> > > > Neuer Computervirus: MiniDuke spioniert in Europa und USA

Neuer Computervirus: MiniDuke spioniert in Europa und USA

Veröffentlicht am: von

virusStuxnet, dessen Machenschaften erst 2010 ans Licht kamen, hatte das Ziel, iranische Atomzentrifugen still zu legen und war wohl schon einige Jahre zuvor aktiv. Wie jetzt das ungarische Virenforschungslabor CrySys Lab und die russische Sicherheitsschmiede für Computersysteme Kaspersky herausgefunden haben, schwirrt seit einigen Monaten ein neues mysteriöses Spionageprogramm durch das Netz. Dieses Mal durch weite Teile Europas und den USA. Welches Ziel der auf "Miniduke" getaufte Trojaner hat bzw. hatte, ist nicht bekannt. Klar ist nur, er wurde gezielt auf Regierungsrechnern und Computern wissenschaftlicher Institutionen eingeschleust. Wonach die Software suchen musste, ist noch ein großes Geheimnis. Dass die unbekannten Hintermänner aber nicht mit klassischen Malware-Methoden Geld verdienen wollten, liegt auf der Hand. Vermutlich suchten sie gezielt nach Informationen, um diese dann im besten Fall zu verkaufen. Andernfalls hätten die Entwickler nicht einen solch großen Aufwand betrieben.

Der Trojaner nutzte eine sogenannte Zero-Day-Lücke in Adobes PDF-Software, welche erst kürzlich publik und geschlossen wurde. Solches Wissen ist in der Branche sehr viel Geld wert. Ob die Täter das Sicherheitsleck selbst entdecken, als sie vermutlich im Juni 2012 mit der Verteilung ihrer Schadsoftware begannen, oder viel Geld dafür bezahlt haben, ist nicht bekannt.

miniduke

Eingeschleust auf die 50 Rechner aus 23 verschiedenen Nationen, unter anderem in Belgien, Bulgarien, Tschechien, Deutschland, Irland, Türkei, Spanien und den USA sowie in Großbritannien, wurde "Miniduke" per E-Mail. Diese enthielt glaubwürdig formulierten Inhalt und Informationen im manipulierten PDF-Anhang über die Menschenrechtspolitik in der Ukraine und Pläne der Nato. Nach Öffnen dieser PDF-Dokumente wurde der Rechner infiziert. Das Backdoor-Programm des Trojaners lud gerade einmal 22 KB an zusätzlichen Code von kompromittierten Servern herunter. Das eigentliche Programm wurde in der Programmiersprache Assembler geschrieben. Eine Sprache, die schon seit Jahren nicht mehr zum Einsatz kommt, schwer zu erlernen und vor allem sehr fehleranfällig ist. Vermutlich war hier ein älterer, erfahrener Programmierer am Werk.

Jeder Infizierte Rechner wurde dann mittels des Dienstes GeoIP lokalisiert und mit einer eindeutigen ID versehen, anhand derer die Kontrollserver den Rechner wiedererkennen konnten. Die Kommunikation lief verschlüsselt ab. Für den Fall, dass die Kommunikation zu den Kontrollservern abbrechen sollte, gab es ein Fallback. Dann wurde auf Google und Twitter ausgewichen. Dabei wurde über Google nach verschlüsselten Feed-Kommandos in gestohlenen Twitter-Konten gesucht.

Die Urheber des kleinen Dukes sind nicht bekannt. Im Quelltext findet sich allerdings sich allerdings die Zahlenfolge "666" - vermutlich der Codename der Malwareschreiber im hexdezimalen Zahlensystem.

Social Links

Kommentare (7)

#1
customavatars/avatar88884_1.gif
Registriert seit: 07.04.2008

Modaretor
Luxus Luxxer
Hardware Hans-Peter
Beiträge: 28374
was war die Welt noch ohne Internet... :D
#2
customavatars/avatar177807_1.gif
Registriert seit: 30.07.2012
Kernen
Oberleutnant zur See
Beiträge: 1314
Zitat matti30;20263440
was war die Welt noch ohne Internet... :D


Voll mit Spionage Agenten die im Solid Snake Style unter Kartons andere belauschen. :D
#3
customavatars/avatar131975_1.gif
Registriert seit: 24.03.2010
Freistaat Sachsen
Leutnant zur See
Beiträge: 1136
Der Programmierer hat sich ja richtig Mühe gegeben. heutzutage schreibt doch sonst keinr mehr nen Virus in Assembler, obwohl man da sehr kompakten Code erzeugen kann, der auch extrem schnell ist.
#4
Registriert seit: 04.05.2006

Bootsmann
Beiträge: 634
Mag sein dass im HL Bereich Assembler nicht mehr sooooo häufg vorkommt, aber in meiner Branche ist es täglich Brot und auch gar nicht wirklich schwer zu beherrschen.

