In 20 Ländern
Neue Spionage-Software “MiniDuke” entdeckt
Das Spionageprogramm, das immer noch aktiv und im Umlauf ist, nutzt eine Sicherheitslücke im Programm Adobe Reader aus, das zum Lesen von PDF-Dokumenten verwendet wird. Adobe hatte zwar schon Aktualisierungen veröffentlicht, mit denen die Lücke geschlossen werden kann. Allerdings hatten die Opfer die Updates noch nicht installiert. Das Schadprogramm verbinde auf ungewöhnliche Art Programmiertechniken aus den 90er-Jahren mit aktuellen Technologien, sagte der Sicherheitsexperte.
Demnach wird ein sehr kleiner Downloader von lediglich 20 Kilobyte Größe auf der Festplatte des Opfers platziert. Der Downloader ist für jedes System einmalig und enthält eine spezielle Hintertür. Beim Hochfahren des Systems ermittelt der Downloader mittels mathematischer Verfahren einen einmaligen Fingerabdruck des angegriffenen Computersystems und verwendet diese Daten auch zur späteren Verschlüsselung, erläuterte Kaspersky.
Seine Programmierung wehre überdies Analysewerkzeuge bestimmter Umgebungen wie etwa VMware ab. Sobald die Software einen Analyseversuch bemerke, stelle sie ihre Aktivitäten ein, um keine Möglichkeit der Entschlüsselung zu geben. Dies sei ein Zeichen dafür, dass die Malware-Schreiber das Vorgehen von IT-Sicherheitsspezialisten genau kennen, teilte das Unternehmen mit.
Über Twitter zum Ziel
Sofern der Zielrechner bestimmten vordefinierten Bedingungen genüge, starte die Malware ohne Wissen des Anwenders die Suche nach speziellen Tweets (Bild) von voreingerichteten Twitter-Konten. Die Kurzbotschaften enthielten besondere Schlagworte (Tags) zu verschlüsselten URLs. Mittels dieser URLs öffne sich die Hintertür zu Kontrollservern, die dann Befehle und zusätzlichen verschlüsselten Code via GIF-Bilddateien an den Zielrechner übermittelten.
Falls Twitter beziehungsweise eines der Twitter-Konten nicht funktioniere, sei die Malware auch in der Lage, die Google-Suche zum Auffinden der verschlüsselten Zeichenketten mit einer URL zum nächsten Kontrollserver einzusetzen. Auf diese Weise könne die Malware ständig die Methoden ändern und etwa dem Trojaner auf dem Zielrechner weitere Befehle erteilen oder zusätzlichen böswilligen Code nachladen.
Regierungseinrichtungen ausspioniert
Zu den Opfern gehörten Kaspersky zufolge Regierungseinrichtungen in Belgien, Irland, Portugal, der Ukraine, Rumänien sowie in der Tschechischen Republik. Außerdem sei eine Krankenversicherung in den USA und eine bekannte Forschungseinrichtung in Ungarn betroffen gewesen. Auch bei der "Operation Roter Oktober" wurden Computer von Regierungsorganisationen ausgespäht.
Software aktualisieren
Kamluk empfiehlt, insbesondere häufig genutzte Programme wie den Adobe Reader, Flash oder die Office-Programme von Microsoft umgehend zu aktualisieren, sobald es von den Herstellern Updates gibt. Häufig ließen die Nutzer zu viel Zeit verstreichen, um bekannte Sicherheitslücken zu schließen. Außerdem sei der Einsatz eines wirkungsvollen Virenschutzprogramms unverzichtbar.
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.