Aktuelle IT-Bedrohungen, Trends 2. Quartal 2005

Kaspersky Lab setzt die Veröffentlichung seiner analytischer Artikel über Entwicklungstendenzen der aktuellen IT-Gefahren fort. Die vorliegende Analyse ist den Ereignissen des 2. Quartals des laufenden Jahres gewidmet.

Wir berichten über Richtungsänderung bei Netzattacken, über den Übergang zum genauen zielgerichteten Hacken von Webseiten und Computern, die für die Hacker von besonderem Interesse sind, über die weitere Entwicklung der AdWare-Programme, die unbemerkt die Grenze zwischen „nicht erwünscht“ und „illegal“ überschritten haben, über das Comeback der Virentechnologien u.v.m.

  1. Richtungsänderungen bei Netzattacken
  2. Hacker-Attacken
  3. Illegale Werbeverfahren
  4. Das Comeback von Virentechnologien
  5. „Elektronische Geiseln“
  6. Politik und Viren

Richtungsänderungen bei Netzattacken

In den vergangenen Monaten wurden einige ernsthafte Hacker-Attacken verzeichnet, die eine klare Richtungsänderung der Angreifer aufzeigen.

Finanzgiganten, wie die Bank of America, die Sumitomo Bank oder die Abrechnungsdienstleister von MasterCard und Visa wurden im vergangenen Vierteljahr Opfer von Cyberverbrechen. In diesen Zusammenhang gehört auch der Skandal um das Spionage-Programm Hotworld, das in Netzen von mehr als 80 Organisationen in Israel und Großbritannien entdeckt wurde. Die Analyse dieser und einer Reihe weiterer, weniger bekannter Vorfälle, lässt folgende Schlussfolgerungen zu:

1. Die Verbrecher wenden sich endgültig von Massenattacken durch den Versand von Netz-Würmern oder Trojanern ab

Hierfür gibt es verschiedene Gründe:
Zum einen hat die Antivirus-Industrie im Laufe einer Dekade wirksame Maßnahmen zum Schutz vor globalen Wurm-Epidemien entwickelt. Angefangen bei der Detektion erster Anzeichen für eine Epidemie (dem Auffinden einer Vielzahl von Kopien ein- und derselben Datei im E-Mail-Verkehr) bis hin zu höchsten Sicherheitsstufen wie Intrusion Detection-Systemen und Hardware-Firewalls. Die Zeit zwischen dem ersten Sichten von Würmern im Netz bis zum Publizieren des „Gegenmittels“ – der Antivirus-Signatur zum Erkennen des Wurms und der Reparatur befallener Systeme – vergehen maximal ein bis zwei Stunden, meist jedoch nur wenige Minuten. Die Effektivität derartiger Virus-Attacken wird so erheblich gemindert.

Die Antivirus-Industrie hat im Laufe einer Dekade wirksame Maßnahmen zum Schutz vor globalen Wurm-Epidemien entwickelt.

Zweitens: Selbst wenn es dem Wurm gelingen sollte, die verschiedenen Schutzmaßnahmen zu umgehen (bzw. in nicht-geschützte Systeme einzudringen) und einige Tausend Anwender zu infizieren, steht er nun vor der Aufgabe sich zu vermehren beziehungsweise Informationen zu stehlen und weiterzuleiten. Durch die Schadprogramm-Analyse lassen sich mittlerweile jedoch recht schnell diejenigen Server identifizieren, auf welche die gesammelten Informationen geschickt werden. Auch die Kanäle und Methoden zur Remote-Steuerung infizierter Rechner können heutzutage relativ einfach aufgedeckt werden. Mittels dieser Methoden lassen sich Epidemien eindämmen, indem die Hacker-Server abgeschaltet werden.

Drittens: Geraten gestohlene Daten nun tatsächlich in die Hände von Verbrechern, stehen diese vor dem Problem, ihr Wissen in Geld umzusetzen. Auch das ist kein einfaches Unterfangen, zumal die Gefahr, belangt zu werden, in den letzten Jahren stark angestiegen ist.

2. Die Verbrecher wenden sich konkreten und größeren Zielen zu

Aufgrund der oben beschriebenen Probleme suchen Cyberverbrecher nun vermehrt nach anderen Zielen und Methoden zum Diebstahl und Verkauf von Informationen.

Am gefragtesten sind selbstverständlich Bankverbindungsdaten und persönliche Daten, wie Kreditkarten-Nummern, Sozialversicherungsnummern und Ähnliches. Es geht also vorzugsweise um Informationen, die von Dritten zur Geldbeschaffung benutzt werden können: zum Geldabheben, zum Fälschen von Dokumenten und Bankkarten, zur Nötigung und Erpressung.

