06.03.2015, 11:31 Uhr | 0 |

SPIONAGE-SOFTWARE CASPER Cyber-Angriff auf syrische Bürger entdeckt

Nach „Babar“ und „Bunny“ haben Experten eine neue Schadsoftware entdeckt, die ebenfalls nach einer Comicfigur benannt ist und aus derselben Quelle stammen könnte. Nach Erkenntnissen des IT-Sicherheitsunternehmens ESET wird die Malware „Casper“ im syrischen Bürgerkrieg eingesetzt.

Empfang ESET-Hauptquartier in Bratislava
Á

Empfang ESET-Hauptquartier in Bratislava:Der weltweite Anbieter von IT-Sicherheitslösungen für Unternehmen und Privatanwender hat eine Schadsoftware entdeckt, die im syrischen Bürgerkrieg eingesetzt wird. 

Foto: ESET

Vor knapp einem Jahr hat Casper erstmals Internetnutzer in Syrien angegriffen, sagen die Experten von ESET. Dafür sei ein Einfallstor in Adobe Flash genutzt worden, das ausgerechnet auf einer Webseite der syrischen Regierung gehostet wurde. Diese Seite war eingerichtet worden für Bürger, die sich über Möglichkeiten zum Schadenersatz für Verluste durch den Bürgerkrieg informieren wollten. „Bei Casper handelt es sich um ein hochentwickeltes Aufklärungs-Tool, das sehr darum bemüht ist, auf der angegriffenen Maschine unentdeckt zu bleiben. Besonders interessant sind die Strategien, die speziell gegen Antiviren-Programme angewendet werden“, heißt es bei ESET.

Die Qualität der Spionage-Software ist so gut, dass der Verdacht auf hochprofessionelle, technisch und finanziell bestens ausgestattete Hersteller naheliegt. Gemeinsam mit anderen Spezialisten habe man nun ermittelt, dass Casper „mit hoher Wahrscheinlichkeit von den Akteuren entwickelt wurde, die auch für Babar und Bunny verantwortlich sind“.

Ausgefuchste Strategie gegen Schutzprogramme

Geradezu anerkennend sprechen die ESET-Experten von der Strategie, mit der Casper Hürden umgehe: „Casper spielt Schach mit Anti-Viren-Programmen.“ Der so genannte Dropper, also das Trägerprogramm für den einzuschleusenden Virus, frage zunächst alle Anti-Viren-Programme ab, die sich auf dem Gerät befinden könnten. Für vier gängige Schutzprogramme könne er dann eine jeweils individuell angelegte Strategie einsetzen, um sie auszuhebeln.

Casper habe möglicherweise viele Nutzer von der legalen Webseite der syrischen Regierung umgeleitet. Ebenso gut könnte die Malware aber auch über einen Link in E-Mails auf die betroffenen Rechner gelangt und mit der Regierungsseite verbunden worden sein, um den Verdacht auf ebendiese zu lenken.

Verdacht: Französischer Geheimdienst könnte Quelle sein

„Da sind professionelle Leute am Werk, die im Bereich der Spionage keine Anfänger sind“, heißt es bei ESET. Man habe aber in Casper selbst keine Beweise gefunden, die auf ein bestimmtes Land verweisen: „Insbesondere wurden in den Binärprogrammen keine Hinweise gefunden, die für eine französische Herkunft sprechen.“

epa04643599 Syrian troops deploy near the town of Hmreet, in the southern province of Daraa, Syria, 01 March 2015. According to media reports, the Syrian Arab Army has established full control over the al-Habaria, Khurbet Sultana, Hamreet and Tal Qurein areas in the northwestern countryside of Daraa, killing a number of fighters from Jabhat al-Nusra (JAN) and destroying their weaponry, as the four and a half year old civil war, which has claimed the lives of some 200'000 and forced millions of others to flee their homes, continues. EPA/STR +++(c) dpa - Bildfunk+++
Á

Syrische Armee: Seit Anfang 2011 herrscht in Syrien Bürgerkrieg.

Foto: Str/dpa

Trotzdem steht der Verdacht im Raum, dass der französische Geheimdienst auch diese neue Spionage-Software entwickelt hat. „Babar“ jedenfalls stammte nach Dokumenten des kanadischen Geheimdienstes CSEC, die der Spiegel kürzlich veröffentlichte und die vom NSA-Whistleblower Edward Snowden stammen, eindeutig aus dieser Quelle. Welcher Zweck damit im syrischen Bürgerkrieg genau verfolgt wird, darüber gibt es keine Informationen.

Anzeige
Von Werner Grosch
Zur StartseiteZur Startseite
schlagworte: 
kommentare

Aktuell wurden noch keine Kommentare zu diesem Artikel abgegeben. Loggen Sie ich ein oder melden Sie sich neu an, wenn Sie noch keine Zugangsdaten haben
> Zum Login     > Neu anmelden