> > > > Neuer Computervirus: MiniDuke spioniert in Europa und USA

Neuer Computervirus: MiniDuke spioniert in Europa und USA

Veröffentlicht am: von

virusStuxnet, dessen Machenschaften erst 2010 ans Licht kamen, hatte das Ziel, iranische Atomzentrifugen still zu legen und war wohl schon einige Jahre zuvor aktiv. Wie jetzt das ungarische Virenforschungslabor CrySys Lab und die russische Sicherheitsschmiede für Computersysteme Kaspersky herausgefunden haben, schwirrt seit einigen Monaten ein neues mysteriöses Spionageprogramm durch das Netz. Dieses Mal durch weite Teile Europas und den USA. Welches Ziel der auf "Miniduke" getaufte Trojaner hat bzw. hatte, ist nicht bekannt. Klar ist nur, er wurde gezielt auf Regierungsrechnern und Computern wissenschaftlicher Institutionen eingeschleust. Wonach die Software suchen musste, ist noch ein großes Geheimnis. Dass die unbekannten Hintermänner aber nicht mit klassischen Malware-Methoden Geld verdienen wollten, liegt auf der Hand. Vermutlich suchten sie gezielt nach Informationen, um diese dann im besten Fall zu verkaufen. Andernfalls hätten die Entwickler nicht einen solch großen Aufwand betrieben.

Der Trojaner nutzte eine sogenannte Zero-Day-Lücke in Adobes PDF-Software, welche erst kürzlich publik und geschlossen wurde. Solches Wissen ist in der Branche sehr viel Geld wert. Ob die Täter das Sicherheitsleck selbst entdecken, als sie vermutlich im Juni 2012 mit der Verteilung ihrer Schadsoftware begannen, oder viel Geld dafür bezahlt haben, ist nicht bekannt.

miniduke

Eingeschleust auf die 50 Rechner aus 23 verschiedenen Nationen, unter anderem in Belgien, Bulgarien, Tschechien, Deutschland, Irland, Türkei, Spanien und den USA sowie in Großbritannien, wurde "Miniduke" per E-Mail. Diese enthielt glaubwürdig formulierten Inhalt und Informationen im manipulierten PDF-Anhang über die Menschenrechtspolitik in der Ukraine und Pläne der Nato. Nach Öffnen dieser PDF-Dokumente wurde der Rechner infiziert. Das Backdoor-Programm des Trojaners lud gerade einmal 22 KB an zusätzlichen Code von kompromittierten Servern herunter. Das eigentliche Programm wurde in der Programmiersprache Assembler geschrieben. Eine Sprache, die schon seit Jahren nicht mehr zum Einsatz kommt, schwer zu erlernen und vor allem sehr fehleranfällig ist. Vermutlich war hier ein älterer, erfahrener Programmierer am Werk.

Jeder Infizierte Rechner wurde dann mittels des Dienstes GeoIP lokalisiert und mit einer eindeutigen ID versehen, anhand derer die Kontrollserver den Rechner wiedererkennen konnten. Die Kommunikation lief verschlüsselt ab. Für den Fall, dass die Kommunikation zu den Kontrollservern abbrechen sollte, gab es ein Fallback. Dann wurde auf Google und Twitter ausgewichen. Dabei wurde über Google nach verschlüsselten Feed-Kommandos in gestohlenen Twitter-Konten gesucht.

Die Urheber des kleinen Dukes sind nicht bekannt. Im Quelltext findet sich allerdings sich allerdings die Zahlenfolge "666" - vermutlich der Codename der Malwareschreiber im hexdezimalen Zahlensystem.

Social Links

Kommentare (7)

#1
customavatars/avatar88884_1.gif
Registriert seit: 07.04.2008

Modaretor
Luxus Luxxer
Hardware Hans-Peter
Beiträge: 28022
was war die Welt noch ohne Internet... :D
#2
customavatars/avatar177807_1.gif
Registriert seit: 30.07.2012
Kernen
Oberleutnant zur See
Beiträge: 1314
Zitat matti30;20263440
was war die Welt noch ohne Internet... :D


Voll mit Spionage Agenten die im Solid Snake Style unter Kartons andere belauschen. :D
#3
customavatars/avatar131975_1.gif
Registriert seit: 24.03.2010
Freistaat Sachsen
Leutnant zur See
Beiträge: 1126
Der Programmierer hat sich ja richtig Mühe gegeben. heutzutage schreibt doch sonst keinr mehr nen Virus in Assembler, obwohl man da sehr kompakten Code erzeugen kann, der auch extrem schnell ist.
#4
Registriert seit: 04.05.2006

Bootsmann
Beiträge: 634
Mag sein dass im HL Bereich Assembler nicht mehr sooooo häufg vorkommt, aber in meiner Branche ist es täglich Brot und auch gar nicht wirklich schwer zu beherrschen.

