Abo
  • Services:
Anzeige
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten.
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten. (Bild: Thomas Galvez /Flickr.com, CC BY 2.0)

Attribution ist politisch

Zwischen Babar und Casper gibt es mehr Gemeinsamkeiten als nur den Comicnamen. Sie stecken im Code. Die Art, wie beide mit Antivirensoftware umgehen, ist zum Beispiel auffällig ähnlich. Es gibt sogar noch einen dritten, etwas älteren Trojaner, der so funktioniert. Marschalek hatte ihn Evilbunny getauft, weil das Wort "bunny" in einem Dateinamen auftauchte.

Evilbunny und Babar wiederum tragen eine ähnliche "Handschrift", bis hin zum gleichen Tippfehler im Code. Die vier Forscher schließen aus alldem, dass die drei Spionageprogramme vom selben Urheber stammen. Und weil Babar nach Ansicht des kanadischen Geheimdienstes CSEC von einer französischen Geheimdienstgruppe stammt, dürfte das auch für Evilbunny und Casper gelten.

Anzeige

Für einen staatlich unterstützten Akteur spricht zumindest die überdurchschnittliche Komplexität der drei Programme. Sie sind nicht darauf ausgerichtet, sich möglichst weit zu verbreiten, sondern möglichst gezielt. Mit einem Schwerpunkt im Mittleren Osten, einer geopolitisch also besonders brisanten Umgebung, an der westliche Geheimdienste großes Interesse haben. Evilbunny und Casper sind sogar so programmiert, dass sie sich eher selbst löschen, als sich entdecken zu lassen. Und Casper ist allein aufgrund der beiden verwendeten Zero-Days ein teures Stück Software, das nicht jeder dahergelaufene Kriminelle bezahlen könnte.

Verräterische Indizien oder falsche Fährten?

Trotzdem muss Geisterjäger Calvet einräumen: "Wir haben in Caspers Code keinen Beweis gefunden, der in Richtung eines bestimmten Landes weist. Insbesondere haben wir keine Anzeichen für einen französischen Ursprung entdeckt."

Die wenigen Indizien, die sie haben, können zudem Tricks der Entwickler darstellen. Vermeintliche Fehler oder sprachliche Eigenheiten im Code, die Nutzung von Servern in bestimmten Ländern - so etwas nutzen Trojaner-Entwickler gerne, um ihre Verfolger auf die falsche Fährte zu führen. Selbst der Infektionsherd, die syrische Website jpic.gov.sy, ist möglicherweise ein Versuch, den Verdacht auf die syrische Regierung zu lenken. Es spricht einiges dafür, dass die Website von außen gehackt wurde, um Casper zu verbreiten.

Morgan Marquis-Boire, der für das kanadischde Citizen Lab unter anderem den Einsatz von Überwachungssoftware gegen Oppositionelle in Bahrain und Syrien aufgedeckt hat, sagt: "Malware-Forscher sind seit dem Fall Aurora - als chinesische Hacker mit Verbindungen zum Militär Google und andere US-Unternehmen angriffen - definitiv besser darin geworden, staatliche Attacken zu identifizieren. Ich glaube trotzdem, dass die Angreifer weiter stark im Vorteil sind. Wir haben jetzt nur eine bessere Vorstellung davon, gegen wen wir antreten."

Die Vorsicht der Sicherheitsforscher ist also nachvollziehbar, zumal, wenn sie wissenschaftliche Ansprüche an ihre Arbeit stellen. Aber nicht alle sind so zurückhaltend. Claudio Guarnieri tickt anders. Der Italiener hat - zum Teil zusammen mit Marquis-Boire - mehrere kommerzielle Trojaner und ihre Einsätze in repressiven Staaten analysiert, er weiß, wovon er spricht, wenn er sagt: "Attribution ist schwierig und wird es immer sein. Aber manchmal werden diese Schwierigkeiten vorgeschoben, um Dinge nicht beim Namen zu nennen. Die Sicherheitsindustrie ist politisch befangen. Sie beschuldigt oft fremde Regierungen, vermeidet es aber, die eigenen bloßzustellen." Er findet, wenn so viele Indizien dafür sprechen, dass die Franzosen hinter Babar und Casper stecken, dann soll man auch sagen, dass es die Franzosen waren.

Journalistin Norton schreibt: "Attribution ist immer politisch." Deshalb sei es zum Beispiel auch so ungemein praktisch gewesen, Nordkorea für den Hack auf Sony Pictures verantwortlich zu machen. Die amerikanische Öffentlichkeit glaubt das nur zu gerne. Beweise gibt es bis heute nicht.

 Spionage: Auf der Jagd nach einem Gespenst

eye home zur Startseite
zufälliger_Benu... 09. Mär 2015

Warum ist noch niemand vorher darauf gekommen einfach mehrere Server eine Organisation...

zufälliger_Benu... 09. Mär 2015

Manchmal ist man doch froh dass nicht jeder Hinz und Kunz die Führung übernehmen kann.

Porterex 07. Mär 2015

Wundert mich nicht. Adobe Flash kann man doch bereits als schädliche Software bezeichen...

__destruct() 07. Mär 2015

Vielleicht hat man nur eine Raubmordkopie, weswegen er nicht richtig funktioniert. "Für...



Anzeige

Stellenmarkt
  1. regio iT aachen gesellschaft für informationstechnologie mbh, Aachen
  2. Wasser- und Schifffahrtsamt Kiel-Holtenau, Rendsburg
  3. CGM Deutschland AG, Hannover
  4. Habermaaß GmbH, Bad Rodach


Anzeige
Hardware-Angebote
  1. bei Caseking
  2. 699€

Folgen Sie uns
       


  1. Platooning

    Daimler fährt in den USA mit Lkw im autonomen Konvoi

  2. Suchmaschine

    Apple stellt Siri auf Google um

  3. Gruppenchat

    Skype for Business wird durch Microsoft Teams ersetzt

  4. Teardown

    iFixit findet größeren Akku in Apple Watch Series 3

  5. Coffee Lake

    Intel verkauft sechs Kerne für unter 200 Euro

  6. MacOS 10.13

    Apple gibt High Sierra frei

  7. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  8. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  9. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  10. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Bundestagswahl 2017 IT-Probleme verzögerten Stimmübermittlung
  2. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  3. Zitis Wer Sicherheitslücken findet, darf sie behalten

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. iZugar 220-Grad Fisheye-Objektiv für Micro Four Thirds vorgestellt
  2. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  3. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

  1. Re: Sockel-Chaos

    pioneer3001 | 09:14

  2. Re: Wenn sie schon dabei sind können die ja auch...

    Spaghetticode | 09:13

  3. Re: Wahlkampf von Flüchtlingspolitik geprägt und...

    JanZmus | 09:13

  4. Re: Breitbandatlas & Afd hochburgen

    Menplant | 09:13

  5. Re: Wie oft wollen sie den noch ersetzen

    Hakuro | 09:10


  1. 09:11

  2. 08:57

  3. 07:51

  4. 07:23

  5. 07:08

  6. 19:40

  7. 19:00

  8. 17:32


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel