> > > > Neuer Computervirus: MiniDuke spioniert in Europa und USA

Neuer Computervirus: MiniDuke spioniert in Europa und USA

Veröffentlicht am: von

virusStuxnet, dessen Machenschaften erst 2010 ans Licht kamen, hatte das Ziel, iranische Atomzentrifugen still zu legen und war wohl schon einige Jahre zuvor aktiv. Wie jetzt das ungarische Virenforschungslabor CrySys Lab und die russische Sicherheitsschmiede für Computersysteme Kaspersky herausgefunden haben, schwirrt seit einigen Monaten ein neues mysteriöses Spionageprogramm durch das Netz. Dieses Mal durch weite Teile Europas und den USA. Welches Ziel der auf "Miniduke" getaufte Trojaner hat bzw. hatte, ist nicht bekannt. Klar ist nur, er wurde gezielt auf Regierungsrechnern und Computern wissenschaftlicher Institutionen eingeschleust. Wonach die Software suchen musste, ist noch ein großes Geheimnis. Dass die unbekannten Hintermänner aber nicht mit klassischen Malware-Methoden Geld verdienen wollten, liegt auf der Hand. Vermutlich suchten sie gezielt nach Informationen, um diese dann im besten Fall zu verkaufen. Andernfalls hätten die Entwickler nicht einen solch großen Aufwand betrieben.

Der Trojaner nutzte eine sogenannte Zero-Day-Lücke in Adobes PDF-Software, welche erst kürzlich publik und geschlossen wurde. Solches Wissen ist in der Branche sehr viel Geld wert. Ob die Täter das Sicherheitsleck selbst entdecken, als sie vermutlich im Juni 2012 mit der Verteilung ihrer Schadsoftware begannen, oder viel Geld dafür bezahlt haben, ist nicht bekannt.

miniduke

Eingeschleust auf die 50 Rechner aus 23 verschiedenen Nationen, unter anderem in Belgien, Bulgarien, Tschechien, Deutschland, Irland, Türkei, Spanien und den USA sowie in Großbritannien, wurde "Miniduke" per E-Mail. Diese enthielt glaubwürdig formulierten Inhalt und Informationen im manipulierten PDF-Anhang über die Menschenrechtspolitik in der Ukraine und Pläne der Nato. Nach Öffnen dieser PDF-Dokumente wurde der Rechner infiziert. Das Backdoor-Programm des Trojaners lud gerade einmal 22 KB an zusätzlichen Code von kompromittierten Servern herunter. Das eigentliche Programm wurde in der Programmiersprache Assembler geschrieben. Eine Sprache, die schon seit Jahren nicht mehr zum Einsatz kommt, schwer zu erlernen und vor allem sehr fehleranfällig ist. Vermutlich war hier ein älterer, erfahrener Programmierer am Werk.

Jeder Infizierte Rechner wurde dann mittels des Dienstes GeoIP lokalisiert und mit einer eindeutigen ID versehen, anhand derer die Kontrollserver den Rechner wiedererkennen konnten. Die Kommunikation lief verschlüsselt ab. Für den Fall, dass die Kommunikation zu den Kontrollservern abbrechen sollte, gab es ein Fallback. Dann wurde auf Google und Twitter ausgewichen. Dabei wurde über Google nach verschlüsselten Feed-Kommandos in gestohlenen Twitter-Konten gesucht.

Die Urheber des kleinen Dukes sind nicht bekannt. Im Quelltext findet sich allerdings sich allerdings die Zahlenfolge "666" - vermutlich der Codename der Malwareschreiber im hexdezimalen Zahlensystem.

Social Links

Kommentare (7)

#1
customavatars/avatar88884_1.gif
Registriert seit: 07.04.2008

Modaretor
Luxus Luxxer
Hardware Hans-Peter
Beiträge: 26451
was war die Welt noch ohne Internet... :D
#2
customavatars/avatar177807_1.gif
Registriert seit: 30.07.2012
Kernen
Oberleutnant zur See
Beiträge: 1314
Zitat matti30;20263440
was war die Welt noch ohne Internet... :D


Voll mit Spionage Agenten die im Solid Snake Style unter Kartons andere belauschen. :D
#3
customavatars/avatar131975_1.gif
Registriert seit: 24.03.2010
Freistaat Sachsen
Leutnant zur See
Beiträge: 1078
Der Programmierer hat sich ja richtig Mühe gegeben. heutzutage schreibt doch sonst keinr mehr nen Virus in Assembler, obwohl man da sehr kompakten Code erzeugen kann, der auch extrem schnell ist.
#4
Registriert seit: 04.05.2006

Bootsmann
Beiträge: 634
Mag sein dass im HL Bereich Assembler nicht mehr sooooo häufg vorkommt, aber in meiner Branche ist es täglich Brot und auch gar nicht wirklich schwer zu beherrschen.

