken, dann soll man auch sagen, dass es die Franzosen waren.

Journalistin Norton schreibt: "Attribution ist immer politisch." Deshalb sei es zum Beispiel auch so ungemein praktisch gewesen, Nordkorea für den Hack auf Sony Pictures verantwortlich zu machen. Die amerikanische Öffentlichkeit glaubt das nur zu gerne. Beweise gibt es bis heute nicht.

 Spionage: Auf der Jagd nach einem Gespenst

eye home zur Startseite
zufälliger_Benu... 09. Mär 2015

Warum ist noch niemand vorher darauf gekommen einfach mehrere Server eine Organisation...

zufälliger_Benu... 09. Mär 2015

Manchmal ist man doch froh dass nicht jeder Hinz und Kunz die Führung übernehmen kann.

Porterex 07. Mär 2015

Wundert mich nicht. Adobe Flash kann man doch bereits als schädliche Software bezeichen...

__destruct() 07. Mär 2015

Vielleicht hat man nur eine Raubmordkopie, weswegen er nicht richtig funktioniert. "Für...



Anzeige

Stellenmarkt
  1. DR.SCHNELL Chemie GmbH über J&P GmbH, München
  2. Deutsche Telekom AG, Bonn, Münster
  3. Daimler AG, Sindelfingen
  4. Computacenter AG & Co. oHG, verschiedene Standorte


Anzeige
Spiele-Angebote
  1. 9,99€
  2. ab 59,99€ (Vorbesteller-Preisgarantie)
  3. 49,99€

Folgen Sie uns
       


  1. Quartalsbericht

    Amazons Gewinn bricht stark ein

  2. Sicherheitslücke

    Caches von CDN-Netzwerken führen zu Datenleck

  3. Open Source

    Microsoft tritt Cloud Native Computing Foundation bei

  4. Q6

    LGs abgespecktes G6 kostet 350 Euro

  5. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  6. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland

  7. Ryzen 3 1300X und 1200 im Test

    Harte Gegner für Intels Core i3

  8. Profitbricks

    United Internet kauft Berliner Cloud-Anbieter

  9. Lipizzan

    Google findet neue Staatstrojaner-Familie für Android

  10. Wolfenstein 2 angespielt

    Stahlskelett und Erdbeermilch



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF Netzwerker wollen Quic-Pakete tracken
  2. IETF DNS wird sicher, aber erst später
  3. IETF Wie TLS abgehört werden könnte

Gaming-Monitor Viewsonic XG 2530 im Test: 240 Hertz, an die man sich gewöhnen kann
Gaming-Monitor Viewsonic XG 2530 im Test
240 Hertz, an die man sich gewöhnen kann
  1. LG 43UD79-B LG bringt Monitor mit 42,5-Zoll-Panel für vier Signalquellen
  2. Gaming-Bildschirme Freesync-Displays von Iiyama und Viewsonic
  3. Zenscreen MB16AC Asus bringt 15,6-Zoll-USB-Monitor für unterwegs

Handyortung: Wir ahnungslosen Insassen der Funkzelle
Handyortung
Wir ahnungslosen Insassen der Funkzelle
  1. Bundestrojaner BKA will bald Messengerdienste hacken können
  2. Bundestrojaner Österreich will Staatshackern Wohnungseinbrüche erlauben
  3. Staatstrojaner Finfishers Schnüffelsoftware ist noch nicht einsatzbereit

  1. Re: Nutzer werden gezwungen?

    corruption | 00:51

  2. Re: Das ist doch Dummenverar....

    GenXRoad | 00:49

  3. Re: Erstmal logisch Nachdenken, dann Berichten...

    Faksimile | 00:24

  4. Re: Warum kein Hyperthreading?

    plutoniumsulfat | 00:19

  5. Re: Noch mehr Müll zum ansehen

    plutoniumsulfat | 00:16


  1. 22:47

  2. 18:56

  3. 17:35

  4. 16:44

  5. 16:27

  6. 15:00

  7. 15:00

  8. 14:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel