MDR INFO, 28.02.13
–> Beitrag anhören
In der letzten Woche ist in vielen Ländern der Welt ein Schadprogamm via Internet verschickt worden, welches in James-Bond-Manier gezielt geheime und brisante Informationen aus Regierungskreisen herausgeschleust hat. Betroffen waren unter anderem Belgien, Irland, Portugal, Rumänien, die Tschechische Republik und die Ukraine.
So intelligent und so gezielt ist wohl selten ein Schadprogramm im Internet unterwegs gewesen: „MiniDuke“ – der kleine Herzog – heißt der Trojaner und taucht in PDF-Dateien auf, die offenbar nur an hochrangige Personen in Regierungsfunktionen verschickt wurden. Die Anti-Virenfirma Kaspersky Lab hat den programmierten Spion entdeckt und analysiert. Der Leiter des deutschen Forschungslabors, Marco Preuß, spricht ganz militärisch von Zielen.
Die PDFs sind natürlich dementsprechend erstellt, dass die dann auch von den Zielen aufgemacht werden, das heißt, dass sind beispielsweise NATO-Mitgliedschafts-Pläne, auswärtige politische Informationsdokumente, die dort eben benutzt werden, um eben genau auf diese Ziele passend zu sein.
Somit sind Empfänger und Inhalt der PDF-Dokumente aufeinander auf das genauestens abgestimmt. Was die Empfänger allerdings nicht ahnen: Im Dokument ist ein kleines Programm versteckt. „MiniDuke“ nutzt eine über 20 Jahre alte Programmiersprache, die nicht mehr üblich ist und vor allem wenig Platz beansprucht. Das Programm aktiviert dann moderne Dienste wie Twitter oder Google, um Befehle entgegen zu nehmen und Informationen abzugeben. Für Marco Preuß ist dies eine sehr ungewöhnliche Kombination:
Mit Wissen aus der Vergangenheit effizient aktuelle Technologien ausnutztend.
Doch so alt die Programmiersprache – für Experten: Assembler – auch ist, das Programm selbst geht raffiniert vor. So kann „MiniDuke“ sich sogar ganz still verhalten, wenn Gefahr droht, schildert Marco Preuß von Kaspersky Lab.
Beispielsweise hat er auch Technologien, die erkennen, ob irgendwelche Analysewerkzeuge auf dem System laufen und macht dann einfach nichts mehr.
Wenn keine Gefahr droht, kann das Programm von außen Befehle entgegennehmen, aber auch beliebige Dokumente und Informationen vom Computer lesen und nach außen verschicken. Möglich wird das, weil das Schadprogramm den internen Fingerabdruck des infizierten Computers kopiert und sich so selbst als Teil des Computers ausgibt. James Bond lässt grüßen.
Woher das Programm stammt, steht nicht fest. Aber für Kommunikationszwecke werden unter anderem Server in Panama und der Türkei genutzt. Aber es gibt offenbar noch andere Wege, denn das Programm arbeitet weiter. Eine Infizierung durch „MiniDuke“ lässt sich nur durch die neueste Version des PDF-Leseprogramms werhindern.
–> weiter Details zu „MiniDuke“