An zweiter Stelle auf der Beliebtheitsskala steht mittlerweile die Industriespionage – Tendenz steigend. Angaben über Produkte von Mitbewerbern, deren finanzielles Standing, Mitarbeiterdaten und viele andere Informationen, welche früher, abfotografiert, mitgeschrieben oder mittels Wanzen abgehört wurden, erhält der Spion heute über das Hacken interner Computernetze.

Hieraus ergibt sich ganz klar eine Verschiebung der von den Hackern anvisierten Ziele: Es ist eine Sache, das Internet- oder ICQ-Passwort eines Computernutzers zu stehlen und es für fünf Euro zu verkaufen. Eine andere Sache ist es, eine Million Computer weltweit zu infizieren und 50 Tausend Kreditkarten-Nummern zu stehlen. Richtig problematisch wird es aber dann, wenn durch die Infizierung eines einzelnen Computers gleich mehrere Millionen Kreditkarten-Nummern gestohlen werden.

Analysiert man den Vorfall bei CardSystem Solutions und sieht sich die Daten an, die über die Massenmedien verbreitet wurden, kann man einige „Merkwürdigkeiten“ erkennen:

  • Das Spionage-Programm (Trojaner), das angeblich im Netz von CardSystem Solutions entdeckt wurde, ist bislang keinem Antivirus-Unternehmen zur Verfügung gestellt worden. Der Trojaner Hotworld dagegen war bereits zwei Tage nach seinem Auffinden in die Datenbanken beinahe aller Antivirusprogramme integriert.
  • Dieser Trojaner war mit Sicherheit kein Keylogger (Tastatur-Spion) – es wurden wohl kaum 40 Millionen Kreditkarten-Nummern per Hand über die Tastatur des infizierten Computers eingegeben.
  • Um Zugang zur Datenbank zu erhalten, in der die Kartennummern abgelegt waren, musste dieser Trojaner eigens für dieses Datenbankformat erstellt worden sein.
  • Es ist außerdem unklar, über welche Kanäle die gestohlenen Informationen die Datenbank von CardSystem Solutions verlassen konnten.

Es ist verständlich, dass dieser Vorfall noch untersucht wird und die vollständigen Informationen wohl noch recht lange auf sich warten lassen werden. Unverständnis rufen jedoch Behauptungen einiger Medienvertreter hervor, hinter dieser Sache stünden „russische Hacker“. Diese Aussagen würden angeblich dadurch bekräftigt, dass auf einigen russischen Webseiten gestohlene Kreditkarten-Nummern verkauft würden. Fraglich ist jedoch, woher die Journalisten wissen, welche Nummern genau gestohlen wurden, und dass diese Nummern während des Hacks bei CardSystems Solutions entwendet wurden – und nicht vielleicht mittels einer anderen, ‚traditionellen“ Methode.

Wie dem auch sei: Hinter all den diesjährigen Schlagzeilen über Datenklau steckt eine neue Generation von Cyberverbrechern, die auf einem höheren Niveau operieren. Wir haben es hier mit Personen zu tun, die bereit sind, Tausende von Euro für Insider-Informationen über das zu attackierende Objekt auszugeben. Personen, die über tief greifendes technisches Know-How verfügen und um Methoden wissen, wie man mehrstufige IT-Schutzsysteme umgehen kann. Sie haben nichts mehr gemein mit denen, die Trojaner-Programme für 10 Euro pro Stück verkaufen oder dabei helfen, gestohlene Daten über allgemeinzugängliche Foren und Webseiten an den Mann zu bringen.

Hinter all den diesjährigen Schlagzeilen über Datenklau steckt eine neue Generation von Cyberverbrechern.

In letzter Zeit hört man immer häufiger von dieser Art von Hackern, was vor allem daran liegt, dass die ersten solcher Attacken von Erfolg gekrönt waren. Offensichtlich ist, dass die Sicherheits-Infrastruktur großer Finanzinstitute ein beliebtes Angriffsziel darstellt: eine große Anzahl von Computern, heterogene Netzwerke, unterschiedlichste Zugangsrechte sowie eine Vielzahl von Mitarbeitern – all das sind Faktoren, die den Verbrechern ihr Tun erleichtern. In großen Netzwerken sind selbst bekannte Dokumente oft kaum auffindbar – ganz zu schweigen von Trojanern, die ihre Anwesenheit im System noch dazu kunstvoll maskieren.