Finde die Wortwahl dementsprechend schlecht gewählt.
#5
Registriert seit: 13.02.2006
Koblenz
Admiral
Beiträge: 10005
Viren nicht unbedigt, aber wenn der Code sehr schnell sein soll, dann wird tatsächlich noch Assembler in "normale" Programme eingebettet.

Ein gutes (virenfreies) Beispiel dafür ist LAME, der MP3 Encoder. Die Jungs setzen immer mal wieder Teile des Codes in Assembler um.

Komplett in Assebler zu coden zeugt aber von viel Erfahrung und Wissen.
Das kann nicht jeder Programmierer. :)
#6
customavatars/avatar99554_1.gif
Registriert seit: 28.09.2008

Flottillenadmiral
Beiträge: 4834
Weiß jetzt aber nicht, warum da jetzt eine News daraus gemacht wird? Gibt Milliardne Viren im Internet, und mindestens 100 mehr die genau das was der hier macht und wahrscheinlich sogar besser.
Man muss ja nur in Betracht ziehen, dass der größte Krieg unter den Nationen heutzutage Virtuell stattfindet. Da werden die Rechner anderer Nationen rund um die Uhr mit Hacks, Viren usw. beballert^^
#7
customavatars/avatar116788_1.gif
Registriert seit: 20.07.2009

Bootsmann
Beiträge: 677
Assembler is the real shit.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Deutschen Bahn trainiert Mitarbeiter in der virtuellen Realität

Logo von IMAGES/STORIES/2017/DEUTSCHE_BAHN

Nicht nur das autonome Fahren auf der Straße spielt auf der GPU Technology Conference in München eine Rolle, auch die Deutsche Bahn hielt einen Vortrag, der sich mit dem Training von Mitarbeitern in einer virtuellen Umgebung befasste. Autonome Züge spielten jedenfalls keine Rolle, auch wenn in... [mehr]

TomsHardware.de muss seine Pforten schließen (Update)

Logo von IMAGES/STORIES/2017/THG

Eine der bekanntesten deutschen IT-Seiten TomsHardware.de wird abgeschaltet. Damit geht eine Ära zu Ende, denn die 1996 noch unter einem anderen Namen gestartete Webseite gehört sicherlich zu den Größen in diesem Bereich. Der genaue Termin für die Abschaltung der Server steht noch nicht... [mehr]

Interstellar: Hunderte CPUs berechnen schwarzes Loch

Logo von IMAGES/STORIES/2017/SCHWARZES-LOCH

Der Film Interstellar aus dem Jahre 2014 zeichnete sich vor allem durch eine möglichst realistische Darstellung und Simulation eines schwarzen Loches aus. Christopher und Jonathan Nolan schrieben das Drehbuch und zeichneten sich auch für die filmische Umsetzung verantwortlich. Der... [mehr]

Ende des Mining-Booms: Absätze bei den Grafikkarten brechen um bis zu 80 % ein...

Logo von IMAGES/STORIES/2017/BITCOIN

Investoren und Analysten mahnen seit Monaten vor einem Einbruch am Grafikkarten-Markt, doch bisher hat sich dies in den Absatz- und Umsatzzahlen der Hersteller noch nicht wirklich gezeigt. Nun mehren sich aber die Zeichen aus Asien, dass es ab März/April einen erheblich Einbruch bei den... [mehr]

NVIDIA intern: Begehrtestes Produkt ist ein Lineal

Logo von IMAGES/STORIES/2017/NVIDIA

Zwischen den Jahren einmal etwas Kurioses: Größere Unternehmen bieten ihren Mitarbeitern oftmals in internen Shops bestimmte Produkte an. T-Shirt und Kaffeetasse sind hier nur die einfachsten Beispiele. NVIDIA verkauft alle eigenen Produkte natürlich auch an die eigenen Mitarbeiter. Dazu... [mehr]

Apple Pay weiterhin nicht in Deutschland vorgesehen

Logo von IMAGES/STORIES/2017/APPLE_PAY

Apple Pay ist das drahtlose Bezahlsystem des iPhone-, iPad- und Mac-Herstellers, welches am 20. Oktober 2014 startet, bisher aber noch immer nicht den Weg nach Deutschland gefunden hat. Inzwischen hat Apple für viele Nachbarländer Apple Pay bereits eingeführt, Deutschland aber ist nach wie vor... [mehr]