Abo
  • Services:
Anzeige
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten.
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten. (Bild: Thomas Galvez /Flickr.com, CC BY 2.0)

Spionage: Auf der Jagd nach einem Gespenst

Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten.
Sicherheitsforscher haben eine Malware entdeckt, die sie nach dem Comicgespenst Casper benannten. (Bild: Thomas Galvez /Flickr.com, CC BY 2.0)

Forscher haben ein komplexes Spionageprogramm entdeckt, das sie Casper nennen. Der Fall taugt als Lehrstück über die immens schwierige Enttarnung von Malware-Entwicklern.
Von Patrick Beuth

Casper ist ein freundliches Gespenst, eine populäre Comicfigur, und deshalb ein eher unpassender Namensgeber für einen Trojaner, mit dessen Hilfe Menschen in Syrien überwacht werden. Aber es gibt diesen Trojaner. Die Geschichte hinter seinem Namen sagt viel darüber aus, wie schwierig es ist, die Entwickler solcher Programme zweifelsfrei zu enttarnen. Casper ist ein Musterbeispiel für dieses attribution problem. Der Begriff kann mit "Zuschreibungsproblem" übersetzt werden.

Anzeige

Die Journalistin Quinn Norton beschreibt es in ihrem lesenswerten Aufsatz Attribution is hard so: "Wir haben einen Punkt in der Menschheitsgeschichte erreicht, an dem es leichter ist, einen erdballgroßen Exoplaneten zu entdecken als herauszufinden, wer hinter den meisten Hacks steckt." Ein Grund: Es ist schwierig, etwas Unsichtbares einzufangen.

Die vier Geisterjäger dieser Geschichte heißen Joan Calvet, Marion Marschalek, Paul Rascagnères und Vyacheslav Zakorzhevsky. Sie arbeiten eigentlich für unterschiedliche Antiviren- und Sicherheitsfirmen, haben sich für ihre Analyse von Casper aber zusammengetan. Calvet hat am 5. März 2015 das Ergebnis ihrer gemeinsamen Untersuchungen veröffentlicht: woher der Name Casper kommt, wie Casper verbreitet wurde, welche erstaunlichen Fähigkeiten die Software besitzt, wer betroffen sein könnte und wer die möglichen Urheber sind.

Die erste Frage ist einfach zu beantworten: Eine zentrale Datei des Trojaners wurde von ihren Entwicklern Casper_DLL.dll genannt. Die Bezeichnung taucht an einer Stelle im Code auf. Für die vier Sicherheitsforscher lag es deshalb nahe, den ganzen Trojaner so zu nennen.

Seine Entwickler haben intern möglicherweise einen anderen Namen benutzt, doch Casper hat durchaus etwas Geisterhaftes an sich. Das beginnt damit, dass er sich mit Hilfe zweier Zero-Day-Lücken im Flash-Player verbreitete. Zero-Day heißt: Es handelt sich um bisher unbekannte Sicherheitslücken, gegen die es dementsprechend noch keinen Schutz gibt. Zero-Days werden gehandelt, zu den Abnehmern gehören Geheimdienste und Kriminelle. Ein Flash-Zero-Day kostet 40.000 bis 100.000 US-Dollar. Ein rares Gut also, man "verbrennt" es nicht leichtfertig. Dass Casper gleich zwei Zero-Days verwendete, spricht also für finanzstarke Angreifer und wichtige Ziele.

Diese Ziele waren Computer in Syrien, wie die Sicherheitsforscher herausfanden. Zakorzhevsky war es, der im April 2014 die ersten Spuren von Casper auf der Website jpic.gov.syentdeckte und die Geisterjagd damit einleitete. Laut Calvet handelt es sich um eine Seite der Regierung, auf der bürgerkriegsgeplagte Syrer um Wiederaufbauhilfe bitten können.

Der Spuk läuft stufenweise ab: Auf einem Zielrechner prüft Casper zunächst, ob ein Antivirusprogramm installiert und aktiv ist. Wenn ja, hat Casper für verschiedene Anbieter eine jeweils passende Versteck-Strategie. In bestimmten Fällen deinstalliert sich Casper auch von selbst, um einer Entdeckung zu entgehen.

Typisch für hochkarätige Angreifer

Besteht keine Gefahr, entdeckt zu werden, sammelt Casper als Nächstes eine Vielzahl von Informationen über den befallenen Rechner: Betriebssystem, Standort, installierte Programme und einiges mehr. Diese Informationen sendet Casper an einen Server, den die Angreifer kontrollieren. Calvet sagt: "Auf dieser Basis entscheiden sie, ob der Computer interessant für sie ist oder nicht. Wenn ja, kann Casper Kommandos vom Server ausführen und auch sogenannte Plug-ins installieren. Das sind komplette Windows-Programme, in denen die eigentlichen Spionagefähigkeiten enthalten sind." Gemeint sind Keylogger zum Mitschneiden von Tastatureingaben oder andere Abhörprogramme. Das ist dann nach der Infektion und dem Ausspähen der Gerätekonfiguration die dritte Stufe.