Ein Problem bei derartigen Trojanerprogrammen ist ihre Einmaligkeit: Sie werden eigens für dezidierte Hacks geschaffen und sind damit Unikate. Es ist praktisch unmöglich, heuristische Methoden zur Erkennung solcher Trojaner zu entwickeln, wodurch sie schwerlich in die Antivirus-Datenbanken gelangen – im Unterschied zu Würmern, von denen es weltweit Millionen Kopien gibt.

Hacker-Attacken

Die Einschleusung von Trojanern in die Netze von Banken oder Regierungsstrukturen ist nach wie vor das Werk von Profis. Neben diesen existiert außerdem ein riesiges Heer von Virenprogrammierern, die sich mit Botnets und dem Raub von Daten „für den Hausgebrauch“ beschäftigen. Ungeachtet aller oben genannten Hindernisse, die sich dem Versand von Trojanern in den Weg stellen, geben sie sich dennoch mit lokal relativ begrenzten Epidemien zufrieden und zielen auf die am wenigsten geschützten Internetnutzer ab – auf diejenigen nämlich, die kein Antivirenprogramm nutzen oder ihr System nicht regelmäßig aktualisieren.

Die Infizierung per E-Mail gestaltet sich – wie bereits geschildert – mittlerweile problematisch und bringt zudem finanzielle Nachteile mit sich. Aber auch das „Fehlen“ kritischer Sicherheitslücken in Windows, die für das Erstellen von Würmern von Vorteil wären, stellt einen Hemmfaktor dar, und es wird nach neuen Infizierungswegen gesucht.

MHTML URL Processing Vulnerability ist und bleibt die unter Virenautoren beliebteste Sicherheitslücke.

Über die Gefahr, die angreifbare Versionen viel genutzter Browser darstellen, haben wir schon in unserem vorhergehenden Bericht geschrieben. In der letzten Zeit hat sich die Situation nicht verändert und die MHTML URL Processing Vulnerability ist und bleibt die unter Virenautoren beliebteste Sicherheitslücke. Aber das ist nur die eine Seite der Medaille. Damit die Nutzer überhaupt in diese Falle, sprich Sicherheitslücke, tappen können, müssen sie zunächst irgendwie auf eine unsichere Website gelockt werden.

Um dieses Ziel zu erreichen, gibt es zwei Möglichkeiten:
Die erste Möglichkeit liegt in der Programmierung einer speziellen Site auf einem beliebigen Hosting, auf den auch die verseuchte Seite gestellt wird. Die Nutzer werden nun per Spam zum Besuch der betreffenden Seite aufgefordert. Der Versand kann auch mit Hilfe anderer Kommunikationsmittel erfolgen – zum Beispiel durch einen Instant Messenger.
Das ist der älteste und erprobteste Weg. In der Praxis können diese Seiten nur sehr kurze Zeit existieren und werden vom Hoster gesperrt, sobald Anfragen von Unternehmen für Antivirensoftware oder von Justizorganen kommen.

Eine zweite, relativ neue Möglichkeit basiert darauf, irgendeine mehr oder weniger beliebte Seite zu hacken, wobei der Beliebtheitsgrad hierbei keine unwesentliche Rolle spielt. Es müssen nicht eigens Spammings mit der Aufforderung zum Besuch einer Seite verschickt werden, da die Seite ohnehin regelmäßig aufgerufen wird.

Hauptangriffsziel sind Sites in einem der am meisten genutzten PHP- Formate.

Hauptangriffsziel sind Sites in einem der am meisten genutzten PHP- Formate (PhpBB, PhpNuke, WorldPress usw.). Ein Grund hierfür ist das ständige Aufspüren von Sicherheitslücken in den genannten Produkten, die es den Tätern ermöglichen, auf den verschiedenen Seiten einer Site die erforderlichen Skripte abzulegen. Wie leicht und wie schnell man Dutzende oder Hunderte solcher Sites hacken kann, hat der Wurm Santy im Dezember 2004 anschaulich demonstriert. Zwischen dem Vorgehen der Straftäter beim Hacken und der Vorgehensweise dieses Wurms besteht praktisch kein Unterschied.

Die Infizierung des Computers des Betreibers bzw. des Serverproviders einer bestimmten Site eröffnet Trojanerprogrammierern eine weitere Möglichkeit, sich Zugang zu verschaffen, da auf diese Weise der Weg zum Steuerungsaccount der betreffenden Site frei wird.

Als Beispiel für die oben beschriebenen Methoden dienen eine ganze Reihe von Hackerangriffen auf Websites im PHP- Format, welche sich in diesem Jahr im russischen Teil des Internets ereignet haben. In der Regel bestand das Ziel der Täter letztendlich in der Installation des Spionagetrojaners LdPinch auf den Rechnern der Nutzer.