Finde die Wortwahl dementsprechend schlecht gewählt.
#5
Registriert seit: 13.02.2006
Koblenz
Admiral
Beiträge: 10353
Viren nicht unbedigt, aber wenn der Code sehr schnell sein soll, dann wird tatsächlich noch Assembler in "normale" Programme eingebettet.

Ein gutes (virenfreies) Beispiel dafür ist LAME, der MP3 Encoder. Die Jungs setzen immer mal wieder Teile des Codes in Assembler um.

Komplett in Assebler zu coden zeugt aber von viel Erfahrung und Wissen.
Das kann nicht jeder Programmierer. :)
#6
customavatars/avatar99554_1.gif
Registriert seit: 28.09.2008

Flottillenadmiral
Beiträge: 4957
Weiß jetzt aber nicht, warum da jetzt eine News daraus gemacht wird? Gibt Milliardne Viren im Internet, und mindestens 100 mehr die genau das was der hier macht und wahrscheinlich sogar besser.
Man muss ja nur in Betracht ziehen, dass der größte Krieg unter den Nationen heutzutage Virtuell stattfindet. Da werden die Rechner anderer Nationen rund um die Uhr mit Hacks, Viren usw. beballert^^
#7
customavatars/avatar116788_1.gif
Registriert seit: 20.07.2009

Bootsmann
Beiträge: 677
Assembler is the real shit.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

TomsHardware.de muss seine Pforten schließen (Update)

Logo von IMAGES/STORIES/2017/THG

Eine der bekanntesten deutschen IT-Seiten TomsHardware.de wird abgeschaltet. Damit geht eine Ära zu Ende, denn die 1996 noch unter einem anderen Namen gestartete Webseite gehört sicherlich zu den Größen in diesem Bereich. Der genaue Termin für die Abschaltung der Server steht noch nicht... [mehr]

Interstellar: Hunderte CPUs berechnen schwarzes Loch

Logo von IMAGES/STORIES/2017/SCHWARZES-LOCH

Der Film Interstellar aus dem Jahre 2014 zeichnete sich vor allem durch eine möglichst realistische Darstellung und Simulation eines schwarzen Loches aus. Christopher und Jonathan Nolan schrieben das Drehbuch und zeichneten sich auch für die filmische Umsetzung verantwortlich. Der... [mehr]

Ende des Mining-Booms: Absätze bei den Grafikkarten brechen um bis zu 80 % ein...

Logo von IMAGES/STORIES/2017/BITCOIN

Investoren und Analysten mahnen seit Monaten vor einem Einbruch am Grafikkarten-Markt, doch bisher hat sich dies in den Absatz- und Umsatzzahlen der Hersteller noch nicht wirklich gezeigt. Nun mehren sich aber die Zeichen aus Asien, dass es ab März/April einen erheblich Einbruch bei den... [mehr]

NVIDIA intern: Begehrtestes Produkt ist ein Lineal

Logo von IMAGES/STORIES/2017/NVIDIA

Zwischen den Jahren einmal etwas Kurioses: Größere Unternehmen bieten ihren Mitarbeitern oftmals in internen Shops bestimmte Produkte an. T-Shirt und Kaffeetasse sind hier nur die einfachsten Beispiele. NVIDIA verkauft alle eigenen Produkte natürlich auch an die eigenen Mitarbeiter. Dazu... [mehr]

NVIDIA stellt das GeForce Partner Programm ein

Logo von IMAGES/STORIES/2017/NVIDIA

Das NVIDIA GeForce Partner Programm oder kurz GPP sollte Anreize für Boardpartner und letztendlich auch den Käufer einer Grafikkarte schaffen. Doch ein möglicher unerlaubter Wettbewerbsvorteil warf ein eher schlechtes Licht auf das Programm. Nun hat NVIDIA das Programm offiziell eingestellt. Als... [mehr]

Vodafone schaltet erste Gigabit-Anschlüsse über Kabel für 20 Euro

Logo von IMAGES/STORIES/2017/VODAFONE_LOGO

Vodafone versorgt ab sofort die ersten Kunden mit einer Geschwindigkeit von bis zu 1 Gbit/s. Das Unternehmen hat hierfür stellenweise sein Kabelnetz auf DOCSIS 3.1 umgerüstet und kann aktuell 400.000 Haushalte mit der schnellen Geschwindigkeit versorgen. Zu den ersten Städten mit der schnellen... [mehr]