Bundestrojaner mit Tarnkappe
"Wenn sie es primitiv machen, wird es ein Trojaner, wenn sie es intelligenter machen, wird ein Rootkit dabei sein", sagte der IT-Sicherheitsexperte Florian Eichelberger zu ORF.at. Sein Tool "Radix" rupft aus Windows-Systemen auch gut getarnte Rootkits aus, ob sie nun von Kriminellen, dem chinesischen Geheimdienst oder Österreichs Polizei stammen.
Ein Trend, der sich in den Jahren davor bereits abgezeichnet hatte, hat sich 2008 verfestigt: Neben den zahlenmäßig starken jährlichen Zuwächsen bei mäßig intelligenter Schadsoftware sind immer öfter gezielte Attacken auf ganz bestimmte PCs zu beobachten.
Während Bot-Net-Kriminellen in der Regel immer neue Varianten von gewöhnlichen Trojanern genügen, um weltweit immer neue PCs für ihre Netze zu akquirieren, arbeitet eine "höherwertige" Form von Kriminalität weitaus subtiler und unauffälliger.
"Gezielte Attacken"
"Targeted Attacks" dienen einem anderen Ziel, als irgendwo auf der Welt irgendwelche PCs zu kapern, die an bandbreitenstarken Leitungen hängen.
Angegriffen werden nämlich die Rechner ganz bestimmter Gruppen, hinter den Angriffen stecken auch keine gemeinen Spammer, Phisher oder anderes Gelichter, sondern einerseits "höherwertige" Kriminelle wie Großbetrüger oder Wirtschaftsspione und andererseits - der Staat.
Code vom Tage null
"Zero Day Exploits", also Code, der das Ausnutzen einer noch unbekannten Sicherheitslücke ermöglicht, sind auf dem Internet-Schwarzmarkt ab mehreren Tausend Dollar erhältlich. Die Angreifer auf Chinas Dissidenten hatten ein beträchtliches Arsenal an verschiedensten derartigen Exploits zur Verfügung, das heißt, sie verfügten über ein eigenes Forschungslabor.
Über diese Angriffsskripts schleuste man dann chinesische "Bundestrojaner" in "kriminelle Zirkel", also in Dissidentenkreise ein, in den allermeisten Fällen waren Rootkits mit dabei.
Am Beispiel China
Im Frühjahr 2008 hatten Anti-Virus-Spezialisten, die "Zero-Day-Exploits" (siehe linke Spalte) nachspürten, eine verblüffende Gemeinsamkeit entdeckt. Ob es sich um ein verseuchtes Flash-Filmchen handelte oder um ein Word-Dokument: Die Trägerdateien, die Key-Logger, Rootkits und/oder Trojaner einschleusten, hatten jeweils direkten inhaltlichen Bezug zur demokratischen Opposition in China oder zu Tibet.
Die Schadsoftware kam über bis dahin unbekannte Sicherheitslücken im jeweiligen Trägerprogramm auf die Zielrechner, wodurch auch auf dem neusten Stand gehaltene Anti-Viren-Programme chancenlos waren.
Bundestrojaner, europäische Version
Diese ganz offensichtlich von chinesischen Geheimdiensten gesteuerten Angriffe mit Schadsoftware auf Dissidenten verwendeten dieselben Mittel, die österreichische und deutsche Innenministerien 2009 endgültig als polizeiliche Ermittlungsmethoden festschreiben wollen: die "Bundestrojaner".
Ein konziser historischer Abriss über "Targeted Attacks" findet sich in diesem Vortrag, PDF-Datei.
"Wenn sie es primitiv machen, wird es bloß ein Trojaner, wenn sie es intelligenter machen, wird ein Rootkit dabei im Spiel sein", sagte Florian Eichelberger, Experte für Informationssicherheit, zu ORF.at.
Um einen Polizeitrojaner zu entdecken, gelte natürlich dieselbe Vorgangsweise wie gegen chinesische Schadsoftware, besonders wenn sich der Trojaner mit einem Rootkit tarne.
Die Tarnkappe
Das Rootkit läuft nicht auf Programm-, sondern auf Systemebene und hat in erster Linie die Funktion, dem Anti-Viren-Programm eine heile Systemwelt vorzugaukeln, während ein Keylogger jeden Tastaturanschlag weitermeldet und ein Trojaner gerade die Inhalte der Festplatte irgendwohin kopiert.
Zuerst mache sich das Rootkit in der Regel unsichtbar, indem es sich aus den Kernel-Strukturen entferne, so Eichelberger, dann würden andere Prozesse unsichtbar gemacht, Dateien, Treiber und Registry-Schlüssel versteckt.
Keine Start-up-Story
Für die futurezone.ORF.at-Serie über österreichische Start-ups sei die "USEC"-Plattform, so Eichelberger, der für ein großes österreichisches Internet-Unternehmen im Security-Bereich tätig ist, freilich nicht geeignet. Weder stehe eine Firma noch Fremdkapital dahinter, denn ausgegangen sei das gesamte Unterfangen von einer Diplomarbeit von Partner Ludwig Ertl am Technikum Wien.
Erwartungen bescheiden
"Geschrieben haben wir dann Radix zusammen, weil wir mit dem Angebot an Anti-Rootkit-Software unzufrieden waren und uns vornahmen, eine bessere zu schreiben. Es war im Endeffekt alles zusammen ein Mannjahr an Entwicklung", sagt Eichelberger, dessen Erwartungen bescheiden sind: "Wir hoffen, durch Spenden wenigstens einen Teil der Entwicklungskosten hereinzukriegen."
Das Tool Radix
Über die "Alternate Data Streams"-Funktion könne an eine völlig harmlos aussehende TXT-Datei eine Unzahl von anderen Dateien unsichtbar angehängt werden, so Eichelberger. Um derlei aufzufinden, gelte es, mit Funktionen zu arbeiten, über die der Großteil der erhältlichen Anti-Virus-Produkte in nur sehr unzureichendem Ausmaß verfüge.
Um dem abzuhelfen, hat Eichelberger mit seinem Kollegen Ludwig Ertl ein Tool namens "Radix" geschrieben, das kostenfrei (bzw. gegen freiwillige Spende) erhältlich ist.
Generisch, nicht signaturbasiert
"Radix funktioniert generisch und nicht signaturbasiert, das heißt, es wird nach Anomalien gesucht, oft sind es logische Fehler", sagt Eichelberger. Mit einer Kombination aus mehreren Methoden ließen sich mit Radix Rootkits dauerhaft entfernen, dann würden Manipulationen wie gesperrte Dateien und veränderte Prozesse rückgängig gemacht.
Radix und zwei weitere USEC-Applikationen seien keineswegs als Ersatz für einen aktuellen Virenscanner anzusehen, sondern als Ergänzung, sagt der Mitautor des Programms.
Mehr zum Thema "Bundestrojaner"
Bei einer futurezone-Umfrage unter den österreichischen Parteien vor der jüngsten , wie sie es denn mit dem Bundestrojaner (alias "Online-Durchsuchung") hielten sprachen sich ÖVP, SPÖ und BZÖ dafür, FPÖ und Grüne dagegen aus.
(futurezone/Erich Moechel)