Besonders hinzuweisen ist hier auf das Eindringen von Hackern in den Server von MSN Korea Ende Mai. Nach Einschätzung von Experten lag zwischen dem Zeitpunkt des Eindringens und dem Auffinden des Trojaners auf dem Server ein Zeitraum von etwa fünf Tagen. In dieser ganzen Zeit bestand für jeden Besucher der Seite die Gefahr sich zu infizieren und tatsächlich kam es zu mehreren Tausend Infizierungen. Auch das hierfür benutzte Programm war bekannt. Es war ein aktuelles Spionageprogramm, mit dem der Nutzer-Account für das beliebte Onlinespiel LineAge geraubt wurde. Über Onlinespiele und deren Abonnenten als weiteres Ziel von Computerstraftätern haben wir in unserem letzten Bericht geschrieben und im Fall von MSN Korea hat sich unsere Prognose in vollem Umfang bestätigt.

Illegale Werbeverfahren

Aufmerksam und mit großem Interesse verfolgen wir die Entwicklung von Adware. Die hohe Geschwindigkeit dieser Entwicklung und die daraus resultierende Formenvielfalt sind in der heutigen Computerwelt einzigartig.

Nachdem die Evolution von Adware vor wenigen Jahren mit sehr einfachen Skripten begann, die zahlreiche zusätzliche Fenster im Browser öffneten, wurde jetzt die Grenze zwischen unerwünschter, aber dennoch legaler Software und Schadprogrammen endgültig überschritten. Eine Reihe von AdWare nutzt bereits tatkräftig Virentechnologien wie Sicherheitslücken in Browsern, Rootkits, die Aufzeichnung des eigenen Codes in Systemdateien, Änderungen von Systemanwendungen oder die Änderung von Nutzerdateien und vieles mehr, um in das System einzudringen und sich dort zu verbergen.

Zieht man den Marktumfang im Bereich der Internetwerbung in Betracht, so verwundert diese Entwicklung nicht. Laut Schätzungen umfasst er mehrere Milliarden Dollar und – was überaus wichtig ist – es gibt auf diesem Markt eine Vielzahl miteinander konkurrierender Werbefirmen. Diese sind bestrebt, die Nachfrage mit allen erdenklichen Mitteln zu erfüllen, und ihre Werbung so häufig wie möglich einer möglichst großen Zahl von Nutzern zu präsentieren.

Im Juni 2005 haben wir ein Werbeprogramm entdeckt, das sich mit Hilfe eines Rootkit-Treibers im System versteckt hatte.

Im Juni haben wir ein Werbeprogramm entdeckt, das sich mit Hilfe eines Rootkit-Treibers im System versteckt hatte. Bisher war das nur bei verschiedenen Backdoors möglich. Diese Entwicklung ist sehr Besorgnis erregend. In einer ganzen Reihe der beliebten modernen Antivirenprogramme fehlen Möglichkeiten zum Auffinden und Löschen von Rootkits in den Windows-Systemen. Ebenso wenig verfügen die nun überall wie Pilze aus dem Boden schießenden „anti-adwarespyware“-Lösungen über solche Methoden. Zum Auffinden eines Rootkits im System ist eine multifunktionelle Antivirus-Lösung erforderlich, die mit einem Rechensystem bereits auf niedrigstem Niveau zu arbeiten in der Lage ist und alle Funktionen des Systems kontrolliert.

Insgesamt wird die AdWare-Situation mehr und mehr zu einem für die Konfrontation zwischen Virus und Antivirus typischen Kampf „mit Schwert und Schild“. Je stärker und massiver der Kampf gegen Adware ist, umso aggressiver und illegaler wird die Bereitstellung von Werbeinhalten auf den Computern der Nutzer. Wahrscheinlich kann das Problem nicht allein durch die Unternehmen für Antivirensoftware und Unternehmen, die sich auf die Bekämpfung von Adware spezialisiert haben, gelöst werden. Vielmehr ist ein Dialog zwischen den Auftraggebern und Auftragnehmern von Werbung notwendig. Man darf nicht vergessen, dass viele Internetprojekte ausgerechnet von Werbung leben, außerdem ist das Internet selbst in vielen Bereichen gerade von denen abhängig, die für Werbung zahlen. Andererseits haben wir eine stetige Zunahme des Konflikts zu erwarten.

