Werbung
Stuxnet, dessen Machenschaften erst 2010 ans Licht kamen, hatte das Ziel, iranische Atomzentrifugen still zu legen und war wohl schon einige Jahre zuvor aktiv. Wie jetzt das ungarische Virenforschungslabor CrySys Lab und die russische Sicherheitsschmiede für Computersysteme Kaspersky herausgefunden haben, schwirrt seit einigen Monaten ein neues mysteriöses Spionageprogramm durch das Netz. Dieses Mal durch weite Teile Europas und den USA. Welches Ziel der auf "Miniduke" getaufte Trojaner hat bzw. hatte, ist nicht bekannt. Klar ist nur, er wurde gezielt auf Regierungsrechnern und Computern wissenschaftlicher Institutionen eingeschleust. Wonach die Software suchen musste, ist noch ein großes Geheimnis. Dass die unbekannten Hintermänner aber nicht mit klassischen Malware-Methoden Geld verdienen wollten, liegt auf der Hand. Vermutlich suchten sie gezielt nach Informationen, um diese dann im besten Fall zu verkaufen. Andernfalls hätten die Entwickler nicht einen solch großen Aufwand betrieben.
Der Trojaner nutzte eine sogenannte Zero-Day-Lücke in Adobes PDF-Software, welche erst kürzlich publik und geschlossen wurde. Solches Wissen ist in der Branche sehr viel Geld wert. Ob die Täter das Sicherheitsleck selbst entdecken, als sie vermutlich im Juni 2012 mit der Verteilung ihrer Schadsoftware begannen, oder viel Geld dafür bezahlt haben, ist nicht bekannt.
Eingeschleust auf die 50 Rechner aus 23 verschiedenen Nationen, unter anderem in Belgien, Bulgarien, Tschechien, Deutschland, Irland, Türkei, Spanien und den USA sowie in Großbritannien, wurde "Miniduke" per E-Mail. Diese enthielt glaubwürdig formulierten Inhalt und Informationen im manipulierten PDF-Anhang über die Menschenrechtspolitik in der Ukraine und Pläne der Nato. Nach Öffnen dieser PDF-Dokumente wurde der Rechner infiziert. Das Backdoor-Programm des Trojaners lud gerade einmal 22 KB an zusätzlichen Code von kompromittierten Servern herunter. Das eigentliche Programm wurde in der Programmiersprache Assembler geschrieben. Eine Sprache, die schon seit Jahren nicht mehr zum Einsatz kommt, schwer zu erlernen und vor allem sehr fehleranfällig ist. Vermutlich war hier ein älterer, erfahrener Programmierer am Werk.
Jeder Infizierte Rechner wurde dann mittels des Dienstes GeoIP lokalisiert und mit einer eindeutigen ID versehen, anhand derer die Kontrollserver den Rechner wiedererkennen konnten. Die Kommunikation lief verschlüsselt ab. Für den Fall, dass die Kommunikation zu den Kontrollservern abbrechen sollte, gab es ein Fallback. Dann wurde auf Google und Twitter ausgewichen. Dabei wurde über Google nach verschlüsselten Feed-Kommandos in gestohlenen Twitter-Konten gesucht.
Die Urheber des kleinen Dukes sind nicht bekannt. Im Quelltext findet sich allerdings sich allerdings die Zahlenfolge "666" - vermutlich der Codename der Malwareschreiber im hexdezimalen Zahlensystem.