Carberp geht unter die Leute

Der Quellcode des trojanischen Programms Carberp, der einen geschätzten Schwarzmarktwertvon 40.000 Dollar hat, ist ins Netz durchgesickertund nun allen und jedem zugänglich. Ein analoger Fallhat sich vor einigen Jahren mit dem Toolkit von ZeuS zugetragen, und Experten für Internet-Sicherheit befürchten nun, dass das aktuelle Leck – wie beim letzten Mal – eine wahre Flut neuer Trojaner und fertiger Schädlingssammlungen zur Durchführung von Cyberattacken nach sich ziehen wird.

Der Ausgangscode von Carberp erschien Mitte Juni online, und Ermittler stellten daraufhin fest, dass das eine Binärdatei enthaltende zip-Archiv Passwort geschützt ist. Nach einigen Tagen wurde das Passwort ebenfalls im Netz veröffentlicht, und der Quellcode war nun nicht mehr allein den Experten, sondern jedem zugänglich, der sich die Mühe machte, nach ihm zu suchen. Während fast der gesamten Zeit seiner Existenz war Carberp das private Werkzeug einer russischen Verbrechergruppe. Im Jahr 2012 wurden mehrere mutmaßliche Mitglieder dieser Bande festgenommen, woraufhin einige Monate später eine kommerzielle Version des Trojaners auf dem Schwarzmarkt auftauchte, die zu dem stolzen Preis von 40.000 Dollar zum Verkauf angeboten wurde.

Das neue kommerzielle Toolkit war nicht für jedermann erschwinglich, und bis vor kurzem hatte lediglich die „Creme de la Creme“ der Netzkriminalität Zugriff auf dieses schädliche Werkzeug. Nun, da der Quellcode von Carberp öffentliches Allgemeingut geworden ist, kann sich die Situation schnell ändern. Der Schädling hilft seinen Herren, Unmengen von privaten Daten von den infizierten Computern zu stehlen. Carberp verfügt über ein breites Spektrum von Plug-Ins, er ist in der Lage Schutzsysteme zu blockieren und Konkurrenten auf dem Rechner aufzuspüren und zu löschen. Zudem verwenden die neusten Versionen des Trojaners Bootkit-Technologie (MBR-Rootkit), was es ihnen ermöglicht, PCs mit minimalen Privilegien zu infizieren und ihre Anwesenheit im System nachhaltig zu sichern.

Die Experten des dänischen Unternehmens CSIS Security Group führen eine Analysedes veröffentlichten Carberp-Codes durch. “Der uns zur Verfügung stehende Komplex umfasst neben dem Bootkit Carberp auch andere Quellcodes, die mit Stone bootkit, Citadel, Ursnif und anderen in Verbindung gebracht werden.“, kommentiert Peter Kruse, Chef der Abteilung von CSIS, die für die Untersuchung hochtechnologischer Verbrechen verantwortlich ist. „Der Code wird gegenwärtig sorgfältig untersucht. Wir haben auch einige Textdateien gefunden, die allem Anschein nach Aufzeichnungen privater Chats und eine Reihe von Anwendernamen sowie Passwörter zu mehreren FTP-Servern enthalten. Diese Daten müssen ebenfalls untersucht werden.“

„Wie auch bei der Veröffentlichung des ZeuS-Quellcodes im Mai 2011“, fährt Kruse fort, „haben Cyberkriminellen nun alle Chancen, Modifikationen und Erweiterungen der Funktionalität des Toolkits umzusetzen. Eine solche Situation haben wir im Jahr 2011 vorhergesagt, und sie hat eine Flut von neuen kommerziellen Toolkits hervorgebracht, wie etwa IceIX und Citadel, die bis zum heutigen Tag bei Cyberattacken eingesetzt werden.“

Ob das aktuelle Datenleck demselben Szenario folgt, wird die Zukunft zeigen, doch so oder so ist die Veröffentlichung des Carberp-Quellcodes eine schlechte Nachricht für die Internet-Community. Dieses Ereignis könnte die Zahl der Nutzer dieses Trojaners vervielfachen, ebenso wie das Spektrum der potentiellen Opfer. Trotz allem hat eine solche Situation auch ihre Vorteile: Die Virenanalysten haben eine zusätzliche Möglichkeit erhalten, Carberp und seinen Aufbau besser zu erforschen, und folglich einen effektiveren Schutz gegen diesen gefährlichen Schädling zu entwickeln.

In seinem Schreiben an Threatpost erklärt Kruse, dass es sich seiner Meinung nach bei dem im Netz hinterlegten Quellcode von Carberp um das Original handelt. „Es scheint, als hätten wir es mit einem vollwertigen Quellcode zu tun, es ist allerdings nicht möglich, auf den ersten Blick die Aktualität oder das Vorhandenseins eines Backdoors festzustellen. EinevollständigeAnalysebrauchtihreZeit. Wie auch immer, der Code, den wir getestet haben, wird hervorragend kompiliert und funktioniert reibungslos, doch bei diesem Umfang und dieser Komplexität muss man auf eine vollständige Analyse des Quellcodes eine Unmenge Zeit verwenden – selbst wenn die Fachleute auf diesem Gebiet überaus bewandert sind.“, schreibt der dänische Experte.

Quellen: Trusteer 
  CSIS

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.