Das Comeback von Virentechnologien

Im Verlauf der letzten drei bis vier Jahre erlebten wir ein praktisch vollständiges Verschwinden herkömmlicher Virendateien. Ein so langer Zeitraum schien vom Ende dieser Art von Schadprogrammen zu zeugen. In all den Jahren tauchte nicht ein Virus auf, der (da er nicht über die Funktionen eines Wurmes verfügte) in der Lage gewesen wäre, eine auch nur geringfügig spürbare Virenepidemie zu verursachen. Die Autoren von Schadprogrammen sind auf das Programmieren von Trojanern und Würmern umgestiegen, denn diese bieten eine nicht nur schnellere, sondern obendrein auch eine einfachere Möglichkeit, Daten zu verseuchen oder zu stehlen.

Die Programmierung eines Dateivirus, der einwandfrei funktioniert und fähig ist, Dateien in verschiedenen Windows-Versionen zu infizieren, erfordert ein hohes Maß an Kenntnissen und Erfahrungen auf dem Gebiet der Programmierung. Ein weiteres unabdingbares Attribut sind auch verschiedene polymorphe Prozesse, die wiederum Kenntnisse im Bereich der Kryptographie und verschiedener Verschlüsselungsalgorithmen erfordern.

Auch wenn in diesen Jahren keine nennenswerten neuen Viren aufgetreten sind, so befinden sich auf den Rechnern der Nutzer weiterhin verschiedene Viren, die schon viel früher programmiert wurden und sich immer noch weltweit ausbreiten. Man kann sie zwar an einer Hand abzählen, aber dennoch sind sie früher wie heute durchaus verbreitet.

Die Techniken der Virenprogrammierung bestehen also nach wie vor, doch anscheinend werden sie nicht mehr genutzt. Allerdings konnte es auch nicht ewig so weitergehen. Die Täter, die sich dem ständigen Widerstand der Unternehmen für Antivirensoftware gegenüber sehen, sind gezwungen, nach neuen Möglichkeiten zu suchen, in Systeme einzudringen und – was nicht weniger wichtig ist – sich dort zu verbergen. Eine solche „moderne“ Methode sind die Rootkits und eine weitere ist das Einschleusen des eigenen Codes in Systemdateien.

In unserer letzten Ausgabe haben wir über den Virus.Win32.Bube berichtet. Dieses schädliche Programm hängte seinen eigenen Code an die Datei Explorer.exe an. Als Folge wurde dem Programm die Steuerung überlassen und der IE übernahm beim Start die Funktion eines Trojaner-Downloaders. Die meisten modernen Firewalls sind natürlich nicht in der Lage, ein solches Verhalten des Internetexplorers zu analysieren und zu stoppen.

Dieses schädliche Programm hängte seinen eigenen Code an die Datei Explorer.exe an. Als Folge wurde dem Programm die Steuerung überlassen und der IE übernahm beim Start die Funktion eines Trojaner-Downloaders.

Der Grundgedanke dieser Methode wurde nicht nur von Antivirenspezialisten, sondern auch von anderen Virenprogrammierern bemerkt und bewertet. Zu Beginn dieses Jahres konnten wir das Aufkommen einer besonderen Form von Backdoors beobachten. Sie alle stellten sich selbst als irgendeine legale Datei oder Utility dar (z. B. winrar.exe), die den Code eines Trojaners enthielt. Der Code des Trojaners wurde an eine herkömmliche Datei nach der Methode der EPO-Viren angehängt und übernahm entsprechend dem Unterprogramm, das in der Hauptdatei aufgerufen wurde, die Steuerung. Alle diese EPO-Backdoors sind praktisch Varianten der verbreiteten Bots Agobot, Rbot oder SdBot. Aller Wahrscheinlichkeit nach wurden solche Dateien (legale Datei + Backdoor) mit Hilfe eines der speziellen Erstellungsprogramme geschrieben.

In den Monaten Mai/Juni dieses Jahres stießen wir auf eine weitere Entwicklung bezüglich des Einschleusens von Trojaner-Codes in Systemdateien. Es handelte sich hierbei um einen ganzen Komplex von Schadprogrammen. Die Hauptrolle des Infizierers spielt der Trojaner-Downloader Win32.Agent.ns. Beim Befall des Systems lädt er nicht nur andere Trojanerprogramme, sondern er verseucht auch die Systembibliothek wininet.dll. Hier wird eine kleine Funktion hinzugefügt, die im Weiteren jeden Zugriff auf die genannte Bibliothek verhindert (und das geschieht ständig bei der Arbeit im Internet) und es wird versucht, weitere schädliche Programme auf den Rechner zu laden. Auf diese Weise wird wininet.dll zu einem Virus (ein Programm, das mit einem fremden Code verseucht ist).