Finde die Wortwahl dementsprechend schlecht gewählt.
#5
Registriert seit: 13.02.2006
Koblenz
Vizeadmiral
Beiträge: 7678
Viren nicht unbedigt, aber wenn der Code sehr schnell sein soll, dann wird tatsächlich noch Assembler in "normale" Programme eingebettet.

Ein gutes (virenfreies) Beispiel dafür ist LAME, der MP3 Encoder. Die Jungs setzen immer mal wieder Teile des Codes in Assembler um.

Komplett in Assebler zu coden zeugt aber von viel Erfahrung und Wissen.
Das kann nicht jeder Programmierer. :)
#6
customavatars/avatar99554_1.gif
Registriert seit: 28.09.2008

Flottillenadmiral
Beiträge: 4810
Weiß jetzt aber nicht, warum da jetzt eine News daraus gemacht wird? Gibt Milliardne Viren im Internet, und mindestens 100 mehr die genau das was der hier macht und wahrscheinlich sogar besser.
Man muss ja nur in Betracht ziehen, dass der größte Krieg unter den Nationen heutzutage Virtuell stattfindet. Da werden die Rechner anderer Nationen rund um die Uhr mit Hacks, Viren usw. beballert^^
#7
customavatars/avatar116788_1.gif
Registriert seit: 20.07.2009

Bootsmann
Beiträge: 669
Assembler is the real shit.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Lohnt das Mining für den Privatanwender noch?

Logo von IMAGES/STORIES/2017/ETHEREUM

Bestimmte Grafikkartenmodelle sind schlecht verfügbar und einige Hersteller präsentieren sogar spezielle Mining-Modelle – bestes Anzeichen dafür, dass eine neue Mining-Welle anrollt. Ethereum basiert wie Bitcoins auf einer Blockchain-Technologie. Ethereum ist aber keine reine Kryptowährung,... [mehr]

Deutschen Bahn trainiert Mitarbeiter in der virtuellen Realität

Logo von IMAGES/STORIES/2017/DEUTSCHE_BAHN

Nicht nur das autonome Fahren auf der Straße spielt auf der GPU Technology Conference in München eine Rolle, auch die Deutsche Bahn hielt einen Vortrag, der sich mit dem Training von Mitarbeitern in einer virtuellen Umgebung befasste. Autonome Züge spielten jedenfalls keine Rolle, auch wenn in... [mehr]

Bitcoin droht der Hard Fork – Ethereum weiter auf niedrigem Kurs

Logo von IMAGES/STORIES/2017/ETHEREUM

Bereits in der vergangenen Woche deuteten sich einige Änderungen bei den Kryptowährungen an. Nach einem wochenlangen Hoch brach der Kurs des Ether auf weit unter 200 US-Dollar ein. Die Gründe dafür sind nicht immer ersichtlich. Oftmals gibt es auch Wechselwirkungen zwischen den einzelnen... [mehr]

AMD mit guten Quartalszahlen – Vega und Naples für Q2 bestätigt (Update)

Logo von IMAGES/STORIES/2017/AMD

AMD hat die ersten Quartalszahlen veröffentlicht, die nach dem Verkaufsstart der RYZEN-Prozessoren zusammengestellt wurden. Darin zeichnet das Unternehmen einen deutlichen Anstieg beim Umsatz aus, muss bisher aber noch auf Gewinne verzichten. Weitaus wichtiger aber ist, dass AMD in seinen... [mehr]

Epyc und Vega: AMD packt ein PFLOP pro Sekunde in ein Serverrack

Logo von IMAGES/STORIES/2017/AMD-PROJECT47

AMD hat mit den Eypc-Serverprozessoren und Radeon-Instinct-GPU-Beschleunigern zwei sicherlich potente Hardwarekomponenten vorgestellt, die teilweise auch schon im Handel verfügbar sind oder in den kommenden Wochen und Monaten auf den Markt kommen werden. Mit den Epyc-Prozessoren greift AMD den... [mehr]

Apple Pay weiterhin nicht in Deutschland vorgesehen

Logo von IMAGES/STORIES/2017/APPLE_PAY

Apple Pay ist das drahtlose Bezahlsystem des iPhone-, iPad- und Mac-Herstellers, welches am 20. Oktober 2014 startet, bisher aber noch immer nicht den Weg nach Deutschland gefunden hat. Inzwischen hat Apple für viele Nachbarländer Apple Pay bereits eingeführt, Deutschland aber ist nach wie vor... [mehr]