Schadprogramme findet man normalerweise als Datei auf der Festplatte des Computers. Antivirenprogramme scannen deshalb genau diese Bereiche ab. Sie finden auch bislang noch nicht bekannte Schadprogramme, weil sie Abweichungen von der Norm genauer analysieren. Nun hat es ein Schadprogramm geschafft, sich in anderen Computerbereichen als kurzer, unauffälliger Programmcode zu verstecken. Von hier aus missbraucht es bereits vorhandene Programme für seine Arbeit. Bei diesen legalen Programmen handelt es sich um sogenannte Penetrations-Tests – kurz: Pentests, wie Christian Funk, Leiter der deutschen Forschungsabteilung von Kaspersky Lab, berichtet. Das Internetsicherheitsunternehmen hatte das Schadprogramm entdeckt.
Ein Pentest ist ein Selbsttest einer Firma, um herauszufinden: Wie sicher sind die eigenen Systeme? Wie sicher die eigene Infrastruktur? Das heißt, diese Programme sind weit verbreitet, nichts Besonderes und werden daher erstmal nicht als Schadsoftware erkannt.
Und obwohl diese Programme nicht als Schadsoftware erkannt werden, ist ihre Spezialität genau das: Bei den Pentests versuchen sie, das eigene Computersystem beispielsweise einer Firma anzugreifen und auszuprobieren, wo Sicherheitslücken vorhanden sind. Solange das Ergebnis dieser Simulation nur den Programmierern der Firma mitgeteilt wird, ist das kein Problem. Dafür sind sie diese Programme da. In diesem Fall aber wissen die Programmierer der Firma nichts davon, denn das Schadprogramm hat die Simulation unbemerkt gestartet und die Schwachstellen und Hintereingänge an unbekannte Stellen außerhalb der Firma weitergeleitet. Besonders trickreich geht es dann weiter: Das Schadprogramm versteckt sich als kurzer Programmcode im Hauptspeicher des Computers – und ist deshalb kaum zu entdecken, wie Christian Funk schildert:
Der Hauptspeicher ist flüchtig, das heißt: Wenn dieser Rechner abgeschaltet wird, dann geht auch der Inhalt dieses Hauptspeichers flöten. Und ich stehe im Prinzip erst einmal mit leeren Händen da und kann auch nicht sehen, was denn überhaupt auf diesem Rechner passiert ist.
Sobald der Rechner wieder hochfährt, kann der Eindringling sich erneut auf den Computer schummeln. Diesmal dann allerdings richtig heftig, denn nun nutzt er die beim Test entdeckten Hintereingänge. Dadurch ist der Computer von außen vollständig steuerbar. Sicherheitsrelevante Daten, wie Passwörter, Kontozugänge und anderes können ausgespäht werden. Christian Funk:
Wir bei Kasperky Lab haben eine Reihe von Angriffen festgestellt: 140 Stück weltweit.
Insgesamt seien demnach 40 Staaten betroffen, darunter auch Deutschland und Österreich. Details gibt das Unternehmen aus Datenschutzgründen nicht bekannt. Hauptsächlich treffe der Schadcode Banken, Telekommunikationsunternehmen und Regierungsorganisationen. Die Angreifer sind weiterhin aktiv, weil die Spur aufgrund des trickreichen Schadprogramms noch nicht zurückverfolgt werden konnte. Wer sich vor diesem Angriff schützen will, braucht Antivirenprogramme, die nicht nur die Festplatte absuchen, sondern den gesamten Rechner und das Netzwerk.