Man könnte sagen, dass in diesem Fall ein herkömmlicher Trojaner als Virus bezeichnet wird, denn die verseuchten Dateien explorer.exe oder wininet.dll selbst verseuchen keine weiteren Dateien mehr im System. Tatsächlich passt der herkömmliche Begriff „Virus“ nicht ganz zu den beschriebenen Fällen. Wir haben es mit einer völlig neuen Klasse von schädlichen Programmen zu tun, die herkömmliche Virenmethoden zum Einschleusen eines Codes in das Innere anderer Programme nutzen. Der einzige Unterschied besteht darin, dass dieser Code sich nicht selbsttätig vervielfältigt. Dennoch neigen wir bislang dazu, es neben dem Overwriting- und dem Companion-Virus als eine Virus-Unterart zu bezeichnen. Sollten in nächster Zukunft weitere solcher Viren auftauchen (und diese Annahme ist durchaus berechtigt), ist eine Unterteilung analoger Viren in unterschiedliche Familien möglich.

Für die Nutzer wird es zumindest wichtig, nicht nur die neuen, sondern auch die alten, bereits überprüften und bekannten Dateien nochmals zu kontrollieren. Denn es ist nicht ausgeschlossen, dass eine dieser Dateien Opfer eines neuen „Injektors“ wird. Neben der Überprüfung der Dateigröße ist auch die Überprüfung des Dateiinhalts notwendig, da Viren die Größe einer verseuchten Datei nicht verändern können. So wächst die Notwendigkeit für ‚Dateiprüfprogramme“.

„Elektronische Geiseln“

Als wir im Dezember 2004 die ersten Exemplare verschiedener, mit einem unbekannten Programm verschlüsselter Dateien erhielten, konnten wir nicht ahnen, dass wir in einem halben Jahr Dutzende dieser Art pro Tag erhalten würden, wobei die Anzahl von Verschlüsselungsmethoden allein innerhalb einer Juniwoche das zweite Dutzend erreicht.

Das Programm Virus.Win32.Gpcode hat eine neue Seite in der Geschichte der Cyberkriminalität aufgeschlagen. Die neue Vorgehensweise der kriminellen Programmierer erinnert an eine Geiselnahme mit Lösegeldforderung. Die buchstäbliche Schwemme von Briefen betroffener Nutzer aus Russland und – zu einem relativ geringen Teil – auch aus dem Ausland zeugt von der Ausbreitung einer regelrechten Erpressungsepidemie im Internet.

Leider muss man auch zugeben, dass wir zurzeit keine klare Vorstellung von der Art des Eindringens der Schadprogramme in die betreffenden Systeme haben. Bei der erschreckenden Mehrheit der infizierten Systeme handelt es sich um Banken, verschiedene Finanz- und Werbeagenturen, große Unternehmen, Maklerbüros und andere Netzwerke mit großem Dokumentenumlauf. Unter den Betroffenen befinden sich praktisch keine privaten Nutzer. Ein derart gezieltes Vorgehen und die dabei eingesetzten Mittel ziehen zwangsläufig Aufmerksamkeit auf sich.

Leider müssen wir zugeben, dass wir zurzeit keine klare Vorstellung von der Art des Eindringens des Schadprogramms Virus.Win32.Gpcode in die betreffenden Systeme haben.

Möglicherweise wurden ausschließlich an die E-Mail-Adressen von Organisationen Spam-Mails versendet, allerdings wurden in den Mails der Betroffenen keinerlei Trojaner entdeckt. Einige der befallenen Rechner verfügen nicht einmal über ein Postfach. Denkbar wäre auch eine Variante, die eine Sicherheitslücke im Internet Explorer nutzt. In diesem Fall muss man allerdings auch annehmen, dass alle diese Organisationen ein und dieselbe verseuchte Site besucht haben, was wiederum auch nicht bestätigt werden konnte. Die geographische Lage der Betroffenen lässt keine Rückschlüsse auf einen lokalen Befall, z.B. innerhalb einer Stadt, zu. Außerdem macht die Vielzahl der Verschlüsselungsprogramme auch eine gemeinsame Infizierung all dieser Organisationen unwahrscheinlich. Die betroffenen Systeme wurden vielmehr alle zu unterschiedlichen Zeiten und von verschiedenen Quellen aus infiziert.

Bleibt nur noch die Variante der logischen Bombe, eines Speicherprogramms, das sich in eine spezifische Buchhaltungs- oder Bank-Software einbindet, welche von allen betroffenen Organisationen genutzt wird.