Das Vorgehen sei typisch für hochkarätige Angreifer, sagt Calvet. Alle Fähigkeiten in denselben Teil einer Malware zu stecken, sei für sie zu risikoreich. Denn wer dieses eine Programm findet, könne "die ganze Geschichte rekonstruieren und wahrscheinlich erraten, was genau das Ziel der Angreifer war".

Wer war's wirklich?

An dieser Stelle stoßen er und seine Kollegen deshalb an ihre Grenzen. Sie wissen, wie sich Casper verbreitete, wo er das tat, was er kann. Aber wer dahintersteckt, können sie nicht mit letzter Sicherheit sagen. Was sie tun können, ist eine Indizienkette zu bilden.

Die sieht so aus: Casper ist nicht der erste Trojaner mit einer Comicfigur im Dateinamen. Vor kurzem erst haben die vier Sicherheitsforscher ihre Analyse von Babar veröffentlicht. Es handelt sich um ein Überwachungsprogramm, das vor allem im Iran eingesetzt wurde. In dessen Code fanden Calvet und seine Kollegen eine Datei mit der Bezeichnung babar64.

In Dokumenten des kanadischen Geheimdienstes CSEC aus dem Snowden-Archiv wiederum gibt es Hinweise auf eine Spionage-Operation mit dem Titel Snowglobe. In der spielt auch eine Software namens Babar eine Rolle. Die Kanadier denken, Snowglobe war eine Operation der Franzosen, die vor allem gegen den Iran gerichtet war. Echte Beweise für die Vermutung stecken in den Dokumenten nicht.

Attribution ist politisch 

eye home zur Startseite
zufälliger_Benu... 09. Mär 2015

Warum ist noch niemand vorher darauf gekommen einfach mehrere Server eine Organisation...

zufälliger_Benu... 09. Mär 2015

Manchmal ist man doch froh dass nicht jeder Hinz und Kunz die Führung übernehmen kann.

Porterex 07. Mär 2015

Wundert mich nicht. Adobe Flash kann man doch bereits als schädliche Software bezeichen...

__destruct() 07. Mär 2015

Vielleicht hat man nur eine Raubmordkopie, weswegen er nicht richtig funktioniert. "Für...



Anzeige

Stellenmarkt
  1. RUESS GROUP, Stuttgart
  2. K+S Aktiengesellschaft, Kassel
  3. LuK GmbH & Co. KG, Bühl
  4. LogPay Financial Services GmbH, Eschborn


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 39,99€
  3. (täglich neue Deals)

Folgen Sie uns
       


  1. Privacy Phone

    John McAfee stellt fragwürdiges Smartphone vor

  2. Hacon

    Siemens übernimmt Software-Anbieter aus Hannover

  3. Quartalszahlen

    Intel bestätigt Skylake-Xeons für Sommer 2017

  4. Sony

    20 Millionen Playstation im Geschäftsjahr verkauft

  5. Razer Lancehead

    Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

  6. TV

    SD-Abschaltung kommt auch bei Satellitenfernsehen

  7. ZBook G4

    HP stellt Grafiker-Workstations für unterwegs vor

  8. Messenger Lite

    Facebook bringt abgespeckte Messenger-App nach Deutschland

  9. Intel

    Edison-Module und Arduino-Board werden eingestellt

  10. Linux-Distribution

    Debian 9 verzichtet auf Secure-Boot-Unterstützung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mario Kart 8 Deluxe im Test: Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
Mario Kart 8 Deluxe im Test
Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo
  1. Hybridkonsole Nintendo verkauft im ersten Monat 2,74 Millionen Switch
  2. Nintendo Switch Verkaufszahlen in den USA nahe der Millionengrenze
  3. Nintendo Von Mario-Minecraft bis zu gelben dicken Joy-Cons

Bonaverde: Von einem, den das Kaffeerösten das Fürchten lehrte
Bonaverde
Von einem, den das Kaffeerösten das Fürchten lehrte
  1. Google Alphabet macht weit über 5 Milliarden Dollar Gewinn
  2. Insolvenz Weniger Mitarbeiter und teure Supportverträge bei Protonet
  3. Jungunternehmer Über 3.000 deutsche Startups gingen 2016 pleite

Noonee: Exoskelett ermöglicht Sitzen ohne Stuhl
Noonee
Exoskelett ermöglicht Sitzen ohne Stuhl

  1. Re: Jede Software sollte nach diesen...

    ibecf | 23:39

  2. Re: Top stabile Server Distro

    treba | 23:38

  3. Ohhh, müssen die mir jetzt Leid tun?

    Vielfalt | 23:36

  4. Re: Erklärung zur Situation

    WonderGoal | 23:29

  5. Re: Hardwareschalter sind prinzipiell was gutes

    vkl | 23:18


  1. 18:05

  2. 17:30

  3. 17:08

  4. 16:51

  5. 16:31

  6. 16:10

  7. 16:00

  8. 15:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel