Abo
  • Services:
Anzeige
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten.
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten. (Bild: Thomas Galvez /Flickr.com, CC BY 2.0)

Attribution ist politisch

Zwischen Babar und Casper gibt es mehr Gemeinsamkeiten als nur den Comicnamen. Sie stecken im Code. Die Art, wie beide mit Antivirensoftware umgehen, ist zum Beispiel auffällig ähnlich. Es gibt sogar noch einen dritten, etwas älteren Trojaner, der so funktioniert. Marschalek hatte ihn Evilbunny getauft, weil das Wort "bunny" in einem Dateinamen auftauchte.

Evilbunny und Babar wiederum tragen eine ähnliche "Handschrift", bis hin zum gleichen Tippfehler im Code. Die vier Forscher schließen aus alldem, dass die drei Spionageprogramme vom selben Urheber stammen. Und weil Babar nach Ansicht des kanadischen Geheimdienstes CSEC von einer französischen Geheimdienstgruppe stammt, dürfte das auch für Evilbunny und Casper gelten.

Anzeige

Für einen staatlich unterstützten Akteur spricht zumindest die überdurchschnittliche Komplexität der drei Programme. Sie sind nicht darauf ausgerichtet, sich möglichst weit zu verbreiten, sondern möglichst gezielt. Mit einem Schwerpunkt im Mittleren Osten, einer geopolitisch also besonders brisanten Umgebung, an der westliche Geheimdienste großes Interesse haben. Evilbunny und Casper sind sogar so programmiert, dass sie sich eher selbst löschen, als sich entdecken zu lassen. Und Casper ist allein aufgrund der beiden verwendeten Zero-Days ein teures Stück Software, das nicht jeder dahergelaufene Kriminelle bezahlen könnte.

Verräterische Indizien oder falsche Fährten?

Trotzdem muss Geisterjäger Calvet einräumen: "Wir haben in Caspers Code keinen Beweis gefunden, der in Richtung eines bestimmten Landes weist. Insbesondere haben wir keine Anzeichen für einen französischen Ursprung entdeckt."

Die wenigen Indizien, die sie haben, können zudem Tricks der Entwickler darstellen. Vermeintliche Fehler oder sprachliche Eigenheiten im Code, die Nutzung von Servern in bestimmten Ländern - so etwas nutzen Trojaner-Entwickler gerne, um ihre Verfolger auf die falsche Fährte zu führen. Selbst der Infektionsherd, die syrische Website jpic.gov.sy, ist möglicherweise ein Versuch, den Verdacht auf die syrische Regierung zu lenken. Es spricht einiges dafür, dass die Website von außen gehackt wurde, um Casper zu verbreiten.

Morgan Marquis-Boire, der für das kanadischde Citizen Lab unter anderem den Einsatz von Überwachungssoftware gegen Oppositionelle in Bahrain und Syrien aufgedeckt hat, sagt: "Malware-Forscher sind seit dem Fall Aurora - als chinesische Hacker mit Verbindungen zum Militär Google und andere US-Unternehmen angriffen - definitiv besser darin geworden, staatliche Attacken zu identifizieren. Ich glaube trotzdem, dass die Angreifer weiter stark im Vorteil sind. Wir haben jetzt nur eine bessere Vorstellung davon, gegen wen wir antreten."

Die Vorsicht der Sicherheitsforscher ist also nachvollziehbar, zumal, wenn sie wissenschaftliche Ansprüche an ihre Arbeit stellen. Aber nicht alle sind so zurückhaltend. Claudio Guarnieri tickt anders. Der Italiener hat - zum Teil zusammen mit Marquis-Boire - mehrere kommerzielle Trojaner und ihre Einsätze in repressiven Staaten analysiert, er weiß, wovon er spricht, wenn er sagt: "Attribution ist schwierig und wird es immer sein. Aber manchmal werden diese Schwierigkeiten vorgeschoben, um Dinge nicht beim Namen zu nennen. Die Sicherheitsindustrie ist politisch befangen. Sie beschuldigt oft fremde Regierungen, vermeidet es aber, die eigenen bloßzustellen." Er findet, wenn so viele Indizien dafür sprechen, dass die Franzosen hinter Babar und Casper stecken, dann soll man auch sagen, dass es die Franzosen waren.