Ungeachtet dessen, dass sich ein Verschlüsselungsprogramm nach Beendigung seiner Tätigkeit selbst vernichtet, ist es uns gelungen, an einige Programmvarianten zu gelangen und eine genaue Vorstellung von ihrer Funktionsweise zu bekommen. Das Programm sucht nacheinander alle Rechnerverzeichnisse ab und verschlüsselt alle gefundenen Dokumentdateien verschiedener Formate, auch E-Mail-Datenbanken, nach einem besonderen Algorithmus. In jedem Verzeichnis mit verschlüsselten Dateien erscheint dann eine Datei readme.txt, in der die Täter eine E-Mail-Adresse zwecks Kontaktaufnahme hinterlassen. Gegen einen bestimmten Geldbetrag bieten sie, faktisch als Erpresser, die Entschlüsselung der Daten an. Die Textzeilen in den Nachrichten sowie die E-Mail-Adresse und einige andere für Russland spezifische Formate der verschlüsselten Dateien sprechen eindeutig für die russische Herkunft des Täters (oder der Tätergruppe).

Auch im Westen gab es Fälle von Dateiverseuchungen durch das genannte Programm. In diesen Fällen waren die Nachrichten in englischer Sprache verfasst. Das ist ein weiterer Beweis für eine deutliche Unterscheidung von Angriffen auf russische und ausländische Segmente – sowohl bezüglich des Zeitpunktes dieser Angriffe als auch bezüglich der Varianten der genutzten Programme.

Das Traurigste dabei ist, dass viele Nutzer mit den Tätern korrespondiert und ihnen offensichtlich die geforderten Summen gezahlt haben. Dadurch haben sie sich nicht nur selbst finanziell geschadet, sondern die Täter auch zur Erstellung neuer Verschlüsselungsvarianten und zu neuen Angriffen auf andere Nutzer ermuntert.

Wir rufen alle Spezialisten der zur ‚Risikogruppe“ gehörenden Organisationen auf, alle vorhandenen Systeme und Programme zwecks Aufdeckung ähnlicher Vorfälle sorgfältig zu überprüfen.

Wir sind der Meinung, dass ein solches Vorgehen nicht nur unzulässig und sogar kriminell, sondern auch durch nichts gerechtfertigt ist. Die von den Tätern verwendeten Algorithmen für die Verschlüsselung von Dateien sind nämlich überaus primitiv und lassen sich mit Hilfe eines Antivirenprogrammes zum Aufspüren und Reparieren leicht entschlüsseln. Alles, was von einem Nutzer verlangt wird, ist die Einsendung einer verschlüsselten Datei in ein Antivirenlabor zwecks Analyse. Leider ziehen es einige der Betroffenen vor zu zahlen und machen damit alle Bemühungen bezüglich der Unterhaltung eigener Sicherheitsdienste und der Ausgaben für Datensicherheit zunichte.

Doch so sieht die Realität aus. Die Experten haben bereits potenzielle Varianten der zukünftigen Entwicklung eingeschätzt und wenn die Justizorgane Russlands und anderer Länder, in denen es Fälle der Verschlüsselung von Dateien gab, die Machenschaften der genannten Erpressergruppe jetzt nicht streng und gewissenhaft unterbinden, dann werden in Zukunft noch kompliziertere Methoden zur Datenverschlüsselung und eine weitaus höhere Anzahl von ähnlichen Straftaten auf uns zukommen.

Wir rufen alle Spezialisten der zur „Risikogruppe“ gehörenden Organisationen auf, alle vorhandenen Systeme und Programme zwecks Aufdeckung ähnlicher Vorfälle sorgfältig zu überprüfen. Man sollte niemals die obligatorische und regelmäßige Kopie wichtiger Dateien vergessen, um sich so vor Datenverlust zu schützen, sollte eine Entschlüsselung unmöglich sein.

Politik und Viren

Virenprogramme, die politische Losungen zum Inhalt haben oder die das Programm eines Politikers bewerben, sind in der Virenszene bei weitem nichts Neues mehr. In den neunziger Jahren wurde die erschreckende Mehrzahl solcher Viren in Russland oder in anderen Ländern der ehemaligen Sowjetunion programmiert. Berücksichtigt man die politische Situation dieser Länder in jenen Jahren, ist das einfach zu erklären. Das allgemeine Interesse für Politik erfasste sowohl eine große Anzahl von Bürgern als auch von Virenprogrammierern. Politiker wurden durch Videoeffekte oder Gedichte sowohl angepriesen als auch verspottet.

Mit der Zeit verschwanden Viren dieser Art allmählich. Der letzte solcher Viren von Bedeutung war der E-Mail-Wurm Worm.Win32.Sexer im Oktober 2003. Er machte Wahlkampf für einen Kandidaten für das Bürgermeisteramt in Moskau und stellte seinen Betrieb nach den Wahlen wieder ein.

Die europäischen Virenprogrammierer hingegen haben ihren Viren bis vor kurzem noch keinen politischen Anstrich gegeben und beschränkten sich auf herkömmliche Programme ohne inhaltlichen Hintergrund. Die Situation hat sich vor kurzem geändert. Es wurden Viren entdeckt, die an verschiedene Staatsoberhäupter gerichtete Beleidigungen enthielten, wie z. B. der E-Mail-Wurm Worm.Win32.Blair, dessen Angriffsziel der britische Premierminister Tony Blair war. Einige Viren enthalten Angriffe auf den Präsidenten der USA, George Bush, andere schlachten das Thema Krieg im Irak aus.

Zweifellos ist der E-Mail-Wurm Win32.Sober ein Sonderfall. Die Gattung Sober existiert bereits seit anderthalb Jahren und in dieser Zeit wurden innerhalb der Gattung Varianten mit eindeutig politischem Inhalt festgestellt.

Im Mai 2005 erhielten Millionen von E-Mail-Nutzern in Westeuropa eine Mail mit rechtsradikalen Texten verschiedenen Inhalts. Diese Mails wurden von Rechnern abgeschickt, die vorher mit dem Wurm Sober.p oder genauer mit dem neueren Sober.q infiziert worden waren.

Im Mai 2005 erhielten Millionen von E-Mail-Nutzern in Westeuropa eine Mail mit rechtsradikalen Texten.

Der Programmierer des Wurmes hat seine Aktion sorgfältig geplant. Zuerst erfolgte Anfang Mai eine Infizierung mit Sober.p, der anschließend die neuere Variante (Sober.q) auf die betroffenen Rechner lud. Allem Anschein nach ist die Äußerung der eigenen politischen Meinung durch die Verbreitung schädlicher Programme und der Versendung von Mails mittels dieser Programme bisher noch eine individuelle Angelegenheit des Programmierers. Ein solches Vorgehen kann allerdings zu einer neuen Waffe für politische Bewegungen werden und ähnliche Viren könnten dann auf Bestellung programmiert werden.

Die andauernden Internetkriege in Asien zeugen bereits davon, dass die Politik zur Triebkraft künftiger Cyber-Bedrohungen werden kann. Der langjährige Krieg zwischen den indischen und den pakistanischen Hackern, in dessen Verlauf übrigens der berühmte Wurm Lentin (Yaha) entstand, dauert bis zum heutigen Tage an. In diesem Jahr entwickelte sich der noch aktuelle Konflikt zwischen China und Japan. Unruhen gibt es nicht nur auf der Straße, sondern auch im Internet. Chinesische Hacker haben eine Reihe von staatlichen Servern in Japan angegriffen. In der Folge wurden einige von ihnen gehackt und außer Betrieb gesetzt. Ähnliche Vorfälle gibt es auch zwischen China und Taiwan sowie in Südkorea.

In Russland kam es in den letzten Monaten ebenfalls zu verschiedenen Angriffen und Hackings auf Seiten politischer Organisationen, wobei in vielen Fällen die jeweiligen politischen Gegner die Verantwortung übernommen haben.

In Russland kam es in den letzten Monaten zu verschiedenen Angriffen und Hackings auf Seiten politischer Organisationen.

Die Weiterentwicklung solcher Tendenzen kann schlimme Folgen haben. Wir erinnern uns noch gut daran, wie im Zuge von Virusepidemien verschiedene staatliche Netzwerke lahm gelegt wurden (so konnte das State Department der USA keine Visa ausstellen, weil das System im Herbst 2003 vom dem Wurm Welchia befallen war). Allerdings waren diese Netzwerke zufällige Opfer, denn die Funktion des Wurmes war nicht direkt auf sie gerichtet.

Stellt man Parallelen her zwischen dem Eingangsthema dieser Ausführungen – den punktuellen Angriffen – her, dann werden wir etwas Ähnliches zu erwarten haben, jedoch mit Folgen, die einen direkten Einfluss auf das gesellschaftliche Leben verschiedener Länder haben könnten. Der Unterschied besteht darin, dass dort Finanzeinrichtungen bedroht wurden und die Straftäter finanzielle Vorteile zum Ziel hatten, während hier militärische und politische Organisationen angegriffen werden, um so mit Hilfe von Druck politische Vorteile zu erlangen.

Fortsetzung folgt

Wohin führt uns die Evolution der Malware im kommenden Quartal?

Die Analytiker bei Kaspersky Lab planen bereits die Fortsetzung des Zyklus der Quartalsanalysen. Die dritte Ausgabe wird die Ereignisse des Sommers und des Herbstbeginns 2005 unter die Lupe nehmen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.