Journalistin Norton schreibt: "Attribution ist immer politisch." Deshalb sei es zum Beispiel auch so ungemein praktisch gewesen, Nordkorea für den Hack auf Sony Pictures verantwortlich zu machen. Die amerikanische Öffentlichkeit glaubt das nur zu gerne. Beweise gibt es bis heute nicht.

 Spionage: Auf der Jagd nach einem Gespenst

eye home zur Startseite
zufälliger_Benu... 09. Mär 2015

Warum ist noch niemand vorher darauf gekommen einfach mehrere Server eine Organisation...

zufälliger_Benu... 09. Mär 2015

Manchmal ist man doch froh dass nicht jeder Hinz und Kunz die Führung übernehmen kann.

Porterex 07. Mär 2015

Wundert mich nicht. Adobe Flash kann man doch bereits als schädliche Software bezeichen...

__destruct() 07. Mär 2015

Vielleicht hat man nur eine Raubmordkopie, weswegen er nicht richtig funktioniert. "Für...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Raum Kamen
  2. Robert Bosch GmbH, Weilimdorf
  3. Siemens Postal, Parcel & Airport Logistics GmbH, Nürnberg
  4. OEDIV KG, Bielefeld


Anzeige
Hardware-Angebote
  1. 2099,99€ statt 2399,99€ bei razerzone.com
  2. 89,90€ + 3,99€ Versand (Vergleichspreis ca. 140€)

Folgen Sie uns
       


  1. Smartphones

    Huawei installiert ungefragt Zusatz-App

  2. Android 8.0

    Oreo-Update für Oneplus Three und 3T ist da

  3. Musikstreaming

    Amazon Music für Android unterstützt Google Cast

  4. Staingate

    Austauschprogramm für fleckige Macbooks wird verlängert

  5. Digitale Infrastruktur

    Ralph Dommermuth kritisiert deutsche Netzpolitik

  6. Elektroauto

    VW will weitere Milliarden in Elektromobilität investieren

  7. Elektroauto

    Walmart will den Tesla-Truck

  8. Die Woche im Video

    Ausgefuchst, abgezockt und abgefahren

  9. Siri-Lautsprecher

    Apple versemmelt den Homepod-Start

  10. Open Routing

    Facebook gibt interne Plattform für Backbone-Routing frei



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows 10 Version 1709 im Kurztest: Ein bisschen Kontaktpflege
Windows 10 Version 1709 im Kurztest
Ein bisschen Kontaktpflege
  1. Windows 10 Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf
  2. Fall Creators Update Microsoft will neues Windows 10 schneller verteilen
  3. Windows 10 Microsoft verteilt Fall Creators Update

Orbital Sciences: Vom Aufstieg und Niedergang eines Raketenbauers
Orbital Sciences
Vom Aufstieg und Niedergang eines Raketenbauers
  1. Astronomie Erster interstellarer Komet entdeckt
  2. Jaxa Japanische Forscher finden riesige Höhle im Mond
  3. Nasa und Roskosmos Gemeinsam stolpern sie zum Mond

Ideenzug: Der Nahverkehr soll cool werden
Ideenzug
Der Nahverkehr soll cool werden
  1. 3D-Printing Neues Druckverfahren sorgt für bruchfesteren Stahl
  2. Autonomes Fahren Bahn startet selbstfahrende Buslinie in Bayern
  3. High Speed Rail Chinas Züge fahren bald wieder mit 350 km/h

  1. Re: Huawei/Telekom : Huawei P10 Branding...

    SpiritOfTux | 13:45

  2. Re: In Amerika easy

    Ipa | 13:45

  3. Re: Physikalisch kaum möglich!

    BiGfReAk | 13:45

  4. Re: Installiert LineageOS...

    Klobinger | 13:44

  5. Re: Amazone TV mit HDR und wo bleibt der Ton?

    ArcherV | 13:41


  1. 11:55

  2. 11:21

  3. 10:43

  4. 17:14

  5. 13:36

  6. 12:22

  7. 10:48

  8. 09